NIS2 2026 cybersecurity

NIS2 2026: gli obblighi di cybersecurity per poliambulatori

5 Febbraio 2026
, , News

Il D.Lgs. 138/2024 ha recepito in Italia la direttiva europea NIS2 (Network and Information Security), estendendo gli obblighi di sicurezza informatica al settore sanitario privato. Poliambulatori, centri medici specialistici e strutture private di dimensione media che gestiscono dati sanitari digitali rientrano nell’ambito di applicazione. Le scadenze operative partono già dal 2026.

Cosa prevede la direttiva NIS2

La direttiva europea 2022/2555 (NIS2), recepita in Italia con il D.Lgs. 138/2024, introduce obblighi strutturati di gestione del rischio informatico per le organizzazioni che operano in settori considerati critici o importanti per il funzionamento del Paese. La sanità è esplicitamente inclusa tra questi settori.

L’impianto della NIS2 si basa su due pilastri:

  • Misure di sicurezza tecniche e organizzative, che coprono crittografia, controllo degli accessi, backup, risposta agli incidenti, sicurezza della supply chain IT.
  • Obbligo di notifica degli incidenti significativi all’autorità nazionale competente (il CSIRT Italia, gestito dall’ACN — Agenzia per la Cybersicurezza Nazionale), entro 24 ore dalla rilevazione di un incidente grave.

Chi è coinvolto nel settore sanitario privato

La NIS2 non riguarda il singolo medico in libera professione né il piccolo studio monoprofessionale. I soggetti coinvolti sono le organizzazioni che superano determinate soglie dimensionali:

  • Soggetti importanti: strutture con 50-249 dipendenti o fatturato tra 10 e 50 milioni di euro annui
  • Soggetti essenziali: strutture con 250 o più dipendenti o fatturato superiore a 50 milioni di euro annui

Nella pratica, poliambulatori multi-specialistici strutturati, centri diagnostici privati, gruppi medici associati con più sedi e strutture private accreditate con il SSN che operano su larga scala rientrano frequentemente nella prima categoria. Le strutture più grandi (ospedali privati, grandi cliniche) nella seconda.

Chi non supera queste soglie non è soggetto direttamente agli obblighi NIS2, ma rimane comunque tenuto al rispetto del GDPR per la protezione dei dati sanitari.

Le scadenze del 2026

Registrazione ACN (già scaduta il 28 febbraio 2026): i soggetti già identificati come rientranti nella NIS2 dovevano confermare o aggiornare la loro registrazione sulla piattaforma ACN entro il 28 febbraio 2026. I soggetti di nuova identificazione che ancora non si sono registrati devono procedere il prima possibile.

Notifica degli incidenti (operativa dal 15 gennaio 2026): dal 15 gennaio 2026 è pienamente operativo il regime obbligatorio di notifica al CSIRT Italia degli incidenti informatici significativi, entro 24 ore dalla rilevazione.

Implementazione misure di sicurezza: gli obblighi tecnici e organizzativi devono essere assolti entro 18 mesi dalla notifica ufficiale di inserimento nell’elenco dei soggetti NIS da parte di ACN.

Cosa fare in pratica

Le strutture sanitarie private che rientrano nell’ambito NIS2 devono affrontare un percorso di adeguamento articolato:

  1. Verificare se si rientra nell’ambito. Il primo passo è una valutazione interna basata su numero di dipendenti e fatturato annuo. Se si supera una delle due soglie per la categoria “soggetti importanti”, la struttura è soggetta alla NIS2.
  2. Completare la registrazione ACN. La piattaforma di registrazione dell’Agenzia per la Cybersicurezza Nazionale è il punto di ingresso formale nel regime NIS2. Le strutture già identificate che non hanno ancora completato il rinnovo 2026 devono farlo urgentemente.
  3. Effettuare una gap analysis. Confrontare lo stato attuale della sicurezza informatica della struttura con i requisiti NIS2: crittografia dei dati a riposo e in transito, autenticazione multi-fattore, segregazione degli accessi, backup e test di ripristino, procedure di incident response.
  4. Adeguare i sistemi e i processi. Gli interventi tipici includono: aggiornamento delle politiche di accesso ai sistemi informativi, implementazione di sistemi di monitoraggio degli eventi di sicurezza, formalizzazione dei piani di continuità operativa e disaster recovery, verifica dei fornitori IT (supply chain security).
  5. Formare il personale. La NIS2 include tra le misure obbligatorie la formazione sulla cybersecurity per chi ha accesso a sistemi critici, incluso il personale amministrativo che gestisce dati di pazienti.

