Governance e hacker: i mali di Aria. Priorità incerte, poche forze, tanto da fare: “E la pianificazione va a farsi benedire”

Milano – “Noi siamo un ente strumentale che deve fare quello che chiede Regione Lombardia. E noi ci stiamo a questo gioco. Ma in questo gioco serve stabilità. È un po’ come i mercati con Trump: se non c’è stabilità, la pianificazione va a farsi benedire”. Parole chiare, parole di un direttore generale che in pubblico non parla né spesso né volentieri: Lorenzo Gubian. Per l’esattezza, il direttore generale di Aria Spa. Sì, la centrale acquisti lombarda, la stessa Aria che nelle ultime settimane è stata al centro di un aspro confronto tra Guido Bertolaso, assessore al Welfare, il grande accusatore che ha firmato un dossier decisamente critico sulle performances della controllata, in particolare per quanto riguarda la gestione delle gare per il sistema sanitario, e Fratelli d’Italia, che invece ne ha difeso l’operato. Gubian è intervenuto ieri al convegno sulla cybersicurezza organizzato dal Pd lombardo al Pirellone. E anche sul fronte della sicurezza informatica, la fotografia restituita dal dg è rassicurante solo fino ad un certo punto. Anzi, la cybersicurezza, in Aria, sconta qualche difficoltà in più rispetto ad altre attività perché si tratta di una priorità più “recente“ di altre.

Quanto ai problemi della governance di Aria, Gubian vi si è soffermato per 4 minuti, densi. “Serve una pianificazione fatta più per tempo, soprattutto per le attività annuali, tra gli uffici regionali e gli uffici di Aria, perché molto spesso la pianificazione che facciamo a inizio anno viene cambiata e questo non rende le cose semplicissime da gestire – ha spiegato –. Cambiare la pianificazione in corsa, soprattutto con questo volume di attività e in ristrettezza di risorse umane, non è semplice”. “Nell’ambito degli acquisti – uno degli ambiti messi in evidenza da Bertolaso – serve maggior coordinamento. Se non c’è un coordinamento forte, si rischia che il lavoro di una parte del sistema sia vanificato dalla mancanza di un’azione coerente di qualche attore che non fa quanto concordato”. Esempio: “Se io, con una gara, ti do la possibilità di acquistare 100 protesi e tu ne acquisiti 3, io ho buttato via tempo. Serve forte coordinamento e chiarezza dei ruoli. Fanno male gli avanti e indietro, dire “fai e non fai questo tipo di attività“. Oggi le fai, domani no, poi di nuovo sì. Ma se un’attività non serve più, io metto le persone a far altro, con la penuria che ho”. Passaggio non secondario, quello sulla fiducia: “È fondamentale riuscire a ristabilire un clima di fiducia con gli uffici regionali, che nella maggior parte delle Direzioni Generali c’è”. Nella “maggior parte”, non in tutte. Gubian non fa nomi ma i riferimenti sembrano evidenti.

Quanto alla cybersicurezza, nei primi mesi del 2025 si sono contati già 595 attacchi informatici agli ospedali pubblici lombardi, bloccati dai sistemi di protezione di Aria. L’anno scorso gli attacchi verso la Regione e verso enti e società del sistema regionale, intercettati e respinti, sono stati 2.214. In Aria, però, i dipendenti deputati alla cybersicurezza sono 3 su 400. Inevitabile il ricorso ad esperti esterni (50 circa) ingaggiati come consulenti. Ma ingaggiarli non è facile: la concorrenza è agguerrita, la spunta chi retribuisce meglio. C’è poi un tema generazionale: meno del 5% dei dipendenti di Aria è sotto i 35 anni, meno del 5% appartiene e generazioni particolarmente predisposte per lavorare nel settore. “La sicurezza informatica oggi è centrale – dichiara Pietro Bussolati, consigliere regionale del Pd –. Il fatto che in Aria solo tre persone su oltre 400 dipendenti si occupino di cybersicurezza dice che c’è una difficoltà a rendere stabile una struttura adeguata allo scopo”. Durante la mattina si è parlato, infine, di Centro unico di prenotazione (Cup). “Il direttore generale di Aria ha spiegato la complessità tecnica per la realizzazione del Cup unico anche nei soli ospedali pubblici – sottolinea Pierfrancesco Majorino, capogruppo del Pd –. Ora siamo ancora più preoccupati, perché non si vede la fine della vicenda del Cup unico, che è un elemento essenziale di governo dell’offerta sanitaria. E la responsabilità è della politica, di Fontana e dei vari assessori al Welfare, che in nome del laissez-faire alla sanità privata non hanno mai insistito”. “È evidente che Aria sia vista come un centro di potere da FdI e Lega – conclude Bussolati –. Questo è un grosso problema, l’interesse dei lombardi venga prima”.