Risk management, accreditamento e nuova geografia del rischio sanitario

Dopo la Legge 8 marzo 2017 n. 24 (Gelli‑Bianco) e il D.M. 232/2023 attuativo della prima, il sistema della responsabilità sanitaria italiana è stato ridisegnato attribuendo un ruolo centrale alla struttura sanitaria, pubblica e privata accreditata, quale principale referente dell’azione risarcitoria del paziente, mentre la responsabilità del singolo esercente la professione sanitaria è stata in larga misura ricondotta sul piano extracontrattuale, salvo il caso, oggi residuale, di rapporto contrattuale diretto con il paziente. In questo quadro, la copertura assicurativa diventa uno snodo essenziale: le strutture sono tenute a dotarsi di coperture per la responsabilità civile verso terzi e verso prestatori d’opera, anche per danni cagionati dal personale che opera a qualunque titolo, comprese attività di formazione, ricerca e telemedicina, e ciò anche quando le prestazioni sono rese in regime di libera professione intramuraria o in convenzione con il Servizio sanitario nazionale. Parallelamente, gli esercenti la professione sanitaria che operano in strutture pubbliche o private devono stipulare, a proprio carico, una polizza per la colpa grave, funzionale in particolare alle azioni di rivalsa. Il D.M. 232/2023 ha poi fissato i requisiti minimi delle polizze per strutture ed esercenti, rendendo concretamente operativa l’azione diretta del danneggiato contro l’assicuratore prevista dalla legge, e imponendo un adeguamento complessivo del mercato assicurativo sanitario.

In questo contesto normativo, il risk management sanitario, inteso come insieme di processi organizzativi, valutativi e di controllo dei rischi clinico‑assistenziali, si pone al crocevia fra obblighi di sicurezza, responsabilità civile e sostenibilità assicurativa. Le compagnie assicurative, che coprono il rischio di responsabilità delle strutture, hanno un evidente interesse a che tali processi siano effettivi, documentati e, soprattutto, resi omogenei attraverso il loro inserimento tra i requisiti di accreditamento delle strutture sanitarie. Al contrario, alcune Regioni e una parte significativa della sanità privata accreditata si mostrano più caute nel trasformare il risk management in un requisito forte e selettivo di accreditamento, temendo gli effetti sull’offerta di servizi, sui costi organizzativi e sugli equilibri economici delle strutture. La questione giuridica ed economica da analizzare riguarda dunque il perché di questa divergenza di interessi, alla luce della distribuzione del rischio economico nel sistema post‑Gelli‑Bianco e D.M. 232/2023, nonché le ricadute di un risk management “accreditato” sul contenzioso, in particolare in termini di colpa organizzativa e di facilitazione della prova della responsabilità della struttura.

La Legge 24/2017 ha consolidato la natura contrattuale della responsabilità della struttura verso il paziente, con i relativi vantaggi per il danneggiato in termini di prescrizione più lunga e onere probatorio più favorevole, mentre per il medico ospedaliero la responsabilità è stata ricondotta, in via generale, allo schema extracontrattuale, salvo obbligazioni dirette assunte verso il paziente. Ne deriva che l’azione risarcitoria tende a concentrarsi sulla struttura, che diventa il fulcro della pretesa risarcitoria e, conseguentemente, il principale portatore del rischio economico dei sinistri, rischio che essa trasferisce in misura variabile sulle compagnie assicurative tramite le polizze, oppure, nel caso di enti pubblici, gestisce attraverso forme di autoassicurazione e fondi rischi. Gli esercenti, dal canto loro, sopportano un rischio residuo legato alle azioni di rivalsa per colpa grave, che coprono con polizze dedicate.

Le strutture sanitarie e sociosanitarie, pubbliche e private, sono quindi tenute a dotarsi di copertura assicurativa o di altre misure analoghe per la responsabilità civile verso terzi e verso prestatori d’opera, anche per i danni cagionati da personale che opera a qualunque titolo, incluse attività di formazione, aggiornamento, sperimentazione, ricerca clinica e telemedicina. Tale obbligo si estende anche alle prestazioni erogate in libera professione intramuraria o in convenzione con il SSN. L’assicurazione sanitaria obbligatoria assolve una funzione plurima di garanzia: tutela i pazienti danneggiati, assicurando un ristoro diretto entro i limiti del massimale, e tutela gli esercenti e le strutture assicurate, che possono essere manlevati dalle pretese risarcitorie. Si tratta anche di uno strumento di contrasto alla medicina difensiva, nella misura in cui rende più prevedibile e gestibile il costo del contenzioso. Quanto agli esercenti che operano in strutture, l’obbligo di stipulare una polizza per colpa grave garantisce l’effettività delle azioni di rivalsa e contribuisce a distribuire il rischio economico lungo tutta la filiera della responsabilità sanitaria.

