In questo periodo di cambiamenti epocali intrapresi con la riforma della Sanità negli Stati Uniti, mi ha particolarmente colpito l’analisi effettuata dal SFLC (Software Freedom Loaw Center), che analizza la questione relativa a ” I difetti del software nei dispositivi medici cardiaci è un problema di vita o di morte“.
Il nocciolo della questione risiede nella circostanza secondo cui:
Milioni di persone con patologie cardiache croniche, epilessia, diabete, obesità e persino depressione, dipendono da dispositivi medici impiantabili (IMDS) necessari per la loro vita, tuttavia il software che rende possibile l’erogazione del trattamento sanitario necessario rimane nascosto ai pazienti e ai loro medici. Nonostante vi sia un evidente collegamento fra i malfunzionamenti dei dispositivi e i difetti del codice sorgente, il suddetto software rimane considerato di esclusiva proprietà di suoi produttori e non è quasi mai preventivamente esaminato dalle autorità di regolamentazione responsabili della loro sicurezza.
Addirittura nel 2008 la Suprema Corte, analizzando dei casi di responsabilità da prodotti difettosi in ambito sanitario, ha sostanzialmente compresso il diritto del paziente consumatore di richiedere la responsabilità civile del produttore per negligenza nella fabbricazione dei prodotti.
Si tratta del caso Riegel vs. Medtronic: un paziente ricoverato aveva agito per il risarcimento del danno dovuto alla rottura di un catetere nell’arteria coronaria.
Nel caso di specie la Corte di Appello aveva confermato la sentenza della Corte Distrettuale che si era pronunziata in favore del produttore in base al principio che le regole statali relative alla responsabilità civile non trovano applicazione in un settore già regolamentato a livello federale dal Medical Device Amendments (21 U.S.C.S. § 360 (a) del MDA) il quale prevede una particolare disciplina in ordine alla sicurezza dei dispositivi medici che si sostituisce ai principi statali (sul punto cfr. “Regole e responsabilità in nanomedica” di Giorgia Guerra pag. 216 e ss. – Wolters Kluwer Italia). Decisione confermata dalla corte in base al c.d. principio di supremazia (preemption doctrine).
Cosa comporterebbe l’utilizzo del Software Open Source in tali dispositivi?
Ad avviso della SFLC – ed anche secondo noi – una maggiore sicurezza e trasparenza.
Attualmente le persone con patologie croniche bisognose di un trattamento IMD (Implantable Medical Devices) sono di fronte a una scelta netta: o avere una totale ed incondizionata fiducia nei produttori, o rischiare la propria vita, optando contro il trattamento salva-vita.
Leggiamo ancora nel documento del SFLC:
Per capire perché il software libero e open source sia diventato una componente comune nei sistemi informatici di tante aziende e organizzazioni che svolgono funzioni di salvaguardia della vita o nelle c.d. mission-critical, si deve prima accettare che i bug del software sono un fatto della vita.
Il Software Engineering Institute stima che un ingegnere esperto di software produce circa un errore per ogni 100 righe di codice. Sulla base di questa stima, anche se la maggior parte dei bug possono sembrare modesti, in un codice da un milione di linee, di base sono presenti nel corso di un ciclo di vita tipico del programma, circa 1.000 bugs.
Partendo da tale dato la successiva considerazione è data dalla circostanza secondo cui:
Anche se le applicazioni open source hanno circa le stesse vulnerabilità nel codice sorgente dei programmi proprietari, i ricercatori hanno scoperto che le prime (le applicazioni open source) contenevano un minor numero di backdoor rispetto al software commerciale e che gli interventi di bonifica della vulnerabilità di sicurezza dei team dei progetti open source si aggiravano intorno ad una media di 36 giorni dalla prima presentazione , rispetto ai 48 giorni per le applicazioni sviluppate internamente e gli 82 giorni per le applicazioni commerciali. Non solo, pertanto, i bug vengono risolti più velocemente nei programmi open source, ma la qualità degli interventi di bonifica è anche superiore a programmi commerciali.
Questa è la forza del collettivo e della passione riscontrabile in molti progetti Open.
Non ci si può esimere, tuttavia, da una considerazione: quid juris in caso di danno provocato da un malfunzionamento di un software sanitario open?
Tale domanda deve trovare una attenta risposta regolamentata.
Un dato, tuttavia, è incontestabile:
E’ necessaria l’introduzione di più severe norme obbligatorie per proteggere chi indossa dispositivi medici interni (IMD) dalle potenziali conseguenze negative di malfunzionamenti del software.
E’ necessario che venga imposto ai produttori di IMD di pubblicare il codice sorgente del software del dispositivo medico in modo che il pubblico e le autorità di regolamentazione lo possano esaminare e valutare.
E’ necessario stabilire un archivio del software in dotazione sui dispositivi medici impiantati al fine di garantire la continuità di accesso al codice sorgente in caso di guasto critico, ovvero nel caso del fallimento del produttore del dispositivo.
Il software di tutti i dispositivi medici, indipendentemente dal rischio, deve essere verificabile, ed è particolarmente urgente che tali norme vengano emanate prima dell’immissione sul mercato di tali dispositivi medici.
Questo il link al documento redatto da Karen Sandler, Lysandra Ohrstrom, Laura Moy e Robert McVay:
Killed by Code: Software Transparency in Implantable Medical Devices
indiritto 