Per il recente report sulle minacce di Netskope Threat Labs le app di GenAI, ad esempio ChatGPT o Google Gemini, sono spesso coinvolte in violazioni delle policy sui dati sanitari sensibili. La ricerca ha analizzato il settore sanitario dal 1° marzo 2024 al 31 marzo 2025. Ne emerge che i lavoratori di questo settore tentano regolarmente di caricare dati sensibili su siti web non approvati o piattaforme cloud non autorizzate.
Il problema degli account personali
L’81% di tutte le violazioni delle policy sui dati che si sono verificate nelle organizzazioni sanitarie negli ultimi 12 mesi ha riguardato dati sanitari regolamentati. Ovvero dati protetti da normative locali, nazionali o internazionali, che includono informazioni mediche e cliniche sensibili. Anche password e chiavi di accesso, codice sorgente o proprietà intellettuale sono stati coinvolti (per un totale del 19%). Un gran numero di tali violazioni è stato causato da individui che hanno caricato dati sensibili su account personali di Microsoft OneDrive o Google Drive.
Troppe violazioni e perdite di dati causate da un uso scorretto della GenAI
L’intelligenza artificiale generativa è ormai onnipresente e le applicazioni basate su GenAI sono attualmente utilizzate nell’88% delle organizzazioni sanitarie. Una larga parte delle violazioni delle politiche sui dati avviene ora nel contesto dell’utilizzo della GenAI da parte degli operatori sanitari. Infatti il 44% dei casi coinvolge dati regolamentati, il 29% codice sorgente, il 25% proprietà intellettuale e il 2% password e chiavi di accesso. Ulteriori rischi di perdita di dati possono derivare da applicazioni che utilizzano i dati degli utenti per l’addestramento, o che integrano funzionalità basate su GenAI, utilizzate rispettivamente nel 96% e nel 98% delle organizzazioni sanitarie.
Nascono nuovi vettori per potenziali violazioni dei dati
Oltre due utenti su tre di GenAI nel settore sanitario utilizzano e inviano dati sensibili ai propri account personali di GenAI durante l’orario di lavoro. Questo comportamento ostacola la visibilità da parte dei team di sicurezza sulle attività legate alla GenAI tra il personale. E, in assenza di adeguate misure di protezione dei dati, compromette la loro capacità di rilevare e prevenire fughe di dati.
Gianpietro Cutolo, Cloud Threat Researcher presso Netskope Threat Labs Le applicazioni di GenAI offrono soluzioni innovative, ma introducono anche nuovi vettori per potenziali violazioni dei dati. Soprattutto in ambienti ad alta pressione e criticità come quello sanitario, dove il personale e i professionisti devono spesso operare con rapidità e agilità. Le organizzazioni sanitarie devono bilanciare i benefici della GenAI con l’adozione di misure di sicurezza e protezione dei dati per mitigare tali rischi.
Cosa si può fare per evitare i danni
Le organizzazioni sanitarie possono considerare di:
implementare applicazioni di GenAI approvate dall’organizzazione tra il personale. Questo per centralizzarne l’uso in strumenti approvati, monitorati e protetti dall’organizzazione stessa. Riducendo così l’utilizzo di account personali e della cosiddetta ‘shadow AI’. L’uso di account personali di GenAI da parte degli operatori sanitari, sebbene ancora elevato, è già passato dall’87% al 71% nell’ultimo anno. Perché le organizzazioni stanno progressivamente adottando soluzioni di GenAI approvate a livello aziendale.
Investire su strumenti di formazione dedicati alla GenAI
Implementarerigorose politiche di prevenzione della perdita dei dati (Data Loss Prevention – DLP). Questo serve per monitorare e controllare l’accesso alle applicazioni di GenAI, e definire il tipo di dati che possono essere condivisi con esse. Ciò offre un ulteriore livello di sicurezza nel caso in cui i lavoratori compiano azioni rischiose. La percentuale di organizzazioni sanitarie che hanno adottato politiche DLP per la GenAI è aumentata dal 31% al 54% nell’ultimo anno.
Implementare strumenti di formazione in tempo reale per gli utenti, che avvisano i dipendenti quando stanno compiendo azioni rischiose. Ad esempio, se un operatore sanitario tenta di caricare un file su ChatGPT contenente nomi di pazienti, un messaggio che appare sul suo schermo chiederà all’utente se desidera procedere. Un altro report di Netskope mostra che il 73% dei dipendenti in tutti i settori si ferma dopo aver ricevuto simili avvisi.
Garantire la protezione dei dati in uno scenario in evoluzione
Gianpietro Cutolo, Cloud Threat Researcher presso Netskope Threat Labs Nel settore sanitario, la rapida adozione delle applicazioni di GenAI e l’uso crescente delle piattaforme cloud hanno reso ancora più urgente la protezione dei dati sanitari regolamentati. Man mano che la GenAI viene integrata nei flussi di lavoro clinici e operativi, le organizzazioni stanno accelerando l’implementazione di controlli. Come, ad esempio, le politiche DLP e il blocco delle applicazioni per ridurre i rischi. Le organizzazioni sanitarie stanno facendo progressi. Tuttavia sarà fondamentale mantenere l’attenzione su soluzioni sicure e approvate a livello aziendale, per garantire che i dati restino protetti in questo scenario in continua evoluzione.
