Circa l’88% delle istituzioni sanitarie mondiali utilizza applicazioni di IA generativa che, come sottolineato da Gianpietro Cutolo, cloud threat researcher presso Netskope Threat Labs, «offrono soluzioni innovative, ma introducono anche nuovi vettori per potenziali violazioni dei dati, soprattutto in ambienti ad alta pressione e criticità come quello sanitario, dove il personale e i professionisti devono spesso operare con rapidità e agilità. Le organizzazioni sanitarie devono bilanciare i benefici della genAI con l’adozione di misure di sicurezza e protezione dei dati per mitigare tali rischi».
I principali fattori di rischio
Da quanto emerge nel report Netskope, che si riferisce al periodo compreso tra 1° marzo 2024 e 31 marzo 2025, le applicazioni di IA generativa sono spesso oggetto di violazione della privacy dei dati dovuta a caricamento di dati sensibili su siti web o piattaforme cloud non autorizzati.
Secondo il report, nel 44% dei casi di parla di dati regolamentati, nel 29% di codici sorgente, nel 25% di proprietà intellettuale e nel 2% di password e chiavi di accesso. In alcuni casi i dati degli utenti vengono utilizzati per addestrare la stessa app generativa a fornire un dato servizio.
Ci sono poi evidenze che il personale sanitario invii dati sensibili ai propri account di genAI negli orari lavorativi.
L’uso improprio di queste applicazioni apre nuove brecce nella sicurezza informatica delle aziende sanitarie.
Preservare la sicurezza dei dati sensibili
Un modo per contrastare il rischio informatico connesso all’uso di applicazioni genAI è l’adozione da parte delle strutture sanitarie di politiche DLP e di blocco delle applicazioni stesse, come confermato da Gianpietro Cutolo: «man mano che la genAI viene integrata nei flussi di lavoro clinici e operativi, le organizzazioni stanno accelerando l’implementazione di controlli come le politiche DLP e il blocco delle applicazioni per ridurre i rischi.
Le organizzazioni sanitarie stanno facendo progressi, ma sarà fondamentale mantenere l’attenzione su soluzioni sicure e approvate a livello aziendale, per garantire che i dati restino protetti in questo scenario in continua evoluzione».
Le politiche DLP – Data Loss Prevention, si basano su un controllo e un monitoraggio rigoroso degli accessi alle applicazioni genAI e sulla decisione chiara di quali sono i dati che si possono condividere e quali invece no.
Un altro passo importante riguarda l’aggiunta di alert che chiedono conferma all’operatore per procedere nel momento in cui tenta di caricare in un’app genAI dati di pazienti: si è visto che questo semplice avvertimento è sufficiente a disincentivare l’operatore.
Da ultimo, le aziende sanitarie potrebbero fornire ai propri operatori applicazioni di genAI approvare internamente, per ridurre l’uso di account personali. La sicurezza informatica deve evolversi di pari passo con i rischi che si presentano e che dipendono in larga parte anche dalle nuove tecnologie.
Fonte: CS Netskope
