Risk ManagementPillarFMEARCAPARM

Rischio Clinico in Sanità: la guida completa a gestione e strumenti (FMEA, RCA, PARM)

F

Fabio Vantaggiato

Autore

10 luglio 2026

Il rischio clinico è la probabilità che un paziente subisca un danno o un disagio imputabile alle cure ricevute: gestirlo in modo strutturato è un obbligo di legge e una leva di qualità per ogni struttura sanitaria. Questa guida completa spiega cosa prevede la normativa italiana — dalla Legge 208/2015 alla Gelli-Bianco a regime — come si organizza la governance del rischio, quali sono le metodologie reattive e proattive (incident reporting, RCA, audit clinico, FMEA/FMECA, Safety Walkaround), come si costruisce il PARM, quali indicatori misurare e come scegliere gli strumenti software per rendere tutto questo tracciabile e dimostrabile.

Cos'è il rischio clinico e perché la sua gestione è obbligatoria

Nella letteratura sulla sicurezza delle cure, il rischio clinico è la probabilità che un paziente sia vittima di un evento avverso, cioè che subisca un danno o un disagio — anche solo potenziale — imputabile alle cure sanitarie ricevute, e non alla malattia di base. La gestione del rischio clinico (clinical risk management) è l'insieme di metodi, ruoli e strumenti con cui una struttura sanitaria identifica, analizza, tratta e monitora questi rischi in modo sistematico, con l'obiettivo di ridurre la probabilità e la gravità degli eventi dannosi.

La tassonomia di base distingue tre categorie di eventi, in ordine crescente di gravità:

  • Near miss (quasi evento): un errore che avrebbe potuto causare un danno ma non lo ha causato, per intercettazione tempestiva o per circostanze fortuite. È la miniera informativa più preziosa: rivela le fragilità del sistema senza il costo umano dell'evento;
  • Evento avverso: un danno effettivamente occorso al paziente, imputabile alle cure. Può essere prevenibile o non prevenibile;
  • Evento sentinella: un evento avverso di particolare gravità — potenzialmente indicativo di un serio malfunzionamento del sistema — che richiede un'indagine immediata e l'attivazione delle misure previste dalle Raccomandazioni ministeriali.

In Italia la gestione del rischio clinico non è una buona pratica facoltativa: è una funzione obbligatoria. La Legge 28 dicembre 2015, n. 208 (art. 1, commi 538-540) ha imposto a tutte le strutture, pubbliche e private, l'attivazione di una funzione di monitoraggio, prevenzione e gestione del rischio sanitario. La Legge 8 marzo 2017, n. 24 (Gelli-Bianco) ha poi elevato il principio a livello di sistema: l'art. 1 qualifica la sicurezza delle cure come parte costitutiva del diritto alla salute, l'art. 2 istituisce i Centri regionali per la gestione del rischio sanitario e l'art. 3 l'Osservatorio nazionale delle buone pratiche sulla sicurezza in sanità presso AGENAS. Con i decreti attuativi — in particolare il D.M. 232/2023 in materia assicurativa — la legge è a regime dal 16 marzo 2026: gli obblighi non sono più un orizzonte, sono esigibili.

C'è però una ragione più profonda dell'obbligo normativo: la gestione del rischio clinico funziona. Un sistema maturo riduce gli eventi prevenibili, contiene il contenzioso, migliora il clima interno e rende la struttura più credibile verso pazienti, assicuratori e organi di vigilanza. Le sezioni che seguono descrivono come costruirlo, pezzo per pezzo.

La governance: risk manager, comitato, Centri regionali

La prima decisione organizzativa riguarda chi fa cosa. La normativa non impone un modello unico, ma la prassi consolidata nelle strutture italiane si articola su tre livelli.

