Furto dei dati sanitari e dell’identità: problema di individuare una definizione giuridica del fenomeno
Furto dei dati sanitari e dell’identità: problema di individuare una definizione giuridica del fenomeno
l processo di innovazione tecnologica che si è avviato nell’ambito sanitario e la conseguente informatizzazione dei servizi e digitalizzazione della documentazione sanitaria dei cittadini è sicuramente un notevole passo avanti nella qualità del servizio sanitario che può essere offerto al cittadino. D’altro canto, si aprono possibili scenari di pericolo dei dati personali e sanitari degli utenti senza precedenti: la fruizione del servizio sanitario attraverso la grande rete internet rende necessario trattare la sicurezza dei dati poiché attraverso di essa sarebbe possibile entrare in possesso dei dati fraudolentemente. L’evolversi delle minacce e la scoperta da parte dei criminali di nuovi metodi di attacco verso l’identità delle persone, tramite le reti ed internet sottolinea l’importanza di prestare attenzione agli elementi base delle tecnologie e delle policy di sicurezza, sia da parte dell’ente che mette a disposizione il servizio, sia da parte dell’utente stesso. E’ quindi necessario esaminare la possibilità del furto dei dati in ambienti non convenzionali come quello sanitario.
La digitalizzazione dei dati sanitari dei pazienti si pone come principale finalità quella di migliorare e rendere più efficiente la cura della salute, di ridurre le frodi, gli errori medici, i costi dei servizi e salvare vite umane. Tuttavia, come mostrano alcuni studi esaminati vi sono scenari di rischio piuttosto critici che dovrebbero essere presi in considerazione, tra questi in primo luogo il furto dell’identità medica e tutti i problemi ad essi connessi. Molti dei problemi e conseguenze relativi ai furti di dati sanitari e alle frodi identitarie sono oggi perlopiù inesplorati. A questo riguardo, la digitalizzazione e l’implementazione delle tecnologie necessitano di una specifica valutazione d’impatto sulla privacy del paziente.
Passando ora ad esaminare più in dettaglio il furto di identità sanitaria, occorre sin da subito sottolineare che l’utilizzo inappropriato delle informazioni sulla salute degli individui può influenzare la loro futura cura medica oppure la possibilità di sottoscrivere un’assicurazione sulla salute. Inoltre, le informazioni inesatte circa la salute del paziente possono avere conseguenze secondarie sulla salute pubblica o su ricerche di pubblico interesse.
Un’indagine sul furto di identità sanitaria non può prescindere dalla domanda relativa all’aspetto definitorio, infatti, questo fenomeno senza una corretta definizione sarebbe molto difficile da trattare, né tanto meno sarebbe possibile studiarlo negli aspetti specifici. In letteratura (materiale quasi esclusivamente in lingua inglese), esistono diverse definizioni di furto di identità medica, molte tengono conto di aspetti sociali del fenomeno e solo alcune sono di interesse su un piano giuridico. Esse si distinguono in base al fatto che il furto dell’identità medica può avvenire sia con il consenso che senza il consenso dell’individuo interessato. Una definizione di furto di identità medica è quella data dal World Privacy Forum, un gruppo di ricerca no-profit. Essa si caratterizza per l’esclusione degli eventi consensuali[1] ed asserisce che:
“Il furto dell’identità medica si riferisce all’ utilizzo illecito dei dati personali[2] di una persona, o qualche informazione parte di essa, come nome, cognome, codice identificativo sanitario, codice fiscale, o numero di polizza assicurativa, senza che la persona interessata ne sia consapevole o abbia acconsentito esplicitamente ad ottenere o acquistare medicinali o servizi medico-sanitari”.[3]
Vi è un’ulteriore definizione, stavolta formulata dalla FTC – Federal Trade Commission (USA). Questa si caratterizza per non essere specifica per il furto dell’identità medica, ma ha il pregio di escludere i casi in cui vi è la presenza della conoscenza dell’evento da parte del paziente oppure il consenso dello stesso: “il furto di identità avviene quando qualcuno utilizza i dati personali, identificativi di una persona, senza il suo permesso, per commettere frodi o crimini.”