Perché il settore sanitario è un obiettivo privilegiato

I dati sanitari sono tra le informazioni più sensibili e preziose sul mercato criminale. Una cartella clinica contiene dati anagrafici, condizioni di salute, terapie, dati di pagamento — un profilo completo della persona che vale molto di più di un semplice numero di carta di credito. Le strutture sanitarie, spesso sotto pressione operativa e con sistemi IT non aggiornati, sono un bersaglio frequente di ransomware e data breach.

Adeguarsi alla NIS2 non è solo un obbligo normativo: è una risposta concreta a un rischio reale che, in caso di incidente, può comportare l’interruzione dell’operatività clinica, sanzioni amministrative fino all’1,4% del fatturato annuo globale (per soggetti importanti), e un grave danno reputazionale verso i pazienti.

Come DBMedica contribuisce alla sicurezza dei dati sanitari

Un gestionale medico è uno dei sistemi più critici nella catena di protezione dei dati sanitari: aggrega le informazioni cliniche di tutti i pazienti, gestisce gli accessi di operatori con ruoli diversi e produce i documenti che alimentano il FSE. DBMedica è stato progettato tenendo conto di questo ruolo:

Crittografia dei dati clinici a riposo

Le cartelle cliniche digitali in DBMedica sono crittografate a riposo. I dati delle cartelle non sono accessibili in chiaro nemmeno a chi avesse accesso diretto al database, un requisito fondamentale per qualsiasi struttura che debba dimostrare conformità agli obblighi di protezione dei dati.

Sistema di permessi granulare

DBMedica implementa un sistema di controllo degli accessi con oltre 55 permessi configurabili e ruoli personalizzabili. Ogni utente del sistema — medico, segretario, responsabile amministrativo, operatore di cassa — vede e può fare solo ciò che la struttura ha esplicitamente autorizzato. Questo riduce drasticamente la superficie di esposizione: un operatore di segreteria non può accedere alle cartelle cliniche se non abilitato, e un medico non può esportare i dati contabili se non autorizzato.

Gestione multi-sede con configurazione separata

Per le strutture multi-sede che rientrano nella NIS2, DBMedica gestisce ogni sede come un’entità con configurazione indipendente: utenti, permessi, listini e dati sono separati per sede. Questo favorisce una corretta segmentazione dei dati e degli accessi, principio cardine della sicurezza NIS2.

L’adeguamento è un investimento, non solo un costo

Le strutture che si adeguano alla NIS2 non lo fanno solo per evitare sanzioni: costruiscono un’infrastruttura più resiliente, riducono il rischio di interruzioni operative causate da attacchi informatici e rafforzano la fiducia dei pazienti nella gestione dei propri dati. Richiedi una demo gratuita di DBMedica per scoprire come il gestionale contribuisce alla sicurezza e alla conformità della tua struttura sanitaria.

prenotazione online per studi medici

Prenotazione online per studi medici: come organizzarla

3 Febbraio 2026
, , , News

La prenotazione telefonica è ancora il canale dominante in molti studi medici e poliambulatori italiani, ma ha costi nascosti che tendono a crescere con il volume delle attività: la segreteria passa ore a rispondere al telefono, molte chiamate rimangono senza risposta e i pazienti più giovani abbandonano la ricerca passando alla concorrenza. Implementare una prenotazione online efficace non significa solo aggiungere un form al sito: significa ripensare il flusso di accesso alle prestazioni.

Perché la prenotazione telefonica da sola non basta più

Uno studio medico con quattro o cinque specialisti può ricevere decine di richieste di appuntamento al giorno. La segreteria, già impegnata nell’accettazione fisica dei pazienti, nella fatturazione e nella gestione delle cartelle, finisce per diventare il collo di bottiglia dell’intero sistema.

I problemi tipici di un flusso basato solo sul telefono sono facilmente riconoscibili:

  • Le richieste di prenotazione nelle fasce orarie di punta (mattina presto, ora di pranzo) rimangono senza risposta
  • I pazienti che richiamano più volte per trovare uno slot libero si frustrano e spesso non richiamano
  • Le cancellazioni avvengono all’ultimo minuto perché il paziente non sa come disdire senza chiamare
  • La segreteria non ha tempo di verificare i dati anagrafici durante la chiamata, generando errori che emergono solo al momento della fatturazione
  • I fuori orario (sera, weekend) sono un buco nero: nessuna richiesta può essere gestita

Il risultato è un’agenda che non esprime mai il suo pieno potenziale: slot vuoti non riempiti per mancanza di visibilità, e pazienti che avrebbero potuto prenotare ma hanno rinunciato per difficoltà nel contatto.