Il primo livello è la funzione di risk management, guidata dal clinical risk manager: una figura identificata formalmente, con mandato scritto della direzione, risorse dedicate e accesso diretto al vertice aziendale. Il risk manager coordina la raccolta e l'analisi delle segnalazioni, conduce o facilita le analisi degli eventi, redige il piano annuale e la relazione consuntiva, cura la formazione. Può essere una figura interna o affiancata da consulenza specialistica: ciò che conta è che la funzione esista, sia riconoscibile e produca evidenze.

Il secondo livello è collegiale: il comitato per la sicurezza dei pazienti (o unità di gestione del rischio), che riunisce direzione sanitaria, risk management, qualità, professioni sanitarie, farmacia e — dove pertinente — ufficio legale e area assicurativa. È la sede in cui si validano le priorità, si approvano le azioni correttive trasversali e si integra la gestione dei sinistri con la prevenzione, spesso attraverso il Comitato Valutazione Sinistri. In molte strutture il comitato coinvolge anche il DPO: eventi avversi e segnalazioni contengono dati sanitari, e la protezione dei dati è parte del disegno del sistema, non un adempimento successivo.

Il terzo livello è esterno alla struttura: i Centri regionali per la gestione del rischio sanitario e la sicurezza del paziente (art. 2 della Gelli-Bianco), che raccolgono i dati dalle strutture del territorio e li trasmettono all'Osservatorio nazionale delle buone pratiche presso AGENAS (art. 3). Questo flusso a cascata ha una conseguenza operativa precisa: i dati che la struttura produce internamente devono essere strutturati, classificati e aggregabili, perché prima o poi qualcuno li chiederà in quel formato.

Un ultimo elemento di governance, spesso sottovalutato, è la tutela dell'analisi interna: l'art. 16 della Gelli-Bianco stabilisce che i verbali e gli atti conseguenti all'attività di gestione del rischio clinico non possono essere acquisiti o utilizzati nell'ambito dei procedimenti giudiziari. È la garanzia che rende possibile una cultura della segnalazione non punitiva: chi analizza un evento per imparare deve poterlo fare senza che quel lavoro diventi materiale d'accusa.

Le metodologie reattive: imparare da ciò che è accaduto

Le metodologie reattive partono da un evento già occorso — o quasi occorso — e ne ricostruiscono le cause per evitare che si ripeta. Sono il motore di apprendimento del sistema.

Incident reporting: la porta d'ingresso del sistema

L'incident reporting è il flusso strutturato con cui gli operatori segnalano near miss, eventi avversi ed eventi sentinella. È la fonte primaria di conoscenza sul rischio reale della struttura, e la sua qualità dipende da tre condizioni: la segnalazione deve essere facile (pochi minuti, da qualunque postazione), sicura (garanzie di non punibilità e riservatezza) e utile (chi segnala deve vedere che le segnalazioni producono analisi e azioni, altrimenti smette). Un tasso di segnalazione che cresce, nei primi anni, non indica una struttura più pericolosa: indica una struttura che ha iniziato a vedere. Al tema abbiamo dedicato un approfondimento completo: Incident reporting in sanità: come costruire un sistema di segnalazione che funziona.

Al flusso interno si affianca il flusso ministeriale SIMES (D.M. 11 dicembre 2009), che raccoglie a livello nazionale gli eventi sentinella e le denunce dei sinistri: gli eventi più gravi devono quindi essere gestiti su un doppio binario, interno (analisi e azioni) ed esterno (debito informativo).

Root Cause Analysis (RCA)

La RCA è l'analisi sistematica delle cause profonde di un evento avverso significativo o di un evento sentinella. Il principio guida è lo spostamento dello sguardo dalla persona al sistema: non "chi ha sbagliato", ma "quali condizioni organizzative hanno reso l'errore possibile o non intercettato". Il percorso tipico prevede la ricostruzione della cronologia dell'evento, l'identificazione dei fattori contribuenti (comunicazione, formazione, tecnologie, carichi di lavoro, ambiente, procedure) con tecniche come i "cinque perché" o il diagramma causa-effetto, e la definizione di azioni correttive con responsabili e scadenze. Una RCA che si chiude con "richiamare l'operatore al rispetto della procedura" è una RCA fallita: le azioni efficaci modificano il sistema, non la buona volontà dei singoli.

