TransformacióDigital

El pròxim 1 de gener de 2026 entra en vigor l’obligació d’adaptar-se als nous sistemes informàtics de facturació VERI*FACTU, d’acord amb el Reial decret 1007/2023, de 5 de desembre, i la normativa de desenvolupament, que estableix un marc normatiu avançat per a la digitalització i el control dels processos de facturació en l’àmbit empresarial.

El sistema Verifactu obliga empreses i professionals a utilitzar sistemes de facturació verificables que compleixin els requisits tècnics definits per Hisenda, i  afecta a totes les persones i entitats que utilitzin sistemes informàtics de facturació per al desenvolupament d’activitats econòmiques, ja siguin contribuents de l’impost sobre societats com contribuents de l’IRPF sempre que facin activitats econòmiques.

Tanmateix, la normativa preveu diversos supòsits d’exoneració i determinades entitats queden fora de la seva aplicació;  entre d’altres:

• Les persones jurídiques que apliquin el Subministrament Immediat d’Informació (SII),
• Les entitats exemptes previstes a l’article 9.1 de la Llei 27/2014 de l’Impost sobre societats.
• Les entitats parcialment exemptes de l’article 9.2, 9.3 i 9.4 de la mateixa Llei, si be restaran subjectes a les obligacions de facturació previstes al Reial decret 1007/2023 per les operacions que generin rendes que estiguin subjectes i no exemptes de l’Impost sobre Societats.

L’entrada en vigor d’aquesta obligació serà el pròxim 1 de gener del 2026 per als contribuents de l’impost sobre societats; per a la resta d’empreses i autònoms, l’adaptació serà obligatòria abans de l’1 de juliol del 2026. Els desenvolupadors de programari, per la seva banda, han tingut l’obligació de posar a disposició sistemes adaptats des del 29 de juliol del 2025.

L’aplicació del VERI*FACTU està generant nombrosos dubtes entre empreses i professionals, per la qual cosa es recomana iniciar amb antelació els treballs d’adequació als nous requisits per evitar incidències i garantir-ne la plena operativitat. Per tal de resoldre dubtes i facilitar l’accés a la informació, l’Agència Tributària, ha habilitat l’accés a informació sobre els Sistemes Informàtics de Facturació (SIF) i VERI*FACTU a la seva seu electrònica:

https://sede.agenciatributaria.gob.es/Sede/ca_es/iva/sistemas-informaticos-facturacion-verifactu.html

A més, ja es troba disponible una aplicació gratuïta de facturació habilitada per l’Administració Tributària, adreçada especialment a autònoms, professionals i empreses amb un volum reduït de factures, que permet generar i enviar factures electròniques directament a l’Agència Tributària d’acord amb el reglament VERI*FACTU:

Accés a l’aplicació gratuïta de facturació de l’Agència Tributària

A partir de les dates esmentades, l’ús de sistemes de facturació no verificats pot comportar sancions de fins a 50.000€, i per això resulta recomanable assegurar-se que es compleix correctament amb la normativa d’aplicació i:

• Revisar i actualitzar el programari de facturació.
• Comprovar que els registres i les factures estan correctament encadenats.
• Assegurar que els codis QR de verificació estiguin correctament integrats.

Des de Faura-Casas t’assessorem i et donem suport durant tot el procés d’adaptació a VERI*FACTU, assegurant una transició segura i eficient, minimitzant riscos i sancions, i garantint una gestió òptima de la facturació electrònica.

Departament Fiscal

Octubre és el mes Europeu de la Ciberseguretat i un cop més, s’ha dut a terme una campanya anual de sensibilització que ofereix orientacions pràctiques per tal que la ciutadania de la Unió Europea es mantingui segura en línia. La campanya ha estat liderada per la Comissió Europea i l’Agència de la Unió Europea per la Ciberseguretat (ENISA), amb suport de diverses organitzacions de tota Europa.