Continuando ad analizzare il furto di identità sotto il profilo definitorio è opportuno citare due importanti leggi federali statunitensi che trattano il tema:
Identity Theft and Assumption Deterrence Act of 1998
Identity Theft Penalty Enhancement Act of 2004
Entrambe affermano che il furto di identità è commesso quando “chiunque consapevolmente trasferisce o utilizza, senza essere legittimato, un mezzo di identificazione di un’altro individuo con l’intento di commettere, o di facilitare o favorire, qualsiasi attività illegale che costituisce una violazione delle leggi federali, o che costituisce un reato sotto ogni legge applicabile locale o statale.”[4]
Quest’ultima definizione esaminata nello studio commissionato dal Dipartimento americano per la salute e i servizi umani[5], considera il furto di identità medica includendo i casi in cui un individuo utilizza le credenziali di un altro, tenendo anche in conto il consenso dell’individuo interessato, il termine inglese “without lawful authority” rimanda ad una legittimazione tramite consenso. Molte definizioni rinvenibili negli studio del settore trascurano l’aspetto del consenso, questa mancanza rende tali definizioni di scarsa importanza sul paino giuridico e utili solo al fine di avere un quadro più chiaro sull’impatto che si può avere sui dati sanitari e l’effettivo scambio di informazioni sanitarie per via elettronica, al fine della gestione sicura delle informazioni cliniche. L’aspetto del consenso per i non addetti ai lavori potrebbe apparire a prima vista un aspetto banale e scontato, invece nelle norme penali è sempre un aspetto molto rilevante, un elemento costitutivo del reato dal quale dipende l’attribuzione del reato alla condotta dell’agente. Altro aspetto molto rilevante, purtroppo non considerato in questa sede per ragioni di sinteticità, è l’aspetto probatorio, soprattutto in sede civile per il risarcimento del danno. La vittima oltre a subire un danno economico, potrebbe essere costretta a prodigarsi invano nella ricerca di prove a carico del malintenziato, come succede adesso nel caso del phishing, occorre perciò che un eventuale disegno di legge in materia contenga in primo luogo un trattamento di favore per la parte più debole, affrontando oltre l’aspetto definitorio quello probatorio.
Tornando alle definizioni esaminate, le ultime si ritiene possa avere un certo interesse su un piano giuridico, il consenso infatti rappresenta un elemento fondamentale di discernimento tra il lecito e l’illecito. Gli aspetti del furto dei dati e di identità sanitaria, verranno esaminati più oltre, quello che è importante evidenziare sin da subito è che in Italia, non esiste un reato specifico per il furto di identità, dovendo ricorrere a figure come la sostituzione di persona, frode informatica, truffa, accesso abusivo al sistema informatico, ecc.. Con riguardo invece al furto dei dati personali, esiste uno reato specifico, il trattamento illecito dei dati previsto dall’art. 167 Codice della Privacy, il quale prevede una pena aggravata per il trattamento illecito dei dati sanitari con la reclusione da uno a tre anni. Ciononostante, è necessaria sempre una ricerca caso per caso della norma o le norme incriminatici specificamente applicabili alla condotta posta in essere.
Passando ad esaminare in termini generali la casistica del furto dell’identità medica, questo può avere come principale fine la falsificazione delle informazioni sanitarie dell’utente come l’inserimento di false informazioni o la modifica dei dati pre-esistenti nel profilo sanitario. Con la conseguenza che le informazioni falsificate riguardanti la salute di un individuo possa influenzare le sue cure mediche future oppure la possibilità di sottoscrivere assicurazioni sulla salute. Inoltre è possibile che le informazioni falsificate riguardanti la salute possano avere effetti sulla sanità pubblica e nel campo della ricerca. E’ evidente quindi come il furto dei dati sanitari costituisca un crimine che può causare gravi danni, fisici, economici e morali, alle proprie vittime.