Come organizzare la prenotazione online: 5 elementi fondamentali

1. Semplificare al massimo il percorso di prenotazione

Il maggiore ostacolo all’adozione della prenotazione online da parte dei pazienti è la complessità percepita. Se il portale richiede la creazione di un account con password, la verifica via email e poi l’inserimento di dati che il paziente non ha a portata di mano, il tasso di abbandono sarà altissimo.

Il flusso ideale prevede pochissimi passaggi: il paziente indica la prestazione desiderata, vede gli slot disponibili, inserisce i propri dati essenziali e riceve la conferma. Meno attrito, più prenotazioni completate.

2. Permettere la scelta del professionista e della sede

Soprattutto nei poliambulatori con più specialisti, i pazienti tendono ad avere preferenze precise: vogliono il proprio fisioterapista di fiducia, il dermatologo che li segue da anni, o semplicemente il primo disponibile per una visita urgente. Un sistema di prenotazione che non consente questa selezione genera insoddisfazione e chiamate successive per modificare l’appuntamento.

La soluzione ottimale presenta le disponibilità filtrate per specializzazione e, opzionalmente, per professionista specifico, mostrando solo gli slot realmente disponibili in base alla configurazione dell’agenda.

3. Definire chiaramente la politica di conferma

Un aspetto spesso sottovalutato è la gestione delle conferme. Ci sono due approcci possibili:

  • Conferma automatica: l’appuntamento viene fissato immediatamente, il paziente riceve conferma in tempo reale. Riduce l’attrito al massimo ma richiede fiducia che gli slot presentati siano sempre accurati.
  • Conferma manuale: l’appuntamento entra in stato “in attesa” e viene confermato dall’operatore entro un tempo definito. Più controllo per la struttura, ma il paziente deve attendere la conferma e potrebbe prenotare altrove nel frattempo.

La scelta dipende dal tipo di prestazione e dal carico della struttura. Per visite standard con disponibilità ampia, la conferma automatica è l’opzione migliore. Per prestazioni complesse o soggette a verifica (es. convenzioni, requisiti particolari), la conferma manuale offre maggiore controllo.

4. Offrire il pagamento anticipato (per ridurre i no-show)

Uno dei benefici meno sfruttati della prenotazione online è la possibilità di raccogliere un pagamento anticipato al momento della prenotazione. Un paziente che ha già pagato — anche solo una quota di prenotazione — ha una motivazione concreta a presentarsi o a disdire per tempo.

Questo meccanismo è particolarmente efficace per le prime visite, le prestazioni di lunga durata e le specialità con alta domanda (dove il buco in agenda ha un costo elevato).

5. Consentire l’autogestione dell’appuntamento

Un portale di prenotazione che permette solo di prenotare, ma non di modificare o annullare, sposta ancora sul telefono una parte del carico. Dare al paziente la possibilità di annullare autonomamente (entro un termine definito dalla struttura) riduce le telefonate di disdetta e consente alla segreteria di ricevere la notifica dell’appuntamento liberato per tempo, così da riassegnarlo tramite la lista d’attesa.

Come DBMedica organizza la prenotazione online

Le strategie descritte sopra richiedono una piattaforma tecnologica robusta e integrata con l’agenda e la gestione dei pazienti. Un form generico su Google o un sistema di terze parti scollegato dal gestionale non è una soluzione: crea doppioni anagrafici, obbliga la segreteria a reinserire manualmente i dati e non consente alcun controllo sulla disponibilità reale.

DBMedica offre un portale pazienti nativo, integrato direttamente con l’agenda e l’anagrafica del gestionale. Vediamo come ogni elemento della strategia precedente si traduce in pratica.

Flusso di prenotazione senza attrito

Il paziente accede al portale con i propri dati (nome, email, telefono) senza dover creare credenziali complesse: inserisce la prestazione desiderata, visualizza gli slot disponibili e completa la prenotazione. Se non è ancora presente in anagrafica, il portale lo registra automaticamente. La prenotazione confluisce direttamente nell’agenda di DBMedica senza alcun intervento manuale della segreteria.

Selezione professionista e prestazione

Il portale presenta le disponibilità organizzate per tipo di prestazione e, opzionalmente, per professionista specifico. Il responsabile del centro configura quali prestazioni sono prenotabili online, quali medici o fisioterapisti sono visibili sul portale e per quali sedi. Questo garantisce che il paziente veda solo ciò che è realmente disponibile, con le disponibilità sincronizzate in tempo reale con l’agenda interna.

