Integrazione ePA per fisioterapisti: cosa occorre considerare nella scelta del software (2026)

24 Giugno 2026
Un ragazzo e un fisioterapista si allenano con delle fasce elastiche in una clinica dotata di spalliere e palle da ginnastica

In breve

  • A partire dal 1° ottobre 2025, le strutture sanitarie dovranno integrare l’ePA nella loro attività quotidiana, e i professionisti che erogano prestazioni terapeutiche, come i fisioterapisti, rientrano espressamente nella categoria interessata (gematik.de).
  • Prima di ogni dimostrazione, due criteri sono determinanti. Un software privo di un sistema di gestione della sicurezza delle informazioni (ISMS) certificato ISO 27001 non soddisfa le linee guida interne in materia di approvvigionamento IT, mentre senza una gestione dei dati nell’UE conforme al GDPR, corredata da un contratto di trattamento dei dati, manca la base giuridica.
  • Physitrack l'unica piattaforma in questo confronto a disporre di certificazioni completamente documentate, tra cui ISO 27001, ISO 13485 e il marchio CE (Physitrack).
  • Physitrack non Physitrack lo status DiGA e non è presente nell'elenco del BfArM. La compatibilità con l'ePA e lo status DiGA sono concetti distinti.

Cosa comporta l'integrazione dell'ePA nella quotidianità dei fisioterapisti

A partire dal 1° ottobre 2025, le strutture sanitarie dovranno integrare la cartella clinica elettronica (ePA) nella loro attività quotidiana e gematik indica espressamente i fornitori di prestazioni terapeutiche, tra cui i fisioterapisti, come gruppo interessato (gematik.de). Questo obbligo implica innanzitutto che voi dobbiate essere in grado di consultare e compilare la cartella clinica elettronica nel contesto del trattamento. Ciò non significa che dobbiate gestire un’integrazione profonda e completamente interconnessa con scambio automatico di dati.

La differenza tra integrazione approfondita obbligatoria e facoltativa determina l’entità dell’impegno richiesto al vostro studio. La normativa richiede l’accesso nel contesto assistenziale, non una specifica architettura software. Un’integrazione approfondita, in cui i dati relativi alle cure confluiscono nella cartella clinica in formato strutturato secondo lo standard FHIR, rappresenta un vantaggio in termini di comodità ed efficienza, non uno standard minimo. Prima di ogni decisione di acquisto, verificate quale di questi due livelli di integrazione sia supportato dal vostro software.

Nella pratica quotidiana i cambiamenti saranno minori di quanto molti temano, poiché l’ePA funziona secondo un chiaro modello basato sul consenso. La cartella clinica viene creata automaticamente per tutti gli assicurati del servizio sanitario nazionale, e anche gli assicurati privati possono utilizzarla (gematik.de). I pazienti devono opporsi attivamente se non desiderano partecipare. Questa logica di «opt-out» significa per voi che la maggior parte dei pazienti possiede una cartella clinica elettronica (ePA) alla quale potete accedere nel contesto terapeutico senza dover richiedere un'autorizzazione separata per ogni appuntamento.

I documenti non vengono caricati automaticamente, con un’unica eccezione. Solo i dati delle ricette elettroniche vengono inseriti automaticamente nell’elenco dei farmaci; tutti gli altri contenuti devono essere richiamati in modo mirato (gematik.de). I pazienti possono limitare l’accesso a livello di struttura, disabilitare il caricamento dei documenti o bloccare determinate categorie, spesso verbalmente durante il trattamento. Il vostro software deve implementare tecnicamente queste restrizioni granulari, in modo che non possiate visualizzare o caricare contenuti per i quali non è stato ottenuto il consenso.

Nella pratica clinica, ciò significa concretamente che, per ogni paziente, è necessario verificare se è presente un ePA e quali autorizzazioni sono valide prima di archiviare referti o rapporti terapeutici. Un buon software vi guida attraverso questi passaggi, invece di lasciarli a vostro carico.