Dal punto di vista delle compagnie, il risk management sanitario non è solo un adempimento di buona amministrazione, ma una componente essenziale di un più ampio sistema di gestione integrata dei rischi. In un’ottica di enterprise risk management, la gestione del rischio è parte del processo con cui gli organi di governo e il management individuano eventi potenziali che possono influire sull’attività, gestiscono il rischio entro limiti accettabili e forniscono una ragionevole sicurezza sul conseguimento degli obiettivi. Applicato al settore sanitario, ciò significa che una struttura dotata di un risk management maturo è in grado di identificare, valutare e gestire i rischi clinici e organizzativi che possono tradursi in sinistri assicurativi. La valutazione del rischio, in questo contesto, è il processo che individua, valuta e gestisce eventi potenziali che possono produrre effetti negativi sull’attività aziendale, pregiudicando la sopravvivenza dell’ente, la sua capacità competitiva, la situazione finanziaria, l’immagine sul mercato e la qualità dei servizi. Perché il controllo interno sia efficace, occorre che l’azienda identifichi i fattori di rischio interni ed esterni, misuri probabilità e impatto, selezioni i rischi rilevanti e definisca piani di mitigazione, traducendo questi piani in attività di controllo strutturate, dalla separazione dei compiti alle procedure autorizzative, dalla documentazione dei processi ai controlli indipendenti.

Per un assicuratore, una struttura che opera secondo tali logiche presenta due vantaggi fondamentali. Da un lato, riduce la frequenza e la gravità dei sinistri, grazie a processi più sicuri e controlli più efficaci. Dall’altro, rende il rischio più trasparente e prevedibile, perché consente di disporre di dati affidabili sui processi, sugli eventi avversi e sulle misure correttive adottate. Questo migliora sia la fase di assunzione del rischio sia quella di gestione del portafoglio, consentendo di calibrare premi e massimali in modo più aderente al profilo di rischio reale. Non è un caso che molti modelli di risk management sanitario si ispirino a logiche già sperimentate in altri ambiti, come i modelli organizzativi ex d.lgs. 231/2001 o gli standard internazionali in materia di gestione del rischio, che prevedono mappature delle attività, individuazione delle aree a rischio, definizione di misure di prevenzione e monitoraggio costante dell’efficacia dei controlli.

Alla luce di questi elementi, si comprendono meglio le ragioni economico‑giuridiche per cui le compagnie sono spesso favorevoli a che il risk management diventi un requisito forte, e possibilmente uniforme, di accreditamento delle strutture sanitarie. Un primo motivo è la riduzione strutturale della sinistrosità: se l’accreditamento condiziona l’accesso al mercato pubblico e convenzionato alla presenza di sistemi di risk management effettivi, si alza la soglia minima di sicurezza organizzativa per tutte le strutture, riducendo il numero e la gravità degli eventi dannosi. Ciò consente alle compagnie di contenere i costi dei sinistri e, in prospettiva, di offrire premi più stabili, evitando oscillazioni dovute a comportamenti organizzativi troppo eterogenei. Un secondo motivo è la maggiore omogeneità e comparabilità del rischio: laddove il risk management è requisito di accreditamento, le strutture sono tenute a dotarsi di procedure, documentazione e sistemi di controllo che seguono standard condivisi, e questo consente alle compagnie di confrontare i profili di rischio delle diverse strutture in modo più oggettivo, riducendo l’incertezza informativa che grava sulla valutazione del rischio. Inoltre, la presenza di standard di risk management collegati all’accreditamento riduce il rischio di selezione avversa, perché limita l’accesso al mercato convenzionato alle strutture che investono in sicurezza, scoraggiando operatori che intendano competere solo sul contenimento dei costi a scapito della qualità e della sicurezza.

Un terzo elemento è il rafforzamento del ruolo del risk management come strumento di governo del rischio assicurativo da parte del potere pubblico. Se le Regioni inseriscono requisiti di risk management nei propri sistemi di accreditamento, le compagnie possono agganciarsi a tali standard pubblici per la propria valutazione del rischio, riducendo la necessità di definire in autonomia parametri di sicurezza e beneficiando di un controllo pubblico, almeno formale, sulla qualità organizzativa delle strutture. In questo senso, l’accreditamento diventa una sorta di filtro regolatorio che seleziona le controparti assicurabili su basi più solide.