Conferma automatica o in attesa

La struttura può configurare separatamente, per tipo di prestazione, se gli appuntamenti prenotati online vengono confermati automaticamente o entrano in stato di attesa per l’approvazione di un operatore. Questa flessibilità permette, ad esempio, di confermare automaticamente le visite di controllo e di richiedere approvazione manuale per le prime visite o le prestazioni in convenzione.

Pagamento online integrato

Quando la prenotazione è impostata a conferma automatica, il portale può richiedere al paziente il pagamento della prestazione al momento della prenotazione, tramite integrazione con Stripe. Il pagamento viene registrato come credito nel profilo paziente in DBMedica, pronto per essere scalato al momento della fatturazione. Questa funzione è particolarmente utile per ridurre i no-show sulle prestazioni ad alto valore.

Annullamento autonomo e lista d’attesa

Il paziente può annullare la propria prenotazione direttamente dal portale, purché l’appuntamento non sia ancora stato fatturato. La cancellazione aggiorna l’agenda in tempo reale, rendendo lo slot nuovamente disponibile. La segreteria può quindi ricorrere alla lista d’attesa integrata in DBMedica per contattare rapidamente i pazienti in coda per quella stessa prestazione o specializzazione, limitando al minimo l’impatto delle disdette.

Accesso ai documenti dall’area personale

Il portale pazienti non si limita alla prenotazione: una volta autenticato tramite codice OTP, il paziente può accedere alla propria area personale e scaricare i documenti messi a disposizione dalla struttura (referti, cartelle cliniche, prescrizioni, richieste di esami). Il responsabile del centro configura in DBMedica quali categorie di documenti sono scaricabili, mantenendo il pieno controllo su cosa è accessibile online.

Trasforma il tuo portale in uno sportello sempre aperto

Una prenotazione online ben configurata non sostituisce la segreteria: la potenzia, liberandola dalle chiamate ripetitive e dalle disdette dell’ultimo minuto per dedicarla alle attività che richiedono davvero attenzione umana. Richiedi una demo gratuita di DBMedica per vedere come il portale pazienti si integra con l’agenda, l’anagrafica e la fatturazione del tuo studio medico o poliambulatorio.

come gestire le rate in uno studio medico

Come gestire le rate e i pagamenti rateizzati nello studio medico

29 Gennaio 2026
, , News

Le prestazioni mediche di valore elevato — cicli di fisioterapia, trattamenti odontoiatrici, procedure diagnostiche complesse — rappresentano spesso una barriera economica per il paziente. Offrire un piano di pagamento rateale può fare la differenza tra un paziente che accede alla cura e uno che rimanda indefinitamente. Ma senza una gestione strutturata, le rate trasformano il credito commerciale in un labirinto di fatture aperte, incassi parziali e riconciliazioni manuali che consumano ore di lavoro della segreteria.

Perché la rateizzazione è un tema operativo, non solo commerciale

La scelta di offrire pagamenti rateali a un paziente è spesso una decisione commerciale rapida — “dividiamo in tre mesi?” — ma le conseguenze operative si protraggono nel tempo. I problemi tipici di una gestione delle rate non strutturata emergono settimane dopo:

  • La segreteria non ricorda quante rate sono state concordate e quali sono già state pagate
  • Non esiste un documento formale che il paziente abbia ricevuto e firmato con le scadenze
  • Le fatture rimangono parzialmente saldate senza una data di chiusura prevista
  • A fine anno, il totale dei crediti aperti include mesi di rate non ancora incassate, rendendolo impossibile da interpretare
  • Se il paziente non paga una rata, la struttura non ha un promemoria automatico: lo si scopre solo riaprendo la fattura manualmente

Il risultato è che la rateizzazione, nata come strumento di customer care, si trasforma in un generatore di lavoro extra e di crediti non facilmente gestibili.

Come organizzare la rateizzazione: 5 elementi chiave

1. Definire una politica di rateizzazione chiara

Prima di offrire rate a un paziente, la struttura dovrebbe avere criteri condivisi: per quali importi minimi si concede la rateizzazione, quante rate massime, su quali tipologie di prestazione. Una politica scritta evita che le decisioni dipendano dall’operatore di turno e crea aspettative coerenti tra i pazienti.

Un criterio comune è: sotto una certa soglia (es. 150-200 euro) il pagamento è in unica soluzione; sopra si può rateizzare fino a N rate mensili. Per importi molto elevati (odontoiatria, fisioterapia intensiva) si può valutare l’accesso a servizi di credito al consumo tramite soggetti terzi.