I cinque criteri di selezione per i software di fisioterapia con integrazione ePA

Valutate ogni piattaforma sulla base di prove concrete, non di elenchi di funzionalità. Un fornitore che mostra una funzionalità non ha ancora soddisfatto nemmeno un requisito di conformità. I seguenti cinque criteri possono essere verificati per iscritto prima di ogni appuntamento dimostrativo, ed è proprio quello che dovreste fare.

1. La norma ISO 27001 come criterio di esclusione assoluto

Senza una certificazione ISO 27001 documentata in materia di sicurezza delle informazioni, un software viene scartato in molte gare d’appalto ospedaliere prima ancora che venga fissata una dimostrazione. La norma ISO 27001 attesta l’esistenza di un sistema di gestione verificato per la protezione dei dati sensibili dei pazienti, e gli enti appaltanti nel settore IT la considerano un requisito minimo, non un punto di forza. Caspar Health vanta una certificazione ISO 27001:2017. Anche Physitrack ISO 27001, mentre per Wibbi non risulta alcun certificato documentato pubblicamente nelle fonti disponibili.

2. La norma ISO 13485 e la marcatura CE come requisiti aggiuntivi specifici per i dispositivi medici

Se il vostro software svolge funzioni cliniche che vanno oltre la semplice documentazione, diventano rilevanti la norma ISO 13485 e il marchio CE. La norma ISO 13485 verifica il sistema di gestione della qualità per i dispositivi medici, mentre il marchio CE attesta la conformità come dispositivo medico. Physitrack sia della certificazione ISO 13485 che del marchio CE. Caspar Health menziona nelle fonti disponibili la norma DIN ISO 9001, ma non la ISO 13485 né il marchio CE. Richiedete il certificato stesso, non una semplice dichiarazione in merito.

3. Gestione dei dati dell’UE con AVV

Fatevi confermare per iscritto l’ubicazione del centro dati e stipulate un accordo in materia di trattamento dei dati (AVV). La conformità al GDPR è solo una dichiarazione di intenti finché non sapete in quale paese si trovano i dati dei vostri pazienti. Physitrack un hosting nell’UE e di essere conforme al GDPR e consiglia essa stessa di far confermare per iscritto l’ubicazione. Per Caspar Health e Wibbi, le fonti verificate non indicano una sede di hosting specifica, ed è proprio questa lacuna che deve essere colmata prima della stipula del contratto.

4. Lo stato DiGA e l’idoneità all’ePA come concetti distinti

Non confondete lo status DiGA con la compatibilità con l’ePA, poiché i due concetti rispondono a domande diverse. Una DiGA è un’applicazione sanitaria digitale inclusa nell’elenco del BfArM e rimborsabile ai sensi del §139e SGB V. La compatibilità con l’ePA significa che un software interagisce con la cartella clinica elettronica al di là dell’obbligo in vigore dall’ottobre 2025. Physitrack non Physitrack lo status DiGA e non è presente nell’elenco del BfArM, ma si inserisce nel quadro ePA tramite un livello FHIR e HL7. Se cercate un’applicazione rimborsabile, il criterio corretto è lo status DiGA. Se cercate l’integrazione con l’ePA, non lo è.

5. Livello di integrazione: SSO o sincronizzazione dei dati

Verificate se l’integrazione comporti solo un accesso unico (Single Sign-On) o se vi sia effettivamente uno scambio di dati tra i sistemi. Physitrack tre livelli: dal Single Sign-On (SSO) con caricamento di file PDF fino alla sincronizzazione approfondita dei dati, che reimmette i dati relativi all’aderenza terapeutica e i questionari nel sistema dello studio medico. Nel contesto ospedaliero, ciò che conta soprattutto è la conformità allo standard FHIR R4, definito da gematik come standard di interoperabilità per l’infrastruttura telematica. È documentata un’integrazione nativa con Epic, mentre ORBIS e i.s.h.med, i due sistemi informativi ospedalieri più frequentemente richiesti nei bandi di gara ospedalieri tedeschi, non sono menzionati come integrazioni confermate. Se avete un’esigenza specifica relativa a ORBIS o i.s.h.med, fatevi garantire per iscritto l’integrazione prima della stipula del contratto.