Audit clinico

L'audit clinico confronta la pratica reale con standard espliciti — linee guida SNLG (art. 5 della Gelli-Bianco), Raccomandazioni ministeriali, procedure interne — su un tema circoscritto: la profilassi antibiotica, la gestione della documentazione, l'identificazione del paziente. Il ciclo è sempre lo stesso: definire criteri e standard, misurare la pratica, analizzare gli scostamenti, introdurre correttivi, ri-misurare (re-audit). Anche per l'audit vale la protezione dell'art. 16: i verbali dell'attività di gestione del rischio non sono utilizzabili nei giudizi, proprio per consentire un confronto professionale franco.

Mortality & Morbidity review

La M&M review è la riunione strutturata e periodica in cui un'équipe discute casi di decesso o complicanza selezionati per il loro potenziale di apprendimento. Rispetto alla RCA è più leggera e più frequente: non richiede un evento sentinella per attivarsi e mantiene viva l'abitudine alla revisione critica tra pari. Perché funzioni servono regole chiare: casi scelti in anticipo, discussione senza finalità disciplinari, conclusioni tracciate e riprese negli incontri successivi.

Analisi dei sinistri

Richieste di risarcimento, reclami e contenziosi sono a tutti gli effetti una fonte informativa sul rischio: raccontano gli eventi che sono arrivati fino al paziente e alle sue tutele. L'analisi sistematica dei sinistri — per area, tipologia, esito — alimenta le priorità del piano annuale e chiude il cerchio tra la dimensione assicurativo-legale e quella preventiva. La sede naturale di questa integrazione è il Comitato Valutazione Sinistri, dove istituito.

Le metodologie proattive: anticipare l'errore

Le metodologie proattive non aspettano l'evento: analizzano i processi per individuare dove l'errore potrebbe verificarsi e lo prevengono. Un sistema maturo bilancia le due famiglie: solo reattivo, insegue; solo proattivo, perde il contatto con la realtà operativa.

FMEA / FMECA: l'analisi dei modi di errore

La FMEA (Failure Mode and Effects Analysis) e la sua variante quantitativa FMECA (che aggiunge l'analisi di criticità) scompongono un processo nelle sue fasi e, per ciascuna fase, si chiedono: che cosa può andare storto (modo di errore), con quali effetti, per quali cause? Ogni modo di errore viene poi valutato da un gruppo multidisciplinare su tre dimensioni — gravità dell'effetto, probabilità di accadimento e rilevabilità dell'errore prima che raggiunga il paziente — tipicamente su scale numeriche il cui prodotto genera un indice di priorità del rischio (IPR). L'IPR ordina i modi di errore e concentra le contromisure dove il rischio è più alto e meno visibile.

Un esempio applicativo classico è il processo di gestione della terapia farmacologica in reparto. Il gruppo di lavoro scompone il processo nelle fasi di prescrizione, preparazione, somministrazione e monitoraggio; per ciascuna identifica i modi di errore — lo scambio tra farmaci LASA (dal nome o dall'aspetto simile), l'errore di dosaggio in preparazione, l'omissione di una somministrazione, l'errata identificazione del paziente — e li valuta su gravità, probabilità e rilevabilità. Un errore di scambio LASA in somministrazione, ad esempio, risulterà tipicamente critico perché grave e difficile da rilevare una volta avvenuto: le azioni conseguenti agiranno sul sistema (separazione fisica ed etichettatura dei farmaci LASA, doppio controllo indipendente per i farmaci ad alto rischio, verifica attiva dell'identità del paziente prima della somministrazione), non sull'attenzione individuale. La forza della FMEA è proprio questa: rende esplicito e condiviso un rischio che ciascun professionista conosceva solo in parte.

