Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l’intervento

Referti medici e AI: è allarme privacy, tra rischi di diagnosi errate e uso improprio dei dati sanitari

Home News, attualità e analisi Cyber sicurezza e privacy
Indirizzo copiato

Il Garante privacy lancia l’allarme sull’uso sempre più frequente dell’AI generativa per interpretare referti medici: molti gli interrogativi in termini di privacy, sicurezza e affidabilità anche alla luce della crescente fiducia riposta in strumenti digitali ancora lontani dagli standard dei dispositivi medici regolamentati

Pubblicato il 1 ago 2025
Rosario Palumbo

Giurista d'impresa, Data protection specialist

Referti medici e AI allarme garante privacy

Il Garante per la protezione dei dati personali continua a svolgere un ruolo centrale nella definizione degli equilibri tra innovazione e diritti, anche su un terreno – quello dell’intelligenza artificiale – in cui formalmente non è stato riconosciuto come autorità competente: questa volta lo fa intervenendo per lanciare l’allarme privacy sull’uso sempre più diffuso dell’AI generativa per interpretare referti medici.

Com’è noto, il disegno di legge governativo ha affidato la supervisione nazionale sull’IA ad AgID e ACN. Una scelta discutibile, considerato che queste Agenzie non possiedono i requisiti di autonomia e indipendenza richiesti dal regolamento europeo AI Act.

Nuovi obblighi dell’AI Act applicabili dal 2 agosto: cosa devono sapere le aziende

L’allarme del Garante: dati sanitari e IA generativa

Il Garante pone l’accento sul rischio che dati sanitari di particolare delicatezza – come esami, referti o immagini radiografiche – siano caricati su piattaforme AI senza un’adeguata consapevolezza delle conseguenze.

L’informativa privacy spesso viene ignorata, ma è proprio lì che si celano aspetti fondamentali: la conservazione dei dati, la loro eventuale cancellazione o il riutilizzo per addestrare modelli.

Il trattamento di questi dati, in assenza di adeguate garanzie, può configurare una violazione del principio di liceità e minimizzazione previsto dal GDPR.

La stagione della disinvoltura

Siamo ormai entrati in quella che potremmo chiamare la stagione della disinvoltura: un’epoca in cui l’interazione con la tecnologia, persino su temi delicati come la salute, è diventata talmente naturale da apparire quasi incosciente.

Tra le molte chiavi di lettura sull’evoluzione dell’intelligenza artificiale, quella del filosofo Luciano Floridi è tra le più evocative: un’alternanza di “stagioni” simboliche — dall’estate dell’entusiasmo agli inverni della disillusione — che segnano il rapporto tra tecnologia e società.

Pur non appartenendo direttamente alla sua tassonomia, l’espressione “stagione della disinvoltura” aiuta a fotografare una fase in cui strumenti sempre più potenti sfuggono a un controllo umano, tecnico ed etico, e in cui l’essere umano utilizza la tecnologia con apparente padronanza, ma spesso senza consapevolezza critica.

È il tempo in cui si cerca un parere medico da un’IA, si chiede consiglio a un algoritmo, si affida la propria salute o identità digitale a sistemi automatici con una leggerezza crescente. Dopo un periodo di entusiasmo cieco e una narrazione prevalentemente tecnocentrica, l’IA si trova in una fase in cui la potenza degli strumenti disponibili supera la capacità — o la volontà — di governarli in modo trasparente, rendicontabile e umano.

In questa fase, l’IA agisce efficacemente ma non con vera intelligenza: si crea un divorzio tra capacità di azione e cognizione efficace, riducendo l’essere umano a spettatore di processi opachi e non governati.

Da un lato, crescono le aspettative sociali nei confronti dell’IA, anche in ambiti ad alta densità etica come la salute. Dall’altro, si assiste a una delega implicita — spesso inconsapevole — a modelli opachi, non supervisionati e non progettati per finalità diagnostiche.

È un contesto in cui inevitabilmente i sistemi evolvono più rapidamente dei quadri normativi, e in cui il rischio di deresponsabilizzazione diffusa riguarda tanto gli sviluppatori quanto gli utenti finali.

L’uso dei referti medici come prompt per piattaforme generative ne è un esempio concreto: l’IA viene trattata come neutra, infallibile, addirittura “clinica”, mentre opera al di fuori di qualsiasi validazione medico-scientifica.

Il richiamo del Garante va letto in questa chiave: non come un divieto, ma come una presa di posizione pubblica in una fase in cui la disinvoltura nell’utilizzo di tali strumenti è diventata sistemica.

Non è questione di carenza di strumenti tecnici o giuridici, ma del moltiplicarsi degli usi dell’IA fuori da ogni reale contesto di controllo o supervisione, soprattutto in ambiti delicati come la salute.

Strumenti progettati per finalità generiche o commerciali vengono impiegati per attività che richiederebbero un presidio medico, scientifico e regolatorio.

Il Garante interviene proprio in questo vuoto, con un’azione che va letta come un segnale culturale e politico prima ancora che giuridico.

Non esiste ancora una governance pubblica matura dell’intelligenza artificiale e, nel frattempo, si scarica sulle scelte individuali – di cittadini, professionisti sanitari e utenti – una responsabilità che dovrebbe essere invece collettiva e sistemica.

