Medical Devices and Proposal for The Patch Act

Rischi informatici nel settore sanitario e proposta per The Patch Act

a cura di Raffaella Aghemo

Con l’avvento della telemedicina e della digital Health, sono aumentati a dismisura i rischi cyber, nel delicatissimo settore della salute, soprattutto in un periodo sempre più segnato da attacchi informatici e databreach.

Molti dispositivi medici, perfino impiantati nel corpo del paziente, sono apparsi con grosse falle nella sicurezza, falle che molti produttori ancora non hanno risolto! Come conseguenza inevitabile, quelle che vengono a essere messere a repentaglio sono le informazioni sanitarie protette, quelle che con l’acronimo PHI, negli Stati Uniti stano ad indicare le personal/protected health information, con conseguente e spesso simultanea tenuta in ostaggio di ransomware, del dispositivo medico attaccato.

Proprio per tali ragioni, Camera e Senato statunitensi stanno pensando a nuove regolamentazioni normative, al fine di proteggere un settore così cruciale e “sensibile” quale quello della salute.

Sono, pertanto, attualmente allo studio nelle rispettive commissioni, un disegno di legge, il 3983, del Senato, il “Protecting and Transforming Cyber ​​Health Care Act” o “PATCH Act” e il corrispondente della Camera, il PATCH Act del 2022, HR 7084. (in calce il link al percorso di approvazione)

Obiettivo primario di entrambe le proposte, una unitaria e coerente definizione di dispositivo informatico medico, all’interno della quale annoverare tutti quelli che vi rientrano, sia che utilizzino RFID, sia macchinari per la risonanza magnetica o per l’imaging a raggi X, sia la chirurgia robotica.

Per “dispositivo informatico” il Patch Act intende

“un dispositivo che:

(A) includa software; o

(B) sia destinato a connettersi a Internet.”

Definizioni quanto mai ondivaghe, sia sul piano semantico di cosa si intenda per “software”, sia sul piano metodologico, su cosa voglia dire “destinato a collegarsi in rete”.

Ulteriore obiettivo del Congresso è individuare una forma di controllo della sicurezza, in questo settore, che venga coinvolto durante tutto il ciclo di vita del prodotto sia premarket che postmarket.

Nella fase premarket, il produttore deve fornire una serie di informazioni alla FDA, Food &Drug Administration, ente governativo statunitense, che si occupa della regolamentazione dei prodotti alimentari e farmaceutici, dipendente dal Dipartimento della salute e dei servizi umani degli Stati Uniti d’America, oltre che essere trasparente nella comunicazione con i consumatori finali.

Nella fase postmarket, il produttore deve disporre di «un piano per monitorare, identificare e affrontare in modo appropriato le vulnerabilità e gli exploit della sicurezza informatica post-commercializzazione in un tempo ragionevole». Ulteriori requisiti chiave includono l’obbligo di «progettare, sviluppare e mantenere processi e procedure per rendere disponibili aggiornamenti e patch al dispositivo informatico e ai sistemi correlati durante tutto il ciclo di vita del dispositivo informatico» da affrontare, a ciclo regolare, per «vulnerabilità inaccettabili note» o, fuori ciclo, nel caso di «vulnerabilità critiche che potrebbero causare rischi incontrollati».

Quello che, allo stato dell’arte, appare chiaro è, almeno ad oggi, un approccio abbastanza debole e vago, con definizioni che rischiano di rendere vano il pregevole tentativo di rafforzare le difese in un campo, ove il rischio di attacchi informatici, non comporta, come in altri campi, perdita di tempo e di denaro, oltre che inefficienze operative, ma comporterebbe la messa a rischio di vite umane.

Proprio per questa ragione, il progetto di una regolazione più circoscritta del settore è accolta più che favorevolmente, sebbene appaia chiaro quanto ci sia ancora da fare per poter rendere la sua effettiva messa in opera incisiva, preventiva e proattiva.

Qui il percorso della proposta della Camera: https://www.congress.gov/bill/117th-congress/house-bill/7084/text?r=1&s=1

Riproduzione Riservata

Avv. Raffaella Aghemo

--

--

Innovative Lawyer and consultant for AI and blockchain, IP, copyright, communication, likes movies and books, writes legal features and books reviews

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store