Perché la sanità ha bisogno di un nuovo livello di fiducia

Nella filosofia esiste un esperimento mentale chiamato la Nave di Teseo. Se si sostituisce ogni tavola di una nave di legno, una alla volta, è ancora la stessa nave? L’informatica sanitaria conduce la propria versione di questo esperimento da tre decenni: sostituendo componenti analogici con quelli digitali, pezzo dopo pezzo, dando per scontato che il modello di fiducia sottostante avrebbe retto.

Non ha retto.

Le tavole sono state sostituite, ma lo scafo non è mai stato riprogettato per le nuove condizioni del mare. E le condizioni del mare sono cambiate radicalmente. I dati clinici oggi attraversano i confini istituzionali per definizione. Un medico di base a Zurigo indirizza un paziente a uno specialista a Berna. Un laboratorio trasmette i risultati alla clinica che li ha richiesti. Una farmacia verifica una prescrizione di un medico con cui non ha mai interagito. Non sono casi limite. Sono le operazioni ordinarie di un sistema sanitario moderno.

L’infrastruttura di fiducia alla base della maggior parte di queste interazioni è stata progettata per un mondo in cui le istituzioni operavano prevalentemente all’interno del proprio perimetro. Quel mondo non esiste più.

Il problema non è il controllo degli accessi

La sicurezza perimetrale funziona bene quando la minaccia è esterna e gli attori sono interni. Il firewall di un ospedale tiene fuori gli estranei. L’autenticazione basata su certificati conferma che un server è chi dichiara di essere. Questi strumenti restano essenziali.

Ma ecco il divario strutturale: l’infrastruttura esistente può verificare che un messaggio è arrivato da un server noto. Non può verificare in modo affidabile che il messaggio sia stato autorizzato da un professionista specifico e identificato — e che l’autorizzazione sia ancora valida nel momento in cui l’istituzione ricevente la verifica.

Le autorità di certificazione su cui si regge questo sistema creano a loro volta problemi. Ogni CA è una terza parte che tiene in ostaggio la fiducia — un’entità che può essere compromessa, costretta da governi o fallire operativamente. Let’s Encrypt da sola detiene circa il 60% della quota di mercato per i certificati TLS. Un singolo ente statunitense come punto unico di vulnerabilità strutturale per la maggior parte della sicurezza del trasporto internet.

Un prezzo piuttosto alto da pagare per la «fiducia».

Trent’anni di posta crittografata — e i suoi limiti

Health Info Net AG — HIN — gestisce l’infrastruttura di messaggistica medica sicura in Svizzera da trent’anni. Oggi SEAL elabora oltre 800.000 interazioni crittografate al mese attraverso questa rete, collegando più di 30.000 studi medici con ospedali, specialisti, farmacie e laboratori.

Si tratta di un risultato operativo significativo. Il Mail Gateway che ha preceduto SEAL ha mantenuto le comunicazioni sanitarie sensibili private e autenticate sin dalla metà degli anni ’90. Ha fatto ciò per cui era stato progettato.

Ma era stato progettato per un’era della posta elettronica. Opera a livello del messaggio. Può confermare che un messaggio è crittografato e che è transitato attraverso l’infrastruttura HIN. Ciò che non può fare è incorporare asserzioni verificabili sulle credenziali professionali del mittente, sulla sua attuale affiliazione istituzionale o sui permessi specifici di cui dispone — in una forma che il destinatario possa verificare autonomamente, senza interrogare un registro centrale.

Man mano che i sistemi sanitari si orientano verso lo scambio strutturato di dati — si pensi ai flussi di lavoro clinici basati su FHIR, ai referti inter-istituzionali con autorizzazione vincolata al consenso, all’instradamento dei risultati di laboratorio in tempo reale — il modello a livello di messaggio raggiunge i propri limiti architetturali. Non perché sia guasto. Perché i requisiti sono cresciuti oltre ciò per cui era stato costruito.

Cosa sostituisce la sicurezza perimetrale

La risposta non è un perimetro più grande. È un primitivo di fiducia fondamentalmente diverso: credenziali verificabili crittograficamente detenute dagli attori stessi, non solo dai sistemi che utilizzano.

Invece di chiedersi «questo messaggio è arrivato attraverso un canale autorizzato?», la domanda diventa: «questo messaggio porta con sé una prova crittografica che il mittente possiede credenziali attuali e valide, rilasciate da un’autorità di cui il destinatario già si fida?»