L’AI generativa non è un dispositivo medico

Uno dei punti centrali è il rischio di confondere sistemi generalisti come ChatGPT o altri LLM con strumenti approvati per uso diagnostico.

Il Garante ricorda che l’IA non progettata specificamente per fornire diagnosi cliniche non può sostituire il giudizio di un medico, anche per via della mancanza di trasparenza, tracciabilità e certificazione.

L’intermediazione umana qualificata resta un principio cardine, richiamato sia dal Regolamento IA (art. 14) sia dal Consiglio Superiore di Sanità.

Impatti sulle aziende sanitarie e il ruolo della deontologia

L’utilizzo dell’intelligenza artificiale generativa nelle strutture sanitarie può supportare attività non cliniche e organizzative, se opportunamente regolamentato.

Ad esempio, un medico potrebbe avvalersi dell’IA per un parere generico basato su sintomi o valori clinici sommari, senza però condividere referti, analisi o dati personali dettagliati dei pazienti con sistemi non controllati.

È imprescindibile, infatti, vietare l’inserimento di referti medici o dati sanitari personali nei modelli di IA generativa.

Questa condotta rappresenta una grave violazione della riservatezza, principio fondamentale nelle professioni sanitarie e nel rapporto fiduciario medico-paziente.

Oltre a compromettere tale rapporto, tale pratica si configura come un inadempimento rispetto ai codici deontologici che tutelano il segreto professionale e la riservatezza.

Per questo, le strutture sanitarie devono adottare procedure interne, linee guida e circolari chiare che regolamentino l’uso dell’intelligenza artificiale, al fine di garantire la riservatezza e prevenire rischi legali, organizzativi e reputazionali.

L’assenza di un quadro organizzativo rigoroso espone le aziende a conseguenze sul piano della qualità delle cure, della sicurezza dei dati e della fiducia da parte dei pazienti.

Supervisione umana: un obbligo prima che un’opzione

Il concetto di “supervisione umana qualificata” deve accompagnare tutte le fasi del ciclo di vita del sistema di IA, dalla progettazione all’uso finale.

Non si tratta solo di una buona pratica, ma di un obbligo sancito da norme nazionali ed europee. In ambito sanitario, il rischio di errori diagnostici comporta conseguenze potenzialmente gravi per la salute della persona.

L’IA può essere un supporto, non un sostituto.

Web scraping e addestramento: i rischi della raccolta massiva

Il Garante ribadisce le criticità legate al web scraping, già oggetto del documento di maggio 2024, che evidenzia i pericoli della raccolta indiscriminata di dati (anche sanitari) dal web per addestrare modelli generativi.

Oltre ai profili di legalità, sono in gioco la trasparenza e il controllo sui dati personali. In ambito sanitario, l’assenza di finalità chiare e di un’adeguata base giuridica può rendere il trattamento illecito.

Il decalogo 2023 e la necessità di un’IA “responsabile” in sanità

Il comunicato riprende i principi del decalogo pubblicato nel 2023, che include: presupposti di liceità del trattamento, valutazione d’impatto (DPIA), trasparenza, sicurezza

È chiaro che la sanità digitale non può prescindere da una governance dei dati rigorosa e da strumenti normativamente conformi, anche in ottica di accountability.

La stagione della consapevolezza?

Dopo una fase di disinvoltura nell’uso di strumenti complessi e poco trasparenti, il richiamo del Garante indica la necessità di passare a una stagione diversa: quella della consapevolezza. L’innovazione tecnologica in sanità deve necessariamente rispettare i diritti fondamentali, a partire dalla tutela della riservatezza e della protezione dei dati personali.

La fiducia nell’IA non può essere ingenua né automatica, ma richiede un approccio critico e informato da parte degli utenti e una responsabilità condivisa tra sviluppatori, operatori sanitari e istituzioni.

L’IA in sanità rappresenta una sfida delicata, ma anche un’occasione preziosa per costruire una governance che metta al centro la trasparenza, la sicurezza e il rispetto delle persone.

Solo così potremo uscire dalla stagione della disinvoltura per entrare in un’era di vero controllo, responsabilità e fiducia.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Rosario Palumbo
Giurista d'impresa, Data protection specialist

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Zero-day Windows sfruttata sette anni

  • L'ANALISI TECNICA

    La zero-day in Windows sfruttata per 7 anni da gruppi APT e la responsabilità del patching

    24 Mar 2025

    di Sandro Sana

    Condividi
  • DefenderAI SOC virtuale AI-driven - L’AI accelera la risposta agli incidenti: la sfida crescente nei SOC

  • cybersecurity360 awards

    Fastweb+Vodafone e 7Layers, DefenderAI: il SOC virtuale AI-driven che porta la cyber security Enterprise nelle PMI

    18 Set 2025

    Condividi
  • DeepSeek e malware

  • intelligenza artificiale

    DeepSeek sotto attacco, finto assistente AI distribuisce il malware BrowserVenom

    13 Giu 2025

    di Dario Fadda

    Condividi
  • Data Act e cybersecurity: cambia la sicurezza informatica per le aziende; I prodotti connessi nel Data Act: perché molte aziende non sanno di essere soggette agli adempimenti

  • sicurezza dei dati

    Data Act e cyber security: cambia la sicurezza informatica per le aziende

    16 Lug 2025

    di Federica Maria Rita Livelli

    Condividi