Dal punto di vista delle Regioni, però, rendere il risk management un requisito forte e selettivo di accreditamento comporta una serie di rischi. L’introduzione di standard elevati e dettagliati di gestione del rischio può determinare l’uscita dal sistema di alcune strutture, in particolare di quelle di dimensioni minori o con risorse organizzative limitate, che potrebbero non essere in grado di sostenere i costi di adeguamento. Ciò rischia di ridurre l’offerta accreditata in determinati territori, imponendo alle Regioni di colmare i vuoti con strutture pubbliche o con nuovi accreditamenti, con tempi e costi non trascurabili. Inoltre, l’implementazione di sistemi di risk management avanzati richiede investimenti significativi in personale, formazione, sistemi informativi e procedure, che si traducono in un aumento dei costi per le strutture accreditate e, indirettamente, sulle tariffe e sulla spesa sanitaria regionale. La standardizzazione di requisiti di risk management a livello di accreditamento può anche ridurre la flessibilità delle Regioni nel modulare gli obblighi in funzione delle specificità territoriali e delle diverse tipologie di strutture.

Un ulteriore profilo di cautela riguarda il rischio di creare un circolo vizioso tra accreditamento, responsabilità e contenzioso. Se gli standard di risk management sono molto dettagliati e incorporati nei requisiti di accreditamento, la loro violazione o applicazione incompleta può essere agevolmente utilizzata in sede giudiziaria come prova di colpa organizzativa della struttura e, indirettamente, di carenza di vigilanza da parte della Regione che ha mantenuto l’accreditamento nonostante le criticità. In un sistema in cui l’azione risarcitoria è convogliata verso la struttura e, per essa, verso l’assicuratore, ma in cui la programmazione e l’accreditamento restano in capo alle Regioni, queste ultime possono temere un incremento di responsabilità indirette, politiche e talvolta giuridiche, legate alla definizione e al controllo degli standard di gestione del rischio.

Dal lato della sanità privata accreditata, soprattutto delle strutture di piccole e medie dimensioni, l’idea di un risk management elevato a requisito forte di accreditamento incontra resistenze per ragioni prevalentemente economiche e organizzative. L’adozione di sistemi di gestione del rischio coerenti con le logiche sopra descritte comporta la necessità di istituire funzioni dedicate, svolgere analisi di rischio sistematiche, predisporre procedure documentate, attuare attività di controllo e monitoraggio, nonché formare il personale. Tutto ciò implica costi diretti e indiretti, che tuttavia dovrebbero trovare immediata compensazione in termini di riduzione dei premi assicurativi o di maggiori ricavi. Inoltre, un risk management effettivo richiede una forte tracciabilità degli eventi avversi, dei quasi‑eventi e delle non conformità organizzative. Questo, se da un lato è essenziale per migliorare la sicurezza, dall’altro aumenta la visibilità degli errori e delle criticità, creando una base documentale che può essere utilizzata in sede di contenzioso per dimostrare la conoscenza di determinati rischi e l’eventuale insufficienza delle misure adottate.

In un sistema in cui la responsabilità della struttura è contrattuale e in cui la prova della colpa organizzativa può poggiare anche sulla mancata adozione o sul mancato rispetto di procedure interne, questo può essere percepito come un incremento del rischio giuridico, soprattutto se gli standard di risk management sono formalizzati a livello di accreditamento. Un ulteriore elemento di cautela deriva dal rapporto fra gestione del rischio, assicurazioni e azioni di rivalsa. Poiché gli esercenti sono tenuti a stipulare polizze per colpa grave e le strutture possono esercitare azioni di rivalsa nei loro confronti, la maggiore tracciabilità degli errori e delle violazioni procedurali può alimentare non solo il contenzioso verso la struttura, ma anche i procedimenti interni e le azioni di rivalsa verso i professionisti, con possibili ricadute sul clima organizzativo e sulla disponibilità dei medici a operare in determinate strutture.

Le ricadute in sede di contenzioso sono particolarmente rilevanti. La centralità della struttura nella catena della responsabilità, unita all’obbligo di copertura assicurativa e alla progressiva formalizzazione dei requisiti di risk management, fa sì che l’inadempimento possa consistere non solo in un errore del singolo operatore, ma in una carenza organizzativa, strutturale o procedurale, la cosiddetta colpa organizzativa. Se la gestione del rischio è elevata a requisito di accreditamento, gli standard organizzativi richiesti dalle Regioni assumono la funzione di parametri normativi di diligenza e prudenza: la mancata adozione o il mancato rispetto di tali standard può essere considerata, di per sé, indice di colpa organizzativa. La presenza di procedure di valutazione del rischio, di piani di mitigazione, di sistemi di monitoraggio e di reporting fornisce al danneggiato e al giudice una base documentale per valutare se la struttura abbia effettivamente attuato le misure previste, se abbia aggiornato i propri strumenti in funzione dell’evoluzione dei rischi, se abbia reagito in modo adeguato agli eventi avversi. In questo modo, il rischio è quello di una standardizzazione della colpa: quanto più gli standard di risk management sono dettagliati e formalizzati, tanto più la loro violazione, anche parziale, può essere letta come inadempimento, facilitando la prova della responsabilità della struttura.