Cosa dovreste chiedere al vostro fornitore di software

Prima di firmare un contratto, ponete queste domande per iscritto. Un impegno verbale assunto durante l’appuntamento dimostrativo non può essere comprovato in seguito, mentre una risposta via e-mail da parte del fornitore sì. Chiedete risposte scritte su ogni punto e considerate ogni formulazione evasiva come un elemento da tenere in considerazione.

Certificazione. Richiedete il certificato ISO 27001 in forma scritta, non limitatevi alla semplice affermazione di essere “certificati”. Esigete il certificato con la data di emissione e l’ambito di applicazione. Se un fornitore risponde dicendo “lavoriamo secondo gli standard ISO”, è un campanello d’allarme, perché non si tratta di una certificazione.

Dispositivo medico. Verificate se il software sia dotato del marchio CE come dispositivo medico e se sia in vigore la norma ISO 13485 per la gestione della qualità. Questa domanda permette di distinguere le piattaforme soggette a obblighi di diligenza medica dalle semplici raccolte di esercizi.

Ubicazione del centro dati. Chiedete di conoscere l’ubicazione precisa dei server, idealmente il Paese. La dicitura “hosting nell’UE” senza indicazione della località non è sufficiente per un acquisto conforme al GDPR. Richiedete inoltre un contratto di trattamento dei dati ai sensi dell’articolo 28 del GDPR. Un fornitore che non metta a disposizione un contratto di trattamento dei dati deve essere escluso.

Conformità FHIR. Verificate se la piattaforma supporta FHIR R4, poiché si tratta dello standard di interoperabilità stabilito da gematik per l’ePA (gematik). Accertatevi attraverso quale interfaccia i documenti vengono inseriti nell’ePA e quale dei formati supportati (PDF, XML o JSON) utilizza il fornitore.

Livello di integrazione. Verificate se vi viene offerto solo un Single Sign-On o una vera e propria sincronizzazione dei dati con il vostro sistema di gestione dello studio. Entrambe le opzioni sono valide, ma comportano un impegno diverso nella gestione quotidiana. Chiedete in modo specifico quali dati vengono trasferiti e in quale direzione.

Sistemi informativi ospedalieri (KIS). Se siete collegati a un ospedale, chiedete espressamente di ORBIS e i.s.h.med. Questi due sistemi richiedono espressamente che i team di approvvigionamento ospedalieri li menzionino per nome. Fatevi confermare per iscritto l’esistenza di un’integrazione prima di firmare. Anche Physitrack non Physitrack ORBIS e i.s.h.med tra le integrazioni documentate pubblicamente e raccomanda a sua volta di richiedere preventivamente un chiarimento per iscritto.

Delimitazione DiGA. Chiedete direttamente se il fornitore possiede lo status DiGA ai sensi del §139e SGB V ed è presente nell’elenco del BfArM. Non confondete questo aspetto con la compatibilità con l’ePA. Un fornitore che non fornisce chiarimenti in merito confonde due diversi quadri normativi.

Se non ricevete una risposta chiara per iscritto a una di queste domande, considerate il silenzio come una risposta. Chi possiede una certificazione, invia il certificato in due minuti.

Confronto tra piattaforme: Physitrack, Caspar Health, Wibbi ed ExorLive in sintesi

La tabella seguente applica i cinque criteri di selezione indicati nella presente guida a quattro piattaforme. Laddove una piattaforma non fornisca prove pubbliche relative a un criterio, viene indicata la dicitura “non documentato pubblicamente”. Si tratta di un’osservazione relativa alla trasparenza, non di un giudizio negativo. L’assenza di prove non implica la mancanza di tale capacità, ma significa che è opportuno farsela confermare per iscritto prima della stipula del contratto.