En aquesta ocasió s’ha centrat en les amenaces de phishing, que és el mètode més comú usat pels atacants per a violar la seguretat dels dispositius digitals. En efecte, les estadístiques indiquen que el 60% dels ciberatacs comencen amb el phishing, un intent de robar informació o sistemes d’accés a través de missatges enganyosos o llocs web fraudulents. Però què és el phishing? El phishing pot tenir diverses formes, des de correus electrònics malintencionats als usuaris amb la finalitat que regalin dades confidencials fins a llocs web falsos dissenyats per a capturar detalls d’inici de sessió. Els atacs de phishing i altres amenaces cibernètiques poden tenir conseqüències devastadores, interrompent la nostra infraestructura crítica i negocis, i deteriorant la nostra confiança en el món digital. Per això, aquesta campanya posa molt d’èmfasi en la construcció de coneixement de la ciutadania per a contrarestar aquests atacs, ajudant a fer que fracassin abans que puguin causar dany.

L’Agència de Ciberseguretat de Catalunya ha posat en marxa sota el lema ‘Aixafa l’estafa’ una difusió en mitjans consistent en vuit càpsules amb consells pràctics de ciberseguretat, amb l’objectiu d’oferir eines perquè la població, en especial les persones grans, sàpiguen identificar i evitar les estafes digitals, cada vegada més sofisticades com l’estafa del fill amb problemes, els riscos d’invertir en criptomonedes, la detecció de notícies falses, en què consisteix l’estafa romàntica, quins permisos donem a les aplicacions o la detecció d’estafes en allotjament. Així, amb un format atrevit i en clau d’humor, les càpsules pretenen informar a tothom i fer que es pugui reconèixer i ‘aixafar’ les estafes abans de caure en elles. 

Per altra banda, el passat 16 d’octubre el president del Govern, Pedro Sánchez,  clausurà la dinovena edició del Encuentro Internacional de Seguridad de la Información del Instituto Nacional de Ciberseguridad (INCIBE) destacant que Espanya és “un dels països més compromesos amb la ciberseguretat del món”, amb “capacitats per sobre de la mitja europea”, fruit d’una “estratègia encertada que combina l’anticipació amb el foment de la cooperació entre el sector públic i el privat”.

Serveis Jurídics

El passat 12 de setembre de 2025 va entrar en aplicació el Reglament (UE) 2023/2854 del Parlament Europeu i del Consell, de 13 de desembre de 2023, sobre normes harmonitzades per a un accés just a les dades i la seva utilització, i pel qual es modifiquen el Reglament (UE) 2017/2394 i la Directiva (UE) 2020/1828. Aquest text, més comunament conegut com a “Data Act” o “Llei de Dades”, marca un abans i un després en la manera com es regulen les dades generades pels productes connectats o “Internet of things” (IoT),  i els serveis digitals a la Unió Europea. La norma és una de les peces centrals de l’estratègia europea de dades i es presenta com un instrument fonamental per assolir els objectius de la Dècada Digital i impulsar la transformació tecnològica de la Unió Europea.

La gran novetat del Data Act és que deixa enrere la idea de “propietat” de la dada per posar l’accent en el control d’accés. Fins ara, els fabricants i proveïdors eren els principals custodis de la informació que generaven els dispositius IoT. Els usuaris -tant consumidors com empreses- sovint es trobaven en situació de dependència, sense possibilitat real de recuperar o reutilitzar les seves pròpies dades. El nou reglament corregeix aquesta asimetria establint un conjunt de drets clars per als usuaris i d’obligacions concretes per als titulars de les dades, amb l’objectiu de construir un mercat més just, interoperable i competitiu.

Un dels pilars del Data Act és el dret d’accés (art. 4). Quan un usuari utilitza un producte connectat, com ara un vehicle intel·ligent, una màquina industrial o un televisor amb connexió a internet, genera un flux constant d’informació: dades de rendiment, de consum, d’entorn o d’interacció. Fins ara, aquest flux quedava en mans del fabricant. A partir d’ara, els usuaris tindran el dret a obtenir aquestes dades sense cap cost addicional, sense demora i en formats estructurats i llegibles per màquina. La norma estableix que aquestes condicions han de ser sempre justes, transparents i no discriminatòries, i alhora garanteix que es preservin secrets comercials, drets de propietat intel·lectual i dades personals.

El reglament també introdueix un element transformador: la possibilitat que els usuaris comparteixin les seves dades amb tercers de la seva elecció (art.5). Això significa que un agricultor podrà enviar directament la informació de rendiment de la seva maquinària a un proveïdor de serveis d’anàlisi independent, o que un consumidor podrà autoritzar un taller local a rebre les dades del seu vehicle connectat per fer reparacions més eficients. Aquesta obertura pretén fomentar una competència més sana i trencar monopolis encoberts, ampliant les opcions disponibles per a usuaris i empreses.