Safety Walkaround

Il Safety Walkaround (o giro per la sicurezza) porta la direzione fisicamente nei reparti per parlare di sicurezza con chi lavora sul campo: visite programmate, domande semplici — quali situazioni vi preoccupano, cosa vi ha quasi fatto sbagliare di recente, cosa vi servirebbe — e impegni tracciati. Il valore è doppio: emergono rischi che nessun modulo di segnalazione intercetta, e gli operatori vedono che la direzione considera la sicurezza un tema proprio, non delegato. La condizione di credibilità è il follow-up: un walkaround i cui impegni non producono nulla erode la fiducia più di quanto la visita l'abbia costruita.

Checklist di sala operatoria

La checklist di sicurezza chirurgica, promossa dall'OMS e recepita in Italia dal Ministero della Salute, è probabilmente lo strumento proattivo più noto: una verifica strutturata in tre momenti — prima dell'induzione dell'anestesia (sign in), prima dell'incisione (time out), prima che il paziente lasci la sala (sign out) — su identità del paziente, sito e procedura, allergie, disponibilità di emocomponenti, conteggio di garze e strumenti. La sua efficacia dipende dall'esecuzione reale, non dalla spunta: il time out fatto "a voce alta, tutti fermi" è una barriera; la checklist compilata a fine intervento è un modulo. Il monitoraggio dell'aderenza alla checklist è, a sua volta, un indicatore tipico dei piani annuali di risk management.

Il PARM: il piano che tiene insieme il sistema

Il Piano Annuale di Risk Management (PARM) è il documento di pianificazione che trasforma le metodologie viste finora in un programma di lavoro: analizza il contesto e i dati dell'anno precedente (segnalazioni, sinistri, audit, indicatori), definisce obiettivi e priorità, assegna responsabilità e scadenze, pianifica la formazione e stabilisce come verrà misurato l'avanzamento. A consuntivo, la relazione annuale rende conto di ciò che è stato fatto e di ciò che i dati mostrano.

Il PARM è anche il punto in cui la funzione di risk management si gioca la propria credibilità verso la direzione e verso gli organi di vigilanza: un piano generico, fotocopiato di anno in anno, si smonta al primo confronto con i dati reali della struttura; un piano costruito sulle evidenze interne — quali eventi sono davvero accaduti, quali aree hanno segnalato di più, quali azioni dell'anno precedente sono state chiuse — è la prova documentale che la funzione obbligatoria prevista dalla Legge 208/2015 non esiste solo sull'organigramma. Alla costruzione del PARM, con struttura tipo e ciclo annuale, abbiamo dedicato una guida specifica: PARM: come costruire il Piano Annuale di Risk Management.

Responsabilità professionale e assicurazioni dopo la Gelli-Bianco

La gestione del rischio clinico vive dentro una cornice di responsabilità giuridica che la Gelli-Bianco ha ridisegnato. In estrema sintesi: la struttura risponde a titolo contrattuale verso il paziente, mentre il professionista — quando opera all'interno della struttura senza un'obbligazione contrattuale diretta con il paziente — risponde a titolo extracontrattuale. Questo doppio binario sposta il baricentro del contenzioso sulla struttura e rende la qualità del suo sistema di risk management un elemento di difesa concreto: la capacità di documentare procedure, analisi degli eventi e azioni correttive pesa nella ricostruzione di ciò che la struttura aveva fatto per prevenire il danno.

Sul fronte assicurativo, l'art. 10 della legge impone alle strutture sanitarie e sociosanitarie una copertura assicurativa obbligatoria — o "analoghe misure" di assunzione diretta del rischio — per la responsabilità civile verso terzi e verso i prestatori d'opera. Con il decreto attuativo D.M. 232/2023 e il passaggio a regime dal 16 marzo 2026, questi obblighi sono diventati pienamente esigibili, e con essi la necessità di dimostrare — a assicuratori, vigilanza e controparti — un impianto di gestione del rischio effettivo e documentato. Non a caso, la qualità del sistema di risk management incide sempre più anche sulle condizioni di assicurabilità della struttura. Per l'analisi completa degli impatti operativi della scadenza rimandiamo all'approfondimento dedicato: Legge Gelli-Bianco a regime dal 16 marzo 2026: cosa cambia per le strutture sanitarie.