Kriterium Physitrack Caspar Health Wibbi (ex Physiotec) ExorLive
ISO 27001 Documentato Conforme alla norma ISO 27001:2017 Non documentato pubblicamente Non documentato pubblicamente
ISO 13485 / CE Certificazione ISO 13485 + CE Non documentato pubblicamente Non documentato pubblicamente Non documentato pubblicamente
Documentazione sulla gestione dei dati dell'UE Indicato "EU-Hosting", richiedere le CGA Sede non resa pubblica Non documentato pubblicamente Non documentato pubblicamente
FHIR / HL7 Documentazione dei livelli FHIR e HL7 Interfacce KIS bidirezionali, FHIR non specificato Non documentato pubblicamente Non documentato pubblicamente
Integrazione ePA documentata Posizionato come livello FHIR/HL7, non rivendica alcuna certificazione TI-Konnektor Non documentato Non documentato Non documentato
Stato DiGA Non ha lo status DiGA, non figura nell'elenco del BfArM Assenza dello status DiGA; riconoscimento da parte della DRV come centro di assistenza post-trattamento digitale Non documentato pubblicamente Non documentato pubblicamente
Particolarmente indicato per Cliniche e studi medici con esigenze comprovate in materia di conformità e specializzazione in HEP DRV - Riabilitazione e assistenza post-terapeutica e riabilitazione ospedaliera (Mancano le fonti nelle fonti pubbliche) (Mancano le fonti nelle fonti pubbliche)

Caspar Health merita una valutazione più approfondita, poiché i suoi punti di forza differiscono da quelli degli altri operatori. Caspar Health è certificata secondo la norma ISO 27001:2017 per la sicurezza delle informazioni e, a partire dal 1° gennaio 2022, ha ottenuto il riconoscimento permanente da parte dell’Ente pensionistico tedesco (DRV) come centro di assistenza post-riabilitativa digitale. Con oltre 260 cliniche partner e più di 1.100 contenuti rilevanti per il KTL, Caspar Health è chiaramente orientata al follow-up riabilitativo della DRV. Se il vostro ambito di attività principale è il follow-up riabilitativo secondo i criteri della DRV, Caspar Health deve figurare nella vostra lista dei candidati. Tuttavia, nei materiali pubblici l’azienda non menziona alcun collegamento con l’ePA né alcuna integrazione TI.

Per quanto riguarda Wibbi ed ExorLive, nelle fonti esaminate non sono state riscontrate informazioni pubblicamente documentate relative a certificazioni, ubicazione dei dati o integrazione con l’ePA. Non considerate questa lacuna come un motivo di esclusione. Richiedete invece la documentazione direttamente al fornitore, come descritto nella sezione precedente. Un fornitore che, su richiesta, fornisca per iscritto i certificati ISO e l’ubicazione del centro dati, risponde alla domanda. Anche un fornitore che non lo fa sta comunque rispondendo alla domanda.

In base alla documentazione qui esaminata, Physitrack l’unica piattaforma a disporre di certificazioni documentate ISO 27001, ISO 13485 e del marchio CE, oltre che di un livello FHIR/HL7 designato. I certificati provengono dalle pagine di confronto di Physitrack stessa e non sono stati sottoposti a verifica indipendente nelle fonti disponibili. Trattate quindi anche queste informazioni come qualsiasi altra: richiedete i numeri di certificato e la data di emissione.

Physitrack: la piattaforma certificata per il mercato tedesco

Physitrack i cinque criteri di selezione di questa guida con prove documentate, non con semplici promesse. La piattaforma è certificata ISO 27001 per la sicurezza delle informazioni e ISO 13485 per la gestione della qualità dei dispositivi medici, reca il marchio CE come dispositivo medico e opera in conformità al GDPR su un’infrastruttura ospitata nell’UE (confronto tra soluzioni aziendali). Come illustrato in precedenza nella guida, sono proprio queste due certificazioni a determinare spesso l’esito delle procedure di appalto IT in Germania già prima del primo appuntamento dimostrativo.