A més, la norma preveu supòsits especials, com el dret de les administracions públiques a accedir a dades del sector privat en situacions d’emergència (art. 15). En aquests casos, les dades s’hauran de facilitar sense cost, però el titular rebrà un reconeixement públic pel seu paper en la gestió de la crisi. Aquest mecanisme busca equilibrar l’interès general amb la necessitat de mantenir la confiança entre actors públics i privats.

No obstant, el desplegament pràctic del Data Act no serà senzill. Les empreses hauran de coordinar equips tècnics, legals i comercials per garantir el compliment de les obligacions. Caldrà revisar contractes, repensar processos interns i redissenyar productes perquè siguin compatibles amb el principi d’accessibilitat. Però aquesta mateixa complexitat amaga una oportunitat. Les organitzacions que s’hi adaptin amb rapidesa no només compliran amb la llei, sinó que podran posicionar-se al capdavant d’un mercat de dades més dinàmic, divers i obert.

En definitiva, el Data Act no atorga la propietat de les dades als usuaris, però sí que trenca els murs que impedien el seu accés i ús. És una norma que obre portes a noves formes de competència i col·laboració i que, ben aplicada, pot convertir-se en un motor de creixement i innovació per a tot l’ecosistema europeu. Les empreses i institucions que entenguin aquest canvi no com una càrrega, sinó com una oportunitat, tindran molt de guanyat en la cursa cap a la nova economia de la dada.

En tot cas, convé destacar que la nova regulació s’aplica tant a dades personals com a no personals i, per tant, es troba en interacció amb el Reglament General de Protecció de Dades (RGPD). Quan es tractin dades de caràcter personal, el RGPD continua sent la norma de referència i preval sobre la Data Act com a legislació especial. Això implica, en altres paraules, que ambdues normes seran complementàries l’una de l’altra, i hauran d’actuar de manera coordinada.

La Secretaria Tècnica de la Junta Consultiva de Contractació Pública de Catalunya anuncia la integració funcional entre la Plataforma de Serveis de Contractació Pública (PSCP) i el Registre Públic de Contractes (RPC) amb l’objectiu de millorar l’eficiència, la coherència de les dades i el compliment normatiu.

La contractació pública a Catalunya fa un pas important cap a la digitalització integral amb la posada en marxa de la integració entre la PSCP i el RPC. Aquesta actuació, prevista dins l’Estratègia Catalana de Millora de la Compra Pública 2022-2026, té com a finalitat reforçar la fiabilitat de les dades contractuals, reduir càrregues administratives i evitar la duplicació d’informació entre sistemes. La integració permetrà que determinades dades publicades a la PSCP siguin traslladades de manera automatitzada al RPC, donant compliment al principi de “només una vegada” i reforçant la traçabilitat dels expedients. Aquesta operació implica canvis tècnics en les plataformes i en els sistemes gestors d’expedients, així com l’activació progressiva d’un conjunt de camps i validacions que esdevindran obligatoris.

El desplegament es durà a terme en fases. En una primera etapa s’ha iniciat un pilotatge amb entitats seleccionades de l’àmbit de la Generalitat i del món local. A partir del segon semestre de 2025 es preveu l’activació gradual de la resta d’òrgans de contractació, amb contacte personalitzat, accés a formació i guies operatives. Finalment, el 2026 es posarà en marxa el nou RPC, moment en què es desactivaran els serveis web previs, i la PSCP esdevindrà l’únic canal habilitat per a l’enviament de dades al registre.

L’abast de la integració cobreix diverses fases del cicle contractual, incloent adjudicacions, formalitzacions, execució, modificacions, pròrrogues, extincions i publicacions agregades. Tot i això, determinades casuístiques (com els contractes multiadjudicats, els encàrrecs a mitjà propi, les compres precomercials o les modificacions subjectives) restaran fora del circuit automatitzat i hauran de continuar informant-se manualment al RPC fins a la posada en funcionament de la nova versió. Per facilitar el seguiment del procés, s’ha habilitat una consola per consultar l’estat dels enviaments i detectar possibles incidències, que seran notificades als perfils validadors designats.

