Una ricerca condotta da Oversecured, una società di sicurezza delle applicazioni mobili, ha identificato una serie di vulnerabilità proprio tra le app più popolari (quelle che superano i dieci milioni di download) per la salute mentale, disponibili su Google Play. L’analisi dei ricercatori si è soffermata principalmente sulle applicazioni per il trattamento della depressione, impiegate per studi clinici finanziati da importanti istituti di ricerca, utilizzate da grandi datori di lavoro, assicuratori e agenzie sanitarie governative.
Il tema merita attenzione. L’impiego di queste applicazioni è estremamente diffuso tra gli utenti di tutto il mondo che, sempre più, ricorrono a tali strumenti come primo supporto terapeutico. Ciò è evidente dai dati estremamente chiari riportati dagli stessi ricercatori: il mercato delle app per la salute mentale, già nel 2025, raggiungeva i dieci/dodici miliardi di dollari, con tassi di crescita annuali pari al 18-20%. Inoltre, secondo l'OMS, una persona su otto a livello globale (circa un miliardo) soffre di disturbi della salute mentale. Ecco che appare evidente come l’impiego di tali app possa potenzialmente raggiungere un bacino di utenza molto esteso.
Queste app raccolgono una mole notevole di dati sanitari degli utilizzatori, tra i quali, per esempio: risultati di esami clinici, comunicazioni con i medici o con i terapeuti, dati relativi alla salute psicofisica, abitudini, traumi e dipendenze.
In via generale, il Regolamento (UE) 679/2016 (GDPR) vieta il trattamento dei dati particolari, tra i quali quelli relativi alla salute, salvo in presenza di adeguata base giuridica che, in questi casi, è da ricercare nel consenso espresso dall’interessato che interagisce con l’app.
Tuttavia, nella maggior parte dei casi, gli utenti non percepiscono realmente i potenziali rischi a cui possono incorrere nel caso in cui lo strumento non garantisca effettivamente la sicurezza delle loro informazioni. Non solo. Gli interessati non hanno nemmeno consapevolezza del valore economico che i propri dati sanitari hanno sul dark web. Per tali ragioni, gli utenti sono portati con leggerezza a condividere le proprie informazioni e a rilasciare il consenso per il relativo trattamento, non curandosi delle gravi conseguenze in caso di accesso da parte di terzi non autorizzati.
Purtroppo, gli effetti possono essere anche molto gravi, come emerge chiaramente dall’espressione impiegata dal progetto “Privacy Not Included”, richiamato dagli stessi ricercatori, con il quale Mozilla Foundation ha indicato la categoria delle app per la salute come un “incubo per la privacy”.
Infatti, dall'analisi condotta da Oversecured, emerge una potenziale nuova frontiera per lo spionaggio informatico: le app sulla salute, involontariamente, aprono una back door a terzi non autorizzati per accedere a una mole ingente di dati sensibili di una vastissima platea di utenti, inconsapevolmente profilati e monitorati.
Le vulnerabilità di sicurezza sono terreno fertile per veri e propri attacchi informatici da parte degli hacker, finalizzati a esfiltrare i dati, per poi eseguire truffe o campagne di phishing mirate.
Sono numerosi gli attacchi di questo tipo. Ad esempio, nel 2020, un gruppo di hacker ha sottratto illegalmente le note delle sedute di 33.000 pazienti di una clinica di psicoterapia finlandese, per chiedere un riscatto in cambio della segretezza di tali informazioni direttamente alle vittime, tra le quali alcune si sono addirittura tolte la vita.
Come sono possibili gli attacchi? I ricercatori spiegano che solitamente tutto inizia quando l’utente scarica un’applicazione, apparentemente innocua e spesso gratuita (pensiamo a un’applicazione come la calcolatrice). Tuttavia, tale applicazione contiene un codice nascosto e malevolo che intercetta le informazioni presenti in altre app (tra le quali anche app relative alla salute), senza che l’utente possa in alcun modo avvedersene.
Questo è solo un esempio per comprendere i concreti rischi di una diffusione illegittima dei dati presenti in tali applicazioni. Basta pensare che nel dark web le cartelle cliniche sono vendute a migliaia di dollari, alimentando un mercato illegale a elevatissimo impatto.
Infatti, i dati esfiltrati sono rivenduti (illegalmente) al miglior offerente, visto il loro grande valore economico intrinseco: le informazioni sulla salute, anche mentale, sono una miniera di ricchezza potenzialmente fonte di discriminazioni, soprattutto, nell’ambito datoriale, bancario e assicurativo: settori in cui i dati possono incidere sulle decisioni circa l’accesso a servizi (anche essenziali) e, potenzialmente, condurre a risultati discriminatori.
Con lo sviluppo delle tecnologie e la sempre maggiore capacità dell’AI, gli attacchi che sfruttano le vulnerabilità diventano sempre più sofisticati, tuttavia, l’utente può prestare attenzione e verificare l’affidabilità delle applicazioni che intende utilizzare. Di seguito sono riportati, a mero titolo esemplificativo, alcuni elementi da considerare:
- controllare la presenza di indicazioni chiare relative al trattamento (finalità, basi giuridiche, dati trattati), al titolare e ai canali con il quale contattarlo per ottenere informazioni e esercitare i propri diritti;
- verificare che siano state implementate misure di sicurezza adeguate per tutelare i dati sanitari degli utenti da possibili violazioni (pseudonimizzazione, autenticazione forte, l’utilizzo di password con standard di sicurezza adeguati);
- l’adeguatezza e la completezza dell’informativa privacy;
- i destinatari dei dati personali;
- la presenza di trasferimenti fuori dall’Unione Europea e eventuali garanzie ai sensi degli artt. 45 e ss GDPR;
- la politica di data retention, anche a seguito di disinstallazione dell’app e cancellazione del profilo;
- l’accessibilità da parte delle app a ulteriori informazioni esterne (es. rubrica, microfono, calendario, galleria)
In conclusione, proprio in ragione della natura dei dati trattati e dai rischi che possono derivare ai diritti e alle libertà degli interessati, gli sviluppatori devono offrire un prodotto che sia by default in compliance con la normativa privacy, per l’intero ciclo di vita del trattamento dei dati sanitari. Tuttavia, ciò non è sufficiente: è necessario sensibilizzare gli utenti circa la natura estremamente delicata delle informazioni che immettono all’interno dell’app, così da renderli più cauti e consapevoli dei potenziali rischi.