Questo sposta la fiducia dal livello infrastrutturale al livello dell’identità. Un messaggio porta con sé la prova di chi lo ha inviato, in forza di quale autorità professionale, e se tale autorità è attuale — senza richiedere al destinatario di interrogare un registro centrale al momento della verifica.

I sistemi OAuth e a certificati su cui la maggior parte delle organizzazioni fa affidamento oggi non sono stati progettati per questo. Eccellono nella gestione delle sessioni all’interno di un singolo dominio. Ma la fiducia inter-istituzionale? OAuth presuppone che la parte che emette il token sia la stessa che vi fa affidamento. Quando l’Istituzione A emette un token, questo funziona all’interno dell’Istituzione A. L’Istituzione B non ha motivo di fidarsi. Non esiste un meccanismo nativo per quella verifica inter-istituzionale.

Così le organizzazioni convergono su un provider di identità centralizzato — Google, Microsoft, Okta — ricreando il problema della centralizzazione sotto nuove spoglie.

Un’architettura di fiducia distribuita — in cui ogni entità mantiene la propria identità crittografica ancorata a un identificatore auto-certificante, verificabile da qualsiasi controparte senza un intermediario centrale — affronta questa limitazione strutturale. Questo è il decentralized key management. E questa è l’architettura alla base di Stargate, l’infrastruttura di fiducia che sta trasformando la rete HIN.

La trasformazione in corso

Il deployment presso HIN non è una proof of concept. SEAL, il sistema di consegna crittografata a sciame che gestisce la comunicazione esterna verso destinatari al di fuori della rete HIN, elabora quelle oltre 800.000 interazioni al mese in produzione. I destinatari — prevalentemente pazienti — accedono ai propri messaggi con qualsiasi browser su qualsiasi dispositivo. Nessun download di app. Nessun account. Nessun certificato.

Ma SEAL è il punto di partenza, non la destinazione. Stargate è la piattaforma completa ora in fase di rollout — che sostituisce il legacy mail gateway di HIN con un’infrastruttura che aggiunge identità decentralizzata, credenziali verificabili, scambio strutturato di dati e audit trail crittografici alla comunicazione crittografata.

Il rollout pluriennale a fasi prosegue. Il 2026 porta i gateway a ospedali e istituzioni. Il 2027 punta agli HIN Client negli studi medici. HIN sta affrontando questa trasformazione con il supporto di Vereign — non come una migrazione che elimina e sostituisce tutto, ma come un’evoluzione organica in cui Stargate mantiene piena retrocompatibilità con i sistemi esistenti.

Dal punto di vista ingegneristico, l’aspetto più importante di questo deployment è ciò che non richiede: non richiede che ogni istituzione partecipante si fidi di un’unica autorità centrale. Ogni entità mantiene il proprio key event log. Qualsiasi controparte verifica la fiducia leggendo quel log direttamente — nessuna negoziazione bilaterale, nessuna CA condivisa, nessun accordo fiduciario intermediario.

Oltre la sanità

Lo schema che ho descritto qui non è specifico della Svizzera né della messaggistica medica. Ogni settore regolamentato — finanza, legale, pubblica amministrazione, farmaceutica, energia — affronta la stessa sfida strutturale: attori che devono interagire oltre i confini istituzionali, con credenziali che devono essere verificabili senza dipendenza centrale, in ambienti in cui l’audit trail è irrinunciabile.

La sanità ha dimostrato che funziona su larga scala. Oltre 800.000 interazioni verificabili al mese, decine di migliaia di professionisti sanitari, centinaia di istituzioni partecipanti. Le credenziali sono verificabili. Il sistema è resiliente. La conformità è chiara, perché ogni asserzione sull’identità professionale porta con sé la propria prova crittografica.

Il problema della fiducia non è un bug software da correggere. È un divario strutturale che richiede una nuova infrastruttura.

Torniamo dunque alla Nave di Teseo. La sanità ha sostituito tavole per trent’anni. Ciò di cui ha bisogno adesso non è un’altra tavola. È uno scafo progettato per le acque in cui naviga davvero — uno in cui la fiducia non dipende dal fatto che un’unica autorità resti onesta, resti finanziata e resti non compromessa.

Questo è ciò che significa un livello di fiducia. Non un nuovo perimetro. Una nuova fondazione.