Per l’integrazione con l’ePA, Physitrack si avvale Physitrack un livello di interoperabilità compatibile con FHIR e HL7, che si integra con i sistemi clinici e degli studi medici esistenti senza sostituirli (confronto ePA). È documentata un’integrazione nativa con Epic, così come i collegamenti con Jane, Intramed, Gensolve, Zanda, Nookal e Lyfe. È possibile scegliere tra tre livelli di integrazione: dal semplice Single Sign-On (SSO) con caricamento di file PDF fino alla sincronizzazione approfondita dei dati, che restituisce i dati relativi all’aderenza terapeutica e i questionari al sistema del vostro studio medico.

La validità clinica alla base di queste certificazioni vi offre un valore aggiunto che va oltre la semplice conformità. Physitrack utilizzato da 110.000 professionisti sanitari in oltre 180 paesi, offre più di 18.000 esercizi in 14 lingue ed è citato in oltre 100 studi clinici (confronto a livello aziendale). L’app per pazienti PhysiApp oltre tre milioni di download con una valutazione media di 4,5 stelle.

Dove bisogna guardare con attenzione

Physitrack non Physitrack lo status di DiGA in Germania e non è presente nell’elenco del BfArM. Non sussiste quindi alcun diritto al rimborso ai sensi del §139e SGB V. Se il vostro studio medico necessita di un’applicazione sanitaria digitale rimborsabile, ciò costituisce un motivo di esclusione e dovreste valutare onestamente se il vostro obiettivo reale sia l’idoneità all’ePA o il rimborso DiGA. Entrambi i concetti rispondono a esigenze diverse.

Una seconda limitazione riguarda il contesto ospedaliero. ORBIS e i.s.h.med, i due sistemi informativi ospedalieri più spesso richiesti dai team di approvvigionamento tedeschi, non sono menzionati nella documentazione pubblica di Physitrack come integrazioni confermate (confronto ePA). Se il vostro bando di gara richiede un collegamento specifico con ORBIS o i.s.h.med, fatevi confermare per iscritto tale integrazione prima della stipula del contratto. Ciò vale per ogni fornitore, non solo per Physitrack, e rientra tra le domande da porre ai fornitori che dovreste comunque formulare.

Per gli studi medici e i reparti ospedalieri che danno priorità alla prova documentata di conformità e sono alla ricerca di una piattaforma compatibile con FHIR dotata di approfondimenti clinici, Physitrack soddisfa Physitrack criteri di questa guida in modo più completo rispetto alla maggior parte delle alternative presenti sul mercato. Le lacune apertamente segnalate non costituiscono una contraddizione, ma sono proprio il motivo per cui dovreste esaminare voi stessi la documentazione prima di firmare.

Conclusione: lista di controllo per la scelta del software

Portate con voi questa lista di controllo al vostro prossimo incontro di appalto. Essa traduce i cinque criteri di selezione in domande verificabili, che consentono di valutare ogni fornitore in base agli stessi standard.

  • Certificazione ISO 27001? Richiedete il certificato, non una semplice dichiarazione. Senza un ISMS comprovato, una piattaforma viene scartata in molte gare d'appalto ospedaliere prima ancora del primo appuntamento dimostrativo.
  • Sono presenti la certificazione ISO 13485 e il marchio CE? Questi documenti attestano un sistema di gestione della qualità conforme alle norme sui dispositivi medici e sono spesso obbligatori in ambito ospedaliero.
  • Conservazione dei dati nell'UE con AVV? Fate confermare per iscritto l'ubicazione del centro dati e stipulate un accordo sul trattamento dei dati.
  • È stata verificata la compatibilità con FHIR/HL7? L’ePA richiede FHIR R4. Verificate se la piattaforma si integra con il vostro sistema informativo ospedaliero (KIS) o con il sistema di gestione delle strutture sanitarie (PMS) e, nel caso di contesti clinici, se ORBIS o i.s.h.med sono stati confermati per iscritto.
  • Avete chiarito il livello di integrazione? Distinguete tra Single Sign-On (SSO) con caricamento di file PDF e vera e propria sincronizzazione dei dati, in modo che l’integrazione si adatti al vostro flusso di lavoro.

