Dalla colpa alla causa: per un approccio sistemico alla sicurezza delle cure

Dalla colpa alla causa: Per un approccio sistemico alla sicurezza delle cure

Riflessioni a margine del caso Caliendo

Negli ultimi giorni, i media italiani hanno dedicato ampia attenzione alla vicenda del trapianto di cuore del piccolo Domenico Caliendo, deceduto il 21 febbraio 2026 presso l’Ospedale Monaldi di Napoli a seguito di un intervento di cardiochirurgia. L’esposizione mediatica è stata intensa; meno approfondita, tuttavia, è risultata l’analisi delle cause sistemiche che possono aver contribuito all’evento avverso.

Prima di ogni considerazione di carattere tecnico e sistemico, la nostra Società Scientifica – Società Italiana dei Gestori del Rischio in Sanità (SIGeRIS) – desidera esprimere la propria sincera solidarietà alla famiglia del piccolo Domenico Caliendo in questo momento di grave dolore. Nel rispetto della sofferenza che accompagna una perdita così drammatica, riteniamo doveroso ribadire la nostra attenzione umana e professionale verso le persone coinvolte.

Nel contesto culturale italiano permane una marcata tendenza a concentrare il dibattito pubblico sulla ricerca del “colpevole”, piuttosto che sull’individuazione delle condizioni organizzative che rendono possibile l’errore. Questo approccio, oltre a essere epistemologicamente riduttivo, non consente di identificare e correggere le vulnerabilità strutturali del sistema, che costituiscono il vero terreno su cui si genera il rischio sanitario.

L’esperienza maturata nell’applicazione dello standard Phœnix 5.0, sviluppato a seguito dello studio di oltre 170 strutture ospedaliere, conferma la centralità dell’Analisi delle Cause Profonde (Root Cause Analysis – RCA).¹ Tale metodologia, fatta propria dal Ministero della Salute,² sposta il focus dalla responsabilità individuale ai fattori latenti di sistema: assetti organizzativi, modelli decisionali, flussi comunicativi, formazione, barriere di sicurezza e cultura professionale.

Nella nostra attività di analisi, anche in presenza di condotte apparentemente riconducibili a singoli operatori, l’esito ha frequentemente evidenziato criticità organizzative senza le quali l’evento non si sarebbe verificato. Come SIGeRIS, stimiamo che nel 96% degli eventi dannosi in sanità non vi sia una responsabilità individuale, bensì difetti organizzativi derivanti da carenze di conoscenza sistemica, insufficiente strutturazione dei processi o inadeguate barriere preventive.

Per “conoscenza” intendiamo la piena comprensione dei meccanismi profondi che conducono all’evento: fattori spesso non immediatamente evidenti e, pertanto, non adeguatamente presidiati. La sottovalutazione di eventi ritenuti “improbabili” rappresenta uno dei principali generatori di rischio, come ampiamente dimostrato dalla letteratura sulla sicurezza dei sistemi complessi.

La storia dell’aviazione civile offre, in tal senso, un esempio emblematico. Il 24 marzo 2015, il volo Germanwings 9525 partito da Barcellona e diretto a Düsseldorf, si schiantò sulle Alpi francesi causando la morte di tutte le 150 persone a bordo. Come accertato dal rapporto finale del Bureau d’Enquêtes et d’Analyses (BEA),³ il copilota Andreas Lubitz, rimasto solo nella cabina di pilotaggio dopo l’uscita del comandante, impedì a quest’ultimo di rientrare e avviò deliberatamente la discesa dell’aeromobile fino all’impatto. L’evento, ritenuto fino ad allora altamente improbabile nella prassi operativa, evidenziò gravi lacune nei sistemi di controllo e nelle barriere organizzative relative all’accesso al cockpit, inducendo la Commissione europea ad adottare un piano d’azione specifico per la sicurezza aerea.⁴

La sicurezza non si fonda sulla presunzione di infallibilità dell’individuo, ma sulla progettazione di sistemi resilienti. In ambito aeronautico, il pilota esegue sistematicamente checklist articolate (Preparation/Safety, Before Start, After Start, Taxi, Before Take-off) non per carenza di competenza, ma perché l’essere umano, per definizione, è un generatore di errori.⁵

In sanità accade sovente il contrario: strumenti come la checklist di sala operatoria – raccomandata dall’Organizzazione Mondiale della Sanità e fatta propria dal Ministero della Salute⁶ – vengono percepiti come incombenze burocratiche e non come dispositivi di sicurezza ad alta efficacia preventiva. Questa lettura è essa stessa un indicatore di fragilità culturale.