Indicatori e misurazione del rischio clinico

Ciò che non si misura non si governa: senza indicatori, il risk management resta un insieme di attività senza direzione. Un cruscotto ben costruito combina tre famiglie di misure.

  • Indicatori di processo: misurano il funzionamento del sistema stesso — tasso di segnalazione per area e per categoria di evento, tempi di presa in carico e di chiusura delle analisi, percentuale di azioni correttive completate entro la scadenza, aderenza alla checklist di sala operatoria, copertura della formazione;
  • Indicatori di esito: misurano ciò che accade ai pazienti — la tipologia classica è il tasso di eventi rapportato all'attività, come gli eventi avversi o le cadute per 1.000 giornate di degenza, oppure le infezioni correlate all'assistenza sui pazienti a rischio. Il rapporto con il denominatore di attività è essenziale: i valori assoluti non permettono confronti tra periodi né tra reparti con volumi diversi;
  • Indicatori di cultura: rilevazioni periodiche sul clima di sicurezza percepito dagli operatori, che anticipano i segnali che gli altri indicatori mostreranno solo più tardi.

Due avvertenze di metodo. Primo: gli indicatori vanno letti in tendenza e in contesto, non in valore assoluto — un aumento delle segnalazioni dopo una campagna formativa è un successo del sistema, non un peggioramento della sicurezza. Secondo: ogni indicatore deve avere un proprietario, una fonte dati definita e una periodicità di revisione, tipicamente agganciata al ciclo del PARM e della relazione annuale. Un indicatore che nessuno guarda è solo un numero.

Il ruolo della tecnologia: perché i fogli Excel non bastano

Molte strutture gestiscono ancora segnalazioni, analisi e piani su moduli cartacei e fogli di calcolo. Finché il sistema è giovane e i volumi bassi, sembra funzionare. Ma un foglio Excel ha limiti strutturali che emergono esattamente quando il sistema inizia a fare sul serio:

  • Nessun workflow: la presa in carico di una segnalazione, l'assegnazione dell'analisi, i solleciti sulle azioni scadute dipendono dalla memoria delle persone, non dal sistema;
  • Nessuna tracciabilità: chi ha modificato cosa, e quando? In un contesto in cui la capacità di dimostrare è parte dell'adempimento, l'assenza di audit trail è una vulnerabilità;
  • Aggregazione manuale: ogni relazione annuale, ogni flusso verso il Centro regionale, ogni richiesta della direzione diventa un lavoro artigianale di copia-incolla, con errori e versioni divergenti;
  • Riservatezza fragile: le segnalazioni contengono dati sanitari; file condivisi in rete o inviati via e-mail non offrono il controllo degli accessi che il GDPR e il buon senso richiedono;
  • Nessuna scala: quando le segnalazioni crescono — ed è l'obiettivo — il sistema manuale collassa proprio nel momento del successo.

Nella scelta di un software di risk management i criteri che contano sono la copertura del ciclo completo (dalla segnalazione all'azione correttiva alla reportistica), la coerenza delle tassonomie con i flussi ministeriali e regionali, la configurabilità dei workflow sull'organizzazione reale, l'usabilità per il segnalatore occasionale, la sicurezza e la conformità GDPR, e la capacità di produrre automaticamente le evidenze che PARM e relazione annuale richiedono. Abbiamo raccolto criteri, domande da fare ai fornitori e trappole da evitare in una guida dedicata: la buyer's guide al software di risk management sanitario.