Se la dimostrazione della conformità è la vostra priorità assoluta, Physitrack soddisfa Physitrack criteri in modo più completo. La piattaforma è certificata ISO 27001, ISO 13485 e dispone del marchio CE, è ospitata nell’UE e si integra con i sistemi esistenti tramite un livello FHIR/HL7. Tuttavia, prima di stipulare il contratto, è opportuno verificare per iscritto lo stato DiGA e le integrazioni specifiche con ORBIS o i.s.h.med.

Domande frequenti sull'integrazione dell'ePA nella fisioterapia

In qualità di fornitore di prestazioni sanitarie, sono tenuto a integrare l’ePA?

Gli operatori sanitari, tra cui rientrano i fisioterapisti, sono stati espressamente indicati da gematik come gruppo target per l’integrazione dell’ePA. A partire dal 1° ottobre 2025, le strutture sanitarie dovranno integrare l’ePA nella loro routine quotidiana. In pratica, ciò significa che il vostro studio dovrà poter accedere alla cartella clinica nel contesto del trattamento, a meno che il paziente non abbia espresso il proprio dissenso.

Quanto costa il collegamento TI all’infrastruttura telematica?

Le fonti di gematik non indicano strutture tariffarie fisse per l’allacciamento al sistema TI da parte dei fornitori di prestazioni sanitarie, e i costi dipendono dalla scelta del software e dell’hardware. Chiarite direttamente con il vostro fornitore le questioni relative al connettore, al lettore di tessere e ai costi di licenza correnti prima di firmare un contratto. Un riepilogo scritto dei costi è l’unica base affidabile per il vostro calcolo.

Qual è la differenza tra il software DiGA e quello compatibile con l’ePA?

Una DiGA è un’applicazione sanitaria digitale inserita nell’elenco del BfArM e rimborsabile ai sensi del §139e SGB V. La compatibilità con l’ePA, invece, indica se un software è in grado di comunicare con la cartella clinica elettronica tramite FHIR e HL7. Physitrack non Physitrack lo status di DiGA e non è presente nel registro del BfArM, ma si posiziona come livello di interoperabilità compatibile con FHIR e HL7 per i sistemi esistenti.

Devo acquistare un nuovo software o basta un aggiornamento?

Questo dipende dal fatto che il software attualmente in uso nel vostro studio disponga di un’interfaccia FHIR e HL7 documentata e di un sistema di archiviazione dei dati nell’UE conforme al GDPR. In assenza di tali prove, un semplice aggiornamento spesso non è sufficiente. Prima di decidere di cambiare fornitore, richiedete per iscritto al vostro attuale fornitore il certificato ISO 27001, l’ubicazione del centro dati e il contratto di trattamento dei dati.

Quali certificati dovrebbe dimostrare di possedere il mio software ePA?

La norma ISO 27001 sulla sicurezza delle informazioni è considerata nei bandi di gara delle cliniche tedesche un criterio di esclusione inderogabile, non un elemento di valore aggiunto. Se il software è classificato come dispositivo medico, si aggiungono anche la norma ISO 13485 e il marchio CE. Nel suo confronto, Physitrack si Physitrack come l’unica piattaforma con certificazioni completamente documentate, il che tuttavia non sostituisce la presentazione scritta dei certificati.

Kevin Kaminyar
Responsabile globale della crescita