2. Formalizzare le scadenze in un documento

Il piano di pagamento concordato con il paziente dovrebbe essere scritto e consegnato al paziente stesso. Non un appunto verbale — un documento con le date esatte e gli importi di ogni rata. Questo riduce i malintesi e dà al paziente un riferimento concreto per ricordarsi delle scadenze.

Il documento dovrebbe indicare: l’importo totale della prestazione, il numero di rate, la data e l’importo di ciascuna rata, le modalità di pagamento accettate.

3. Registrare ogni rata al momento dell’incasso

Ogni volta che il paziente paga una rata, l’incasso deve essere registrato immediatamente e collegato alla fattura corrispondente. Non “alla prossima riunione”, non “in fondo alla giornata”: subito, così da avere sempre una visione aggiornata di quanto resta da incassare.

4. Monitorare periodicamente le rate scadute non pagate

Una volta alla settimana (o al mese, per strutture con basso volume) è utile scorrere le fatture con piano di pagamento che hanno scadenze superate ma non ancora registrate come incassate. Queste sono le posizioni che richiedono un contatto proattivo con il paziente.

5. Non confondere il piano rate con la fattura

Un piano di pagamento rateale non equivale all’emissione di più fatture. In genere si emette una sola fattura per la prestazione e il piano rate definisce le scadenze contrattuali di incasso. Emettere fatture multiple per la stessa prestazione (es. una per ogni rata) è una scelta contabile possibile in certi contesti, ma la soluzione più semplice per la maggior parte degli studi è una fattura unica con piano rate allegato.

Come DBMedica gestisce le rate e i pagamenti rateizzati

Piano rateale integrato nel form fattura

In DBMedica, il piano di pagamento si configura direttamente all’interno del form di emissione della fattura, nella sezione Gestione Modalità di Pagamento. Inserendo il numero di rate e l’intervallo in giorni tra una rata e l’altra, il sistema calcola automaticamente le date di scadenza e distribuisce l’importo in modo proporzionale.

Se le prestazioni di punta della struttura sono servizi a pagamento mensile (es. cicli riabilitativi), è possibile attivare l’opzione A fine mese, che sposta automaticamente ogni scadenza all’ultimo giorno del mese di riferimento — una comodità pratica per i pazienti abituati a pagare a fine mese.

Stampa del piano rate sul documento

Attivando l’opzione Mostra in fattura, il piano di pagamento completo — con tutte le date e gli importi — viene stampato sul PDF della fattura consegnata al paziente e incluso nel tracciato della fattura elettronica per i soggetti B2B/PA. Il paziente riceve così un documento formale con le scadenze concordate, senza necessità di preparare un allegato separato.

Registrazione degli incassi rata per rata

Il piano rate indica le scadenze contrattuali, ma non registra automaticamente i pagamenti: ogni rata incassata va registrata esplicitamente dall’operatore, specificando data, importo e modalità di pagamento. Questo può avvenire direttamente dalla fattura in modifica o dalla sezione Cassa → Incassi, cercando la fattura per paziente. La separazione tra piano rate e incasso effettivo è intenzionale: garantisce che lo stato reale del credito rifletta sempre i pagamenti davvero ricevuti, non quelli attesi.

Monitoraggio del credito residuo

Le fatture con rate parzialmente incassate rimangono aperte nella lista fatture e nei report crediti di DBMedica fino al saldo completo. Il filtro per stato di pagamento consente di isolare rapidamente le fatture con incassi parziali, separandole da quelle completamente saldate o da quelle mai incassate. Questa visibilità è il punto di partenza per qualsiasi azione di monitoraggio o sollecito.

Chiusura del credito residuo: abbuono e nota di credito

Se una parte residuale del piano rate non viene recuperata e si decide di chiudere la posizione, DBMedica offre due strumenti: l’abbuono (storno contabile diretto della quota non pagata, senza emissione di nuovo documento) e la nota di credito (documento formale che annulla parzialmente o totalmente la fattura originale). La scelta dipende dalle preferenze contabili della struttura e dal valore in gioco.

Trasforma le rate in uno strumento di cura, non di stress

Un piano rateale ben gestito è un servizio al paziente — e uno strumento di fidelizzazione efficace. L’obiettivo è che la segreteria possa configurarlo in trenta secondi al momento della fatturazione, sapendo che i dati saranno sempre accessibili e il credito sempre monitorabile. Richiedi una demo gratuita di DBMedica per vedere come il modulo di gestione rate si integra con la fatturazione e il monitoraggio dei crediti.

1 3 4 5 6 7 12