Aquesta integració representa un avenç rellevant en la consolidació d’un model corporatiu de contractació electrònica interoperable, eficient i alineat amb els requeriments de la LCSP i les exigències de transparència i rendició de comptes. Per part dels òrgans de contractació, serà essencial preveure les adaptacions tecnològiques i organitzatives necessàries, revisar els procediments interns i garantir la capacitació dels equips tècnics per tal d’assegurar una implementació efectiva.

El passat 2 de juliol, el Comitè Europeu de Protecció de Dades (CEPD) va adoptar la Declaració de Helsiniki¹ que marca un punt d’inflexió en el camí cap a una aplicació més harmònica i eficaç del Reglament General de Protecció de Dades (RGPD) a la Unió Europea.  

Un dels principals reptes que aborda el CEPD és la fragmentació interpretativa del RGPD. Si bé és cert que el reglament té per objecte establir un marc comú a tota la UE, la realitat mostra que la seva aplicació varia entre les diferents autoritats de protecció de dades, podent arribar a generar inseguretat jurídica i dificultats pràctiques per responsables i encarregats del tractament, en especial per aquells que operen en diversos Estats membres. (more…)

Malgrat la pressió coordinada feta per endarrerir l’aplicació del Reglament (UE) 2024/1689, de 13 de juny, en matèria d’intel·ligència artificial (RIA) per part de més de 100 empreses tecnològiques (entre les que figuren Google i Meta), la Comissió Europea es manté ferma, i el 4 de juliol va manifestar de forma contundent “There is no stop the clock. There is no grace period. There is no pause”.

En efecte, després de mesos d’intenses negociacions, la Comissió va rebre el passat 10 de juliol la versió final del Codi de bones pràctiques d’IA d’ús general, una eina voluntària desenvolupada per tretze experts independents, amb aportacions de més de 1.000 parts interessades, inclosos proveïdors de models, petites i  mitjanes empreses, acadèmics, experts en seguretat de la intel·ligència artificial (IA), titulars de drets i organitzacions de la societat civil.

El Codi està dissenyat per ajudar a la indústria a complir les normes sobre IA d’ús  general del RIA, que entraran en vigor el 2 d’agost de 2025. Les normes passen a ser executables per l’Oficina d’IA de la Comissió un any després en el relatiu als nous models i dos anys després en el relatiu als models existents. Així es pretén garantir que els models d’IA d’ús general introduïts en el mercat europeu siguin segurs i transparents.

El Codi consta de tres capítols: Transparència i drets d’autor (art. 53 RIA), ambdós dirigits a tots els proveïdors de models d’IA d’ús general, i seguretat i protecció (art. 55 RIA), orientats només per a un número limitat de proveïdors dels models més avançats.

• El capítol de transparència del Codi ofereix un model de formulari que permet als proveïdors documentar fàcilment la informació tècnica necessària en un sol lloc i inclou atributs de metadades com temps d’entrenament i càlcul, consum d’energia i mètodes de recopilació i conservació de dades.
• El capítol sobre drets d’autor del Codi ofereix als proveïdors solucions pràctiques per a establir una política que compleixi la legislació de la UE en aquesta matèria, amb detall de llicències i excepcions de mineria de text i dades (TDM) tant per origen de dades (upstream) com per a ús final (downstream).
• Alguns models d’IA d’ús general podrien comportar riscos sistèmics (FLOPS >10^25), com riscos pels drets fonamentals i la seguretat, inclosa la reducció de les barreres pel desenvolupament d’armes químiques o biològiques, o riscos relacionats amb la pèrdua de control sobre el model. El capítol sobre seguretat i protecció conté les pràctiques més avançades per la gestió del risc sistèmic amb obligacions d’avaluació, mitigació de riscos, report d’incidents greus i mesures de ciberseguretat.

Una vegada que el Codi sigui referendat pels Estats membres i la Comissió, els proveïdors de models d’IA d’ús general que el firmin voluntàriament podran demostrar el compliment de les obligacions pertinents del RIA adherint-se al Codi. En fer-ho, els signataris del Codi es beneficiaran d’una menor càrrega administrativa i una major seguretat jurídica en comparació amb els proveïdors que demostrin el compliment d’altres maneres.

