La checklist operativa per Risk Manager e Direzioni Sanitarie: 34 criteri per valutare i software di gestione del rischio clinico nelle strutture del SSN.
Con la piena operatività della Legge 24/2017 (Gelli-Bianco) dal 16 marzo 2026, la funzione di risk management nelle strutture del SSN non è più un'opzione: deve essere tracciabile, rendicontabile e integrata con la governance clinica dell'azienda. La scelta del software di supporto diventa una decisione strategica, non solo tecnologica.
Questa guida raccoglie 40 criteri operativi per valutare un software di Risk Management in ASL, ASST, AOU e IRCCS. Ogni criterio ha un codice stabile (es. CN-01) che può essere riutilizzato in un capitolato, in un'RFI o in una griglia di valutazione delle demo. L'obiettivo è rendere oggettivo un confronto che tende, per sua natura, a essere influenzato dalle preferenze di chi valuta.
La checklist è organizzata in 8 aree tematiche: conformità normativa, incident reporting e workflow, registro rischi e governance, analytics e reportistica, integrazioni, sicurezza dei dati, usabilità e fornitore.
Criteri calibrati sulle ASL, ASST, AOU e IRCCS: linguaggio, normativa e flussi operativi riconoscibili dal giorno zero.
8 aree tematiche, da Gelli-Bianco a interoperabilità, per un confronto oggettivo tra fornitori.
Ogni criterio ha un codice stabile pensato per essere riutilizzato in un'RFI, una griglia di valutazione o un verbale di demo.
La checklist
Ogni criterio è pensato per essere verificabile durante una demo o richiedibile formalmente al fornitore. Il codice accanto al titolo (es. CN-01) ti permette di riferirlo in modo univoco in capitolato, in una griglia di valutazione o in un verbale.
Area 01 · 7 criteri
Aderenza a Legge 24/2017 (Gelli-Bianco), D.lgs. 502/1992, raccomandazioni ministeriali sugli eventi sentinella e requisiti di audit trail.
Modellazione delle funzioni di risk management richieste dall’Art. 1 Legge 24/2017, con tracciabilità degli eventi avversi e delle azioni correttive richieste a regime dal 16 marzo 2026.
Generazione automatica della relazione annuale con dati aggregati per Direzione Sanitaria, con formato editabile e template conforme alle indicazioni regionali.
Le 19 raccomandazioni ministeriali sugli eventi sentinella sono mappate nel sistema come categorie di rischio attivabili e associabili a indicatori.
Compatibilità con il flusso SIMES (Sistema Informativo per il Monitoraggio degli Errori in Sanità) e con i flussi informativi regionali omologhi.
Ogni modifica su eventi, PARM e sinistri deve essere loggata con utente, timestamp e motivazione; il log deve essere esportabile e non modificabile.
Supporto al Comitato Valutazione Sinistri con repository documentale, stati delle pratiche, scadenziario, interlocuzione assicurazioni.
Report ed esportazioni pensati per le richieste periodiche di Regione, AGENAS, assicurazioni e organi di controllo.
Area 02 · 6 criteri
Qualità della segnalazione, anonimato, workflow di presa in carico e strumenti di analisi delle cause.
Tempo medio di compilazione di una segnalazione (near miss, evento avverso, caduta) inferiore a un minuto per il personale di reparto.
Possibilità di segnalare in modo anonimo senza richiedere login nominativo e senza tracciare indirettamente l’utente tramite IP/device.
Form specifici per near miss, evento avverso, evento sentinella, caduta, errore in terapia, identificazione paziente, ICA.
Stati, ruoli e SLA di escalation configurabili: presa in carico, analisi, azioni correttive, chiusura, verifica efficacia.
Il sistema deve guidare la Root Cause Analysis reattiva e la FMEA/FMECA proattiva con template, non solo un campo note libero.
Ogni azione correttiva ha responsabile, scadenza, stato, esito della verifica di efficacia e follow-up pianificato.
Area 03 · 5 criteri
Registro unico dei rischi, Piano Annuale di Risk Management, mappatura processi e governance del miglioramento continuo.
Un unico registro centrale con classificazione per area, processo, probabilità, impatto e stato delle azioni; filtrabile per UO.
Il PARM non è un documento statico: il sistema traccia priorità, azioni, stato di avanzamento, responsabili e KPI in tempo reale.
Possibilità di modellare processi (es. chirurgia, terapia farmacologica, trasfusionale) e collegarli ai rischi identificati.
Ogni rischio nel registro è navigabile fino agli eventi avversi correlati, alle azioni in corso e agli indicatori di esito/esperienza.
Visibilità e permessi differenziati per Direzione Strategica, Presidio Ospedaliero, Dipartimento, Unità Operativa.
Area 04 · 4 criteri
Cruscotti, indicatori e reportistica per la Direzione Strategica, gli uffici qualità e la comunicazione esterna.
KPI di sicurezza delle cure visibili senza passaggi manuali: eventi per UO, tempi medi di chiusura, azioni scadute, eventi sentinella.
Serie storiche su eventi, near miss, sinistri e azioni correttive per valutare l’efficacia del risk management nel tempo.
Esportazioni ricche di metadati per alimentare data warehouse regionali, debiti informativi e tavoli tecnici interni.
Confronto fra Unità Operative e Presidi su indicatori omogenei, con controllo del rischio di esporre dati nominativi.
Area 05 · 5 criteri
Capacità di dialogare con cartella clinica, ADT, CUP, FSE, sistemi di qualità e piattaforme regionali.
Autenticazione integrata con Active Directory o IdP aziendale, con provisioning/deprovisioning automatico dei ruoli.