L’errore non si previene affidandosi alla memoria o alla buona volontà del singolo, ma progettando processi standardizzati, verificabili e replicabili.

La vera questione è dunque culturale. I percorsi formativi degli operatori sanitari spesso non integrano, in modo sistematico e omogeneo a livello nazionale, i principi del risk management e dell’analisi dei fattori latenti. L’assenza di una modellazione condivisa e standardizzata dei processi di gestione del rischio favorisce la ripetizione di eventi analoghi in contesti differenti, spesso senza adeguata capitalizzazione dell’esperienza maturata altrove.

In questo scenario, l’adozione di un framework strutturato e validato – come quello proposto dallo standard Phœnix 5.0 – potrebbe rappresentare un riferimento metodologico nazionale per uniformare linguaggi, criteri di analisi, classificazione dei fattori causali e progettazione delle barriere preventive. Non come sovrastruttura burocratica, ma come architettura comune orientata alla prevenzione e alla misurabilità del rischio.

Molti eventi avversi non raggiungono la ribalta mediatica, ma questo non ne riduce l’impatto sul sistema e sulle persone coinvolte. La ricerca della colpa produce una risposta emotiva e sanzionatoria; la ricerca delle cause produce apprendimento organizzativo e prevenzione.

Se l’obiettivo è accrescere in modo concreto la sicurezza delle cure, il sistema deve garantire un contesto strutturato e protetto in cui gli eventi avversi possano essere analizzati senza timore di immediata traslazione sul piano giudiziario. L’analisi deve essere tecnica, metodologicamente rigorosa e orientata all’individuazione dei fattori latenti, non alla ricerca del responsabile.

In questo quadro, un presidio normativo fondamentale è rappresentato dall’articolo 16 della Legge 24/2017,⁷ che, modificando l’art. 1, comma 539, lett. a), della L. 28 dicembre 2015, n. 208, stabilisce al secondo periodo:

«I verbali e gli atti conseguenti all’attività di gestione del rischio clinico non possono essere acquisiti o utilizzati nell’ambito di procedimenti giudiziari.»

Il legislatore ha quindi riconosciuto formalmente che la gestione del rischio richiede uno spazio di analisi riservato, funzionalmente separato dal circuito giudiziario e finalizzato all’apprendimento organizzativo e alla prevenzione del danno. Senza questa tutela, il sistema verrebbe inevitabilmente sospinto verso dinamiche di medicina difensiva⁸ e silenziamenti informativi, incompatibili con una reale cultura della sicurezza. In questa direzione si muove anche il D.M. 232/2023,⁹ attuativo della medesima Legge 24/2017, che disciplina i requisiti dei contratti assicurativi per la responsabilità civile delle strutture sanitarie.

Permane tuttavia una criticità strutturale che incide in modo significativo sulla tenuta del sistema: in molte realtà aziendali il ruolo del gestore del rischio non è ancora pienamente integrato nei processi decisionali strategici e nella pianificazione delle attività ordinarie. L’assenza di un coinvolgimento sistematico e tempestivo nelle scelte organizzative determina inevitabili lacune nella progettazione dei processi, nella definizione delle barriere preventive e nel monitoraggio delle vulnerabilità, aumentando la probabilità che condizioni latenti possano evolvere in errore.

Solo consolidando un modello nazionale fondato sull’analisi strutturata degli eventi, sulla condivisione sistematica delle evidenze e sulla standardizzazione dei processi correttivi, sarà possibile trasformare l’errore in conoscenza e la conoscenza in prevenzione, rafforzando in modo sostanziale l’affidabilità dell’assistenza sanitaria nel nostro Paese.