Un'ultima considerazione, sempre più attuale: il rischio clinico e il rischio cyber convergono. Le strutture sanitarie sono tra i soggetti del perimetro NIS2, e un incidente informatico che blocca i sistemi clinici è, a tutti gli effetti, anche un rischio per la sicurezza dei pazienti — con obblighi di notifica ad ACN scanditi su finestre strette. Le due discipline condividono la stessa grammatica: segnalazione tempestiva, analisi delle cause, azioni correttive, evidenze documentali. Per la parte cyber, vedi Notifica incidenti NIS2: la procedura 24h / 72h / 1 mese verso ACN.

Easy Risk: la piattaforma per la gestione del rischio clinico

Easy Risk è la piattaforma di Easy Health che digitalizza il ciclo di gestione del rischio clinico descritto in questa guida: il registro dei rischi classificati per area, processo, probabilità e impatto; l'incident reporting strutturato di near miss, eventi avversi ed eventi sentinella, con workflow di presa in carico, analisi e chiusura interamente tracciato; il monitoraggio delle aree prioritarie ministeriali; il PARM come strumento dinamico con responsabilità e avanzamento; la relazione annuale generata aggregando i dati raccolti; l'integrazione tra reclami, feedback dei pazienti e gestione dei sinistri. L'obiettivo non è sostituire le scelte organizzative della struttura, ma renderle misurabili, tracciabili e dimostrabili — che è esattamente ciò che la normativa a regime richiede.

FAQ sul rischio clinico

Qual è la differenza tra rischio clinico e sicurezza delle cure?

Sono due facce dello stesso tema: il rischio clinico è la probabilità del danno, la sicurezza delle cure è la condizione che si vuole garantire riducendo quel rischio. La Gelli-Bianco (art. 1) usa la seconda formula e la qualifica come parte costitutiva del diritto alla salute: la gestione del rischio clinico è lo strumento operativo con cui la sicurezza delle cure si realizza.

La funzione di gestione del rischio è obbligatoria anche per le strutture private e ambulatoriali?

Sì. La Legge 208/2015 (art. 1, commi 538-540) richiede l'attivazione della funzione di monitoraggio, prevenzione e gestione del rischio sanitario in tutte le strutture, pubbliche e private. La scala degli strumenti va proporzionata alla complessità della struttura, ma il principio — funzione identificata, segnalazione degli eventi, analisi e azioni documentate — vale per tutti.

Meglio partire dalle metodologie reattive o da quelle proattive?

Dalle reattive, quasi sempre: un incident reporting funzionante è il prerequisito di tutto il resto, perché genera i dati su cui costruire priorità credibili. Le metodologie proattive (FMEA, walkaround, checklist) si innestano bene su un sistema che ha già imparato a raccogliere e analizzare gli eventi — e il PARM è lo strumento con cui dosare le due famiglie anno per anno.

Le analisi interne degli eventi possono essere usate contro la struttura in giudizio?

L'art. 16 della Gelli-Bianco stabilisce che i verbali e gli atti conseguenti all'attività di gestione del rischio clinico non possono essere acquisiti o utilizzati nei procedimenti giudiziari. È la tutela pensata proprio per consentire analisi franche e una cultura della segnalazione non punitiva. Resta ferma, naturalmente, la disciplina ordinaria sulla documentazione clinica del paziente.

Vuoi strutturare la gestione del rischio clinico nella tua organizzazione?

Il team Easy Health affianca direzioni sanitarie e risk manager nella costruzione del sistema di risk management: metodologie, piano annuale e piattaforma software per rendere tutto tracciabile e dimostrabile.

Scopri la piattaforma Easy Risk oppure contattaci per una call dedicata.

Ti interessa approfondire?

Contattaci per scoprire come le nostre soluzioni possono supportare la tua organizzazione sanitaria.

Parla con un esperto

Parla con noi

Siamo pronti ad ascoltare le esigenze di ogni struttura sanitaria. Compilare il modulo per richiedere una demo o una consulenza specialistica.

Rischio Clinico in Sanità: la guida completa a gestione e strumenti (FMEA, RCA, PARM) | Easy Health