El Codi es complementarà amb directrius de la Comissió sobre la IA d’ús general que es publicaran abans de l’entrada en vigor de les obligacions en matèria d’IA d’ús general. Les directrius aclariran qui està dins i fora de l’àmbit d’aplicació de les normes d’IA d’ús general del RIA. 

L’avenç de la IA a la UE és imparable. Des de febrer de 2025 ja apliquen les prohibicions de pràctiques il·legals i l’alfabetització obligatòria en IA per a proveïdors. I ara, quins són els següents passos en el calendari?

• Tal i com s’ha exposat abans, a partir d’agost de 2025, els models d’IA d’ús general, inclosos els models fundacionals, els sistemes basats en API i els desenvolupaments de codi obert han de complir amb el nou marc regulador de la UE.
• L’agost de 2026 seran d’aplicació obligacions de sistemes d’alt risc en sectors com salut, recursos humans, educació i finances.

I amb aquest escenari, encara són moltes les organitzacions que: operen sense auditar els models d’IA, usen models entrenats amb dades opaques o no conformes, no tenen establertes estructures de governança per a la propietat, explicabilitat o seguiment del model, despleguen la IA sense supervisió legal ni responsabilitat formal, …

Davant d’això, cal recordar que el RIA no només regula l’ús, sinó que vincula el lideratge del risc mitjançant documentació, registre i mecanismes d’aplicació. Força similar als requeriments que deriven del RGPD però de forma més profunda, ja que aquest cop el sistema està prenent decisions.

Equip Serveis Jurídics

Microsoft Corporation ha anunciat oficialment que a partir del 14 d’octubre de 2025, totes les edicions del sistema operatiu Windows 10 (Home, Pro, Enterprise i Education) deixaran de rebre actualitzacions gratuïtes. Aquestes actualitzacions inclouen:

• Correccions  i actualitzacions de seguretat.
• Millores del rendiment.
• Suport tècnic general.

Què implica això?

Aquesta desactivació del suport comporta que els dispositius amb Windows 10 quedaran exposats a riscos de seguretat, ja que no es detectaran ni solucionaran vulnerabilitats noves. L’impacte pot traduir-se en:

• Menor seguretat davant de noves amenaces.
• Pèrdua o robatori de dades sensibles.
• Accés no autoritzat als equips.
• Disminució del rendiment i estabilitat.

La tecnologia avança… i cal estar al dia!

Per protegir els equips i mantenir una experiència digital segura, Microsoft recomana actualitzar a Windows 11. Abans de fer l’actualització, cal verificar si el dispositiu compleix amb els requisits tècnics mínims.

Com podeu saber si el vostre equip està preparat per al canvi?

• Accediu a Configuració > Windows Update.
• Comproveu la versió actual del sistema i les actualitzacions disponibles.
• Consulteu els requisits tècnics de Windows 11 al portal oficial.

Més informació: Trobareu detalls sobre la fi del suport a Windows 10, així com els requisits i instruccions per a l’actualització a Windows 11, visitant el lloc web oficial de Microsoft fent clic aquí.

Recomanació final: No deixeu per a l’últim moment la transició a Windows 11. Anticipar-se a aquests canvis us garantirà un entorn informàtic més eficient i segur.

La consulta pública de la Comissió Europea revela mancances en flexibilitat, accés al mercat i resiliència de les Directives vigents, i apunta a la necessitat d’una reforma que simplifiqui els procediments, reforci els objectius estratègics i adapti el sistema als nous reptes econòmics i socials.

Durant el mes de maig de 2025, la Comissió Europea va publicar l’informe de resultats de la consulta pública sobre l’avaluació de les Directives de Contractació Pública de 2014. Amb la participació de 733 respostes provinents d’agents públics, privats i de la societat civil, l’informe ofereix una visió crítica i reflexiva sobre els èxits i les mancances del marc actual. Com a jurista especialitzat en contractació pública, aquestes conclusions conviden a reflexionar sobre el present i el futur de la regulació en aquest àmbit clau per al funcionament del mercat interior europeu.