API per associare eventi, segnalazioni e sinistri al paziente corretto senza reinserimento manuale dei dati anagrafici.
Supporto a formati standard di interoperabilità in ottica FSE 2.0 e di scambio con gli applicativi regionali.
API REST/GraphQL documentate (OpenAPI) per automazioni interne e integrazioni custom senza dipendenza esclusiva dal vendor.
Non conformità, audit ISO 9001 e segnalazioni di risk management devono poter convergere senza doppia data entry.
Area 06 · 6 criteri
Protezione dei dati sanitari, conformità GDPR, cloud nazionale, misure tecniche e organizzative.
Il dato sanitario risiede su infrastruttura qualificata ACN (ex AgID) o su infrastruttura aziendale; il vendor deve garantire la sovranità del dato.
Registro dei trattamenti, DPIA sul trattamento dei dati clinici e di personale sanitario, gestione dei diritti dell’interessato.
Dati cifrati a riposo (AES-256) e in transito (TLS 1.2+), con gestione chiavi documentata.
Permessi a granularità di campo/modulo, separazione delle funzioni tra ruoli clinici, amministrativi e di audit.
Politiche di backup, test di ripristino, RTO/RPO dichiarati contrattualmente e compatibili con la criticità dei dati sanitari.
Il fornitore rientra nel perimetro NIS2 o dimostra misure equivalenti: notifica incidenti, supply chain, Art. 20 formazione.
Area 07 · 3 criteri
Esperienza d’uso per il personale di reparto, accessibilità, responsive design e percorsi guidati.
Form responsive testati su mobile e tablet: il personale di reparto deve poter segnalare anche dal posto letto.
Conformità alle linee guida AgID sull’accessibilità della PA e compatibilità con screen reader.
Tour guidati, help contestuale e materiali formativi embedded per ridurre il time-to-competence del personale sanitario.
Area 08 · 4 criteri
Credenziali del fornitore, SLA, roadmap evolutiva, supporto in lingua italiana e referenze.
Referenze verificabili in ASL/ASST/AOU/IRCCS, con casi d’uso su PARM, incident reporting e gestione sinistri.
SLA su uptime (>= 99,5%), tempi di risposta al supporto e penali, non generiche "best effort".
Help desk, affiancamento al Risk Manager e documentazione in italiano, con escalation rapida verso il product team.
Roadmap evolutiva condivisa e possibilità di proporre miglioramenti: evitare fornitori "black box".
Metodo
La checklist non è un questionario di marketing, è uno strumento di governance. Queste sono le quattro leve che aumentano la qualità della decisione.
Trasforma ogni criterio in una domanda vincolante del capitolato: usa il codice (es. CN-01) come identificativo univoco per le risposte del fornitore e per il confronto tra vendor.
Chiedi al fornitore di mostrare dal vivo come risponde a ciascun criterio. Assegna una valutazione per livelli: conforme / parziale / assente / non applicabile, con evidenza (screenshot, documento).
Non tutti i criteri hanno lo stesso peso per la tua struttura. Concorda una pesatura con Direzione Sanitaria, Ufficio Qualità e IT prima di procedere al confronto, per evitare bias a posteriori.
Riporta in relazione annuale e in Comitato Valutazione Sinistri la metodologia di scelta: una selezione tracciabile è parte integrante della governance del rischio clinico richiesta dalla Legge Gelli-Bianco.
FAQ
Un software di Risk Management sanitario supporta le funzioni di gestione del rischio clinico previste dalla Legge 24/2017: raccoglie e classifica le segnalazioni di eventi avversi e near miss, gestisce il registro unico dei rischi e il Piano Annuale di Risk Management (PARM), traccia azioni correttive, feedback dei pazienti e sinistri, e produce la relazione annuale per la Direzione.
I principali riferimenti sono la Legge 24/2017 (Gelli-Bianco) a regime dal 16 marzo 2026, il D.lgs. 502/1992 e la L. 208/2015 sul governo clinico, le 19 raccomandazioni ministeriali sugli eventi sentinella, il GDPR per il trattamento dei dati sanitari e, per i fornitori rilevanti, il D.Lgs. 138/2024 di recepimento della Direttiva NIS2.
Per le strutture del SSN il criterio decisivo non è on-premise o cloud, ma la qualificazione dell’infrastruttura. Il cloud qualificato ACN (già AgID) è compatibile con la sovranità del dato sanitario e permette aggiornamenti rapidi, disaster recovery e scalabilità. L’on-premise rimane una scelta legittima se la struttura ha competenze interne e capacità di garantire RTO/RPO coerenti con la criticità del dato.
Gli indicatori più robusti sono: il numero di segnalazioni attive per 1.000 giornate di degenza, la quota di segnalazioni chiuse entro SLA, il tempo medio di compilazione di una segnalazione e la distribuzione per UO. Un’adozione sana tende a crescere nei primi 6-12 mesi, poi si stabilizza: un calo suggerisce problemi di usabilità o di fiducia nel feedback di ritorno.
Confronto operativo · Gratuito · ~45 min
Dopo aver letto la checklist, possiamo confrontarci 1:1 sui punti critici del capitolato della tua struttura. Il team Easy Health affianca il Risk Manager nella valutazione dei fornitori e nella definizione del Piano Annuale di Risk Management.
Mostriamo come Easy Risk risponde, punto per punto, ai criteri di questa checklist. La sessione è gratuita e si tiene in remoto in circa 45 minuti.
Richiedi un incontroSiamo pronti ad ascoltare le esigenze di ogni struttura sanitaria. Compilare il modulo per richiedere una demo o una consulenza specialistica.