L’entrata in vigore del D.M. 232/2023 ha inoltre reso pienamente operativa l’azione diretta del danneggiato contro l’assicuratore della struttura, rafforzando la posizione del paziente ma esponendo le compagnie a un rischio processuale più immediato, con maggiore visibilità e pressione sul fronte dei risarcimenti. In tale scenario, la gestione del rischio accreditata diventa per le compagnie non solo uno strumento di prevenzione, ma anche un presidio difensivo: poter dimostrare che la struttura ha adottato e attuato standard di risk management conformi ai requisiti di accreditamento può costituire un argomento a favore dell’assenza di colpa organizzativa o, quantomeno, di una riduzione del grado di rimproverabilità. D’altro canto, la maggiore tracciabilità degli errori e delle non conformità, tipica dei sistemi di gestione del rischio evoluti, può fornire al danneggiato elementi probatori più solidi per sostenere la tesi della responsabilità della struttura e, per essa, dell’assicuratore.

Per i singoli esercenti, l’evoluzione verso un risk management accreditato ha effetti indiretti ma rilevanti. Poiché la responsabilità del medico è, di regola, extracontrattuale e soggetta a prescrizione quinquennale, il principale bersaglio dell’azione del paziente resta la struttura. Tuttavia, la maggiore definizione di standard organizzativi e procedurali può rendere più chiaro, nei singoli casi, se l’evento dannoso sia riconducibile a un errore individuale o a una carenza organizzativa. Questo ha riflessi sulle azioni di rivalsa per colpa grave che la struttura o l’assicuratore possono esercitare contro il medico, per le quali il professionista è tenuto a stipulare una polizza specifica. In un contesto in cui il risk management è requisito di accreditamento, la violazione consapevole di procedure di sicurezza o la reiterata inosservanza di protocolli può essere più facilmente qualificata come colpa grave, con conseguente aumento del rischio di rivalsa per il professionista.

Nel sistema della responsabilità sanitaria delineato dalla Legge 24/2017 e reso più compiuto dal D.M. 232/2023, il rischio economico del contenzioso è stato spostato in misura significativa sulle strutture sanitarie e, tramite esse, sulle compagnie di assicurazione, mentre la responsabilità del singolo medico è stata in parte schermata attraverso la qualificazione extracontrattuale e l’obbligo di copertura per colpa grave. In questo contesto, le compagnie hanno un interesse strutturale a che il rischio assicurato sia non solo coperto da polizze conformi ai requisiti minimi, ma anche preventivamente gestito tramite sistemi di risk management effettivi e omogenei. Rendere la gestione del rischio un requisito forte di accreditamento delle strutture significa, per gli assicuratori, ridurre la sinistrosità, aumentare la prevedibilità del rischio, contenere i costi dei sinistri e disporre di standard pubblici cui ancorare le proprie valutazioni.

Di contro, le Regioni e una parte della sanità privata accreditata guardano con cautela a questa prospettiva perché l’elevazione del risk management a requisito selettivo di accreditamento comporta costi organizzativi significativi, rischia di ridurre l’offerta accreditata in alcune aree, può incidere sulle tariffe e sulla spesa sanitaria, e soprattutto tende a trasformare gli standard organizzativi in parametri rigidi di responsabilità, facilitando la prova della colpa organizzativa in sede di contenzioso e potenzialmente esponendo anche le scelte programmatorie regionali a maggiori contestazioni. Al tempo stesso, la maggiore tracciabilità degli errori e delle non conformità, pur essendo indispensabile per migliorare la sicurezza, può alimentare il contenzioso sia verso le strutture sia nelle azioni di rivalsa verso i professionisti.

La divergenza di atteggiamento fra compagnie e istituzioni sanitarie non è dunque casuale, ma riflette una diversa posizione nella catena del rischio: le assicurazioni, chiamate a rispondere direttamente al danneggiato dopo il D.M. 232/2023, privilegiano la riduzione ex ante del rischio attraverso standard organizzativi stringenti; le Regioni e la sanità privata, che devono garantire continuità dell’offerta e sostenibilità economica, temono che quegli stessi standard, se trasfusi nei requisiti di accreditamento, possano trasformarsi in un boomerang, aumentando i costi, riducendo la flessibilità del sistema e accentuando l’esposizione al contenzioso. L’equilibrio tra queste esigenze passa, in ultima analisi, per una definizione di requisiti di risk management che, pur essendo sufficientemente robusti da incidere davvero sulla sicurezza, siano modulati in modo proporzionato alla dimensione e alla complessità delle strutture, e accompagnati da politiche tariffarie e assicurative che riconoscano e valorizzino gli investimenti in prevenzione, evitando che la gestione del rischio venga percepita solo come un costo aggiuntivo o come un moltiplicatore di responsabilità.