Un dels aspectes més destacats és la percepció generalitzada que les Directives no han assolit els objectius de flexibilitat i simplificació normativa: el 54 % dels participants considera que no s’han establert normes més simples, i el 49 % creu que el sistema continua sent poc flexible. Tot i això, es valora positivament la digitalització, especialment per part del sector privat, on el 57 % de les empreses afirma que la contractació electrònica (eProcurement) ha reduït la càrrega administrativa i ha agilitzat els procediments.

Pel que fa a la integritat i la transparència, la valoració és més favorable: un 62 % reconeix que les Directives han incrementat la transparència gràcies a l’estandardització de la publicitat dels procediments. No obstant això, només un 38 % percep que s’hagi reduït la corrupció, la qual cosa suggereix que encara hi ha marge per reforçar els controls i la supervisió.

L’accés al mercat, especialment per a les pimes, continua essent un repte. El 46 % dels enquestats no observa un augment de la competència com a conseqüència del marc actual.

Cal destacar també el component estratègic de la contractació pública, un dels grans eixos de les Directives del 2014. Tot i que els poders adjudicadors afirmen haver incorporat criteris ambientals, socials i d’innovació, els operadors privats discrepen: més del 50 % considera que les Directives no han fomentat activament aquestes pràctiques. Paral·lelament, prop d’un terç dels enquestats qüestiona la rellevància actual d’aquestes normes, fet que reflecteix una desconnexió entre el marc jurídic i les capacitats reals dels operadors econòmics per adaptar-s’hi.

Els reptes relacionats amb la resiliència, com ara la resposta a crisis sanitàries o de seguretat, posen de manifest les limitacions estructurals del model actual: el 49 % considera que les Directives no estan preparades per contribuir eficaçment a l’autonomia estratègica de la UE, i el 44 % dubta de la seva adequació per afrontar disrupcions en les cadenes de subministrament.

Aquestes conclusions reflecteixen una tensió entre els principis rectors de la contractació pública i la creixent pressió perquè aquesta compleixi objectius estratègics, socials i ambientals, fet que planteja la necessitat d’una revisió normativa que abordi una simplificació real i efectiva del règim jurídic (especialment en els procediments de menor valor i en l’aplicació de criteris qualitatius), l’enfortiment de les capacitats tècniques i digitals tant en les administracions com en els operadors econòmics i l’adequació del marc normatiu als contextos d’emergència, que permetin garantir l’interès general sense sacrificar la legalitat.

En definitiva, l’informe posa de manifest allò que el conjunt d’operadors econòmics detectem amb l’aplicació pràctica: que el model europeu de contractació pública necessita evolucionar cap a una major coherència entre mitjans i finalitats, evitant tant el formalisme excessiu com el voluntarisme retòric, i apostant per una contractació pública professional, estratègica i transversal.

La contínua evolució de les amenaces cibernètiques ha donat origen a nous desafiaments, posant de manifest certes limitacions que dificulten abordar de manera eficaç els reptes actuals i emergents en l’àmbit de la ciberseguretat. En aquest context, la Directiva NIS2 sorgeix com a resposta a aquesta necessitat d’actualització i enfortiment de les mesures establertes en la Directiva NIS1, erigint-se com un marc normatiu estratègic per a abordar els reptes actuals en matèria de ciberseguretat en el marc de la Unió Europea. La Directiva NIS2 va entrar en vigor el 16 de gener de 2023, i la seva transposició a Espanya es farà a través de l’avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat aprovat el passat 14 de gener de 2025 pel Consell de Ministres.

La NIS2 amplia l’àmbit d’aplicació, dotant així d’una major cobertura als sectors i serveis de més rellevància social i econòmica, considerant-los com a entitats essencials o importants, en funció del grau de criticitat dels seus sectors, de la seva mida o del tipus de servei prestat. El sector sanitari forma part dels sectors d’alta criticitat, i en ell s’hi inclou: laboratoris de referència de la UE, entitats que realitzen activitats d’investigació i desenvolupament de medicaments, entitats que fabriquen productes farmacèutics de base i especialitats farmacèutiques i entitats que fabriquen productes sanitaris que es consideren essencials en situacions d’emergència de salut pública.

