Il settore sanitario si trova oggi a fronteggiare una nuova frontiera di vulnerabilità informatiche, strettamente legata all’adozione massiccia di strumenti basati su IA generativa. L’analisi condotta da Netskope Threat Labs nell’arco di 13 mesi dipinge infatti un quadro preoccupante, nel quale le informazioni protette da normative stringenti, come cartelle cliniche e dati medici sensibili, finiscono esposte con una frequenza allarmante attraverso l’interazione con sistemi di genAI.

Il dato più significativo è che l’89% di tutte le violazioni delle policy aziendali sui dati, nel contesto dell’utilizzo di IA generativa, riguarda informazioni regolamentate. Un valore che risulta drammaticamente superiore rispetto alla media riscontrata in altri settori produttivi, ferma al 31%. La disparità evidenzia quanto il personale sanitario sia esposto a rischi specifici nel maneggiare quotidianamente dati particolarmente sensibili attraverso prompt e documenti caricati sui sistemi AI.

La questione si complica ulteriormente quando si considera l’utilizzo di account personali per accedere a servizi di IA generativa durante l’orario lavorativo. Sebbene il fenomeno abbia registrato una contrazione nell’ultimo anno, il 43% degli operatori sanitari continua a ricorrere a questi strumenti personali, creando zone d’ombra difficilmente controllabili dai team di sicurezza informatica. Questi account sfuggono al monitoraggio aziendale, rappresentando un canale privilegiato per potenziali fughe di informazioni critiche.

Le organizzazioni sanitarie hanno risposto con una strategia di contenimento basata sull’implementazione accelerata di applicazioni genAI approvate e gestite internamente. I risultati mostrano un’inversione di tendenza significativa, con la percentuale di dipendenti che utilizza strumenti AI certificati dall’azienda che è balzata dal 18% al 67%, superando persino la media registrata in altri comparti industriali.

dati sanitari ai

L’integrazione crescente di soluzioni AI nei processi operativi clinici e amministrativi introduce però complessità tecniche aggiuntive. Quasi due organizzazioni sanitarie su tre registrano traffico API verso OpenAI e AssemblyAI, mentre oltre un terzo si connette ai servizi di Anthropic. Queste connessioni rappresentano la spina dorsale tecnologica attraverso cui i sistemi interni dialogano con i modelli linguistici ospitati nel cloud, richiedendo protocolli di sicurezza dedicati e governance rigorosa.

Il panorama delle minacce non si esaurisce però con l’intelligenza artificiale. L’utilizzo di applicazioni cloud personali costituisce infatti un altro vettore critico di esposizione. I dati regolamentati rappresentano l’82% delle violazioni rilevate in questo ambito, con i dipendenti che caricano materiale sensibile su account privati, talvolta inconsapevolmente. Come contromisure adottate, oltre la metà delle organizzazioni sanitarie che hanno implementato policy restrittive ha bloccato il caricamento di file verso Google Drive personale (seguono Gmail con il 39% e OneDrive con il 30%).

Gli attaccanti dimostrano inoltre di sfruttare abilmente la fiducia riposta dai dipendenti nelle piattaforme cloud legittime. Azure Static Web Apps, GitHub e Microsoft OneDrive emergono infatti come i veicoli preferiti per la distribuzione di malware, con percentuali di tentativi di download malevolo rispettivamente dell’8,2%, 8% e 6,3% delle organizzazioni monitorate.

Ray Canzanese, responsabile di Netskope Threat Labs, sottolinea la duplice natura della sfida, facendo notare come accanto alle minacce esterne tradizionali il settore sanitario debba ora confrontarsi con rischi interni amplificati dall’adozione rapida di tecnologie cloud e AI. La strada indicata da Canzanese passa attraverso un equilibrio delicato, ovvero fornire al personale strumenti approvati che soddisfino realmente le esigenze di produttività quotidiana, implementando contemporaneamente sistemi di sicurezza capaci di garantire visibilità completa sui flussi di dati e controllo granulare sulle attività.

Solo bilanciando innovazione e protezione, le organizzazioni sanitarie potranno infatti evitare sanzioni pesanti e preservare la fiducia dei pazienti nella gestione delle loro informazioni più delicate.