E’ opportuno precisare che il furto dell’identità medica ha in realtà due tipi di vittime: individui ed istituzioni. Possono essere vittime del furto di identità, neonati, teenager, adulti ed anziani, e persino i defunti. Mentre per quanto riguarda le potenziali istituzioni è possibile menzionare il servizio di sanità pubblica, le assicurazioni e tutta l’ospedalità privata. Anche per quest’ultime l’impatto del crimine perpetrato a loro danno, sebbene abbia un impatto differente, non è da considerarsi trascurabile.
A discapito dell’elevato rischio che esso apporta, il furto dell’identità medica è oggi poco studiato e documentato rispetto ad altri crimini attuabili più generalmente attraverso il furto dei dati personali. Esso è inoltre sicuramente più problematico e più difficile da risolvere: il furto di dati sanitari e la conseguente possibile falsificazione dei dati sanitari dell’utente può ripercuotersi sulla vita medico-sanitaria e finanziaria per anni. La falsificazione dei dati può essere inoltre intenzionale o conseguente soltanto al loro furto: la modifica dei dati medici delle vittime può rimanere per anni e può addirittura non essere scoperta o corretta fino a quando non ha causato gravi danni sulla salute del paziente.
Le vittime del furto di dati medici sono pertanto soggette ad una potenziale lunga serie di conseguenze. Oltre a ricevere errati trattamenti medici, esse possono ad esempio non essere ritenute idonee per certi tipi di lavori a causa di informazioni cliniche erronee.
Per quanto attiene invece all’aspetto degli autori del furto, non si ritiene possibile fare una profilazione, in linea generale potrebbero essere professionisti del crimine in grado di assicurarsi che le vittime non scoprano mai l’avvenuto crimine, oppure che lo scoprano anni più tardi attraverso la tragica scoperta della presenza di dati non corretti nella propria cartella clinica. Potenzialmente questo è un crimine che può essere commesso in maniera molto più frequente di quanto si pensi.
In Italia sul problema del furto dei dati sanitari non risultano ancora pubblicazioni rilevanti e approfondite, visto anche lo stadio attuale di implementazione dei servizi e-Healthcare. Tuttavia il problema è ben noto da tempo in altri paesi, quali ad esempio gli Stati Uniti, dove è già stato studiato ed approfondito. Nel seguito si farà riferimento ad alcuni studi pubblicati in materia di furto di dati sanitari provenienti da diverse fonti, tra le quali: World Privacy Forum[6], Federal Trade Commission, American Health Management Association e Booz Allen Hamilton[7].
[2] Il termine usato nel testo inglese è Personally Identifiable Information (PII) concetto sostanzialmente assimilabile a quello di dato personale recepito nella normativa europea.
[3] Si riportano alcune definizioni in versione originale:
- Definizione del WPF “Medical identity theft refers to the misuse of another individual’s PII such as name, date of birth, SSN, or insurance policy number to obtain or bill for medical services or medical goods.”;
· Definizione del FTC “identity theft occurs when someone uses your personally identifying information [...], without your permission, to commit fraud or other crimes.”.
Studio effettuato da Booz, Allen, & Hamilton. (2008). Medical Identity Theft, Environmental Scan. Rockville.
[4] Si riporta la versione inglese del testo, “whoever...knowingly transfers or uses, without lawful authority, a means of identification of another person with the intent to commit, or to aid or abet, any unlawful activity that constitutes a violation of Federal law, or that constitutes a felony under any applicable State or local law.”, Booz, Allen, & Hamilton. Ibid., Pag. 5.
[5] Ibid..
[6] Gruppo di ricerca non-profit su questioni di interesse pubblico, particolarmente attivi su questioni legate alla privacy e tutela dei consumatori.
[7] Azienda statunitense che si occupa di consulenza tecnologica per enti governativi, fornendo supporto nel risolvere problemi strategici legati ai propri servizi. In particolare si occupa di salute ed information technology (healthIT) e del processo di riforma del sistema sanitario.