A més, la NIS2 reforça els requisits de seguretat que han de complir les entitats afectades, precisa el procés de notificació d’incidents, aborda la seguretat en la cadena de subministrament i les relacions amb proveïdors, reforça l’intercanvi d’informació sobre incidents i la divulgació de vulnerabilitats i estableix una xarxa europea de suport de crisis (EU-CYCLONe). Totes les mesures han de ser proporcionades al risc, tamany, cost i impacte i gravetat dels incidents; i, per altra banda, tenir en compte l’estat de la tècnica, i quan procedeixi, les normes europees i internacionals.

Quant a la notificació d’incidents, només el 2023, els països de la UE notificaren 309 incidents de ciberseguretat greus contra el sector sanitari, més que en qualsevol altre sector crucial. A més, cal considerar que el 54% dels ciberatacs en aquest sector impliquen ransomware.

Tal com s’indica en l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya  “S’identifica, en primer lloc, que el sector salut emergeix com un objectiu principal, ja que s’enfronta a amenaces que poden paralitzar els sistemes crítics de salut pública i comprometre dades sensibles de pacients. (…) El repte d’implementar un entorn de ciberseguretat robust i avançat a Cavàriestalunya també exigeix adquirir i desplegar de forma efectiva noves capacitats. L’aplicació d’intel·ligència artificial, per a automatitzar i escalar les defenses cibernètiques, junt amb la incorporació d’altres tecnologies punteres, és imprescindible per a fer front a l’evolució de les ciberamenaces. A més, s’ha d’adoptar una estratègia de ciberseguretat proactiva, flexible i adaptable àgilment als canvis dinàmics i a l’evolució de les amenaces cibernètiques.”

Els ciberatacs també tenen conseqüències en la normativa de protecció de dades. Per això  és important que el responsable sigui conscient de com ha evolucionat el context de bretxes de dades personals en l’àmbit de la salut i, en particular, dels ciberincidents de tipus ransomware que s’han multiplicat en els últims anys, i que afecten a tot tipus d’organitzacions assistencials. Són diverses les resolucions sancionadores de l’Agència Espanyola de Protecció de Dades que s’han publicat en els últims temps derivades de ransomware, per exemple, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecologia SLP, en què s’imputen infraccions dels arts. 5.1.f), 32 i 34 del Reglament General de Protecció de Dades (RGPD); o els procediments de l’Autoritat Catalana de Protecció de Dades PS 1/2024 i PS 4/2024, referents a l’Hospital Clínic de Barcelona i Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en els que es declara una infracció de l’art. 83.4.a en relació amb l’art. 32.1 RGPD i infracció de l’art. 83.4.a en relació amb l’art. 32.2 RGPD.

En definitiva, de l’exposat es desprèn que la ciberseguretat seguirà marcant l’agenda de les organitzacions del sector salut durant els pròxims exercicis, així com també de la política comunitària. El passat 15 de gener de 2025 la Comissió Europea presentà un pla d’acció de la UE destinat a reforçar la ciberseguretat dels hospitals i els prestadors d’assistència sanitària, que té com a objectiu crear un entorn més segur i protegit per als pacients. Aquesta iniciativa marca la primera iniciativa sectorial específica per a desplegar tota la gamma de mesures de ciberseguretat de la UE. El Pla es basa en les quatre prioritats següents:

1. Prevenció millorada.  El pla ajuda a desenvolupar les capacitats del sector sanitari per a prevenir incidents de ciberseguretat a través de mesures de preparació millorades, com orientacions sobre l’aplicació de pràctiques crítiques de ciberseguretat.
2. Millor detecció i identificació d’amenaces. Es desenvoluparà un servei d’alerta primerenca a escala de la UE, que oferirà alertes quasi a temps real sobre possibles ciberamenaces, d’aquí a 2026.
3. Resposta als ciberatacs per a minimitzar l’impacte. El pla proposa un servei de resposta ràpida pel sector sanitari en el marc de la Reserva de Ciberseguretat de la UE.
4. Dissuasió. Protegir els sistemes sanitaris europeus dissuadint als agents de ciberamenaces d’atacar-los. Això inclouria una resposta diplomàtica conjunta de la UE a les activitats informàtiques malintencionades.

Seguirem amb interès els passos previstos pel 2025-2026 definits en el Pla i analitzarem si aquests eviten que segueixi augmentant any rere any el nombre de ciberatacs a hospitals i altres prestadors d’assistència sanitària.