L’intelligenza artificiale applicata alla medicina promette di rivoluzionare la diagnostica globale, offrendo un accesso senza precedenti a cure di alta qualità soprattutto nelle regioni caratterizzate da una grave scarsità di specialisti. Tuttavia, una nuova e inquietante vulnerabilità è emersa da uno studio scientifico pionieristico intitolato “Disparate privacy risks from medical AI“, guidato dal ricercatore Moritz A. Knolle insieme ai suoi colleghi e pubblicato sulla prestigiosa rivista scientifica Nature. La ricerca svela che i modelli di intelligenza artificiale medica espongono i dati dei pazienti a gravi violazioni della privacy, con una precisione quasi perfetta a livello individuale quando vengono presi di mira da cyber-attacchi. Questo fenomeno non si distribuisce equamente sulla popolazione, poiché colpisce in modo significativamente più aggressivo le minoranze e i gruppi sottorappresentati, creando una vera e propria disparità nel campo della cybersicurezza sanitaria.
Come funzionano gli attacchi di inferenza dell’appartenenza (MIA)
Per comprendere la gravità dello scenario descritto nello studio, gli scienziati si sono concentrati sui cosiddetti attacchi di inferenza dell’appartenenza, noti in ambito informatico come Membership Inference Attacks o MIA. Questi attacchi informatici non mirano necessariamente a rubare il codice del software, ma cercano di determinare con certezza se i dati clinici di uno specifico individuo siano stati utilizzati o meno per addestrare quel determinato modello di intelligenza artificiale. Poiché i modelli di AI tendono a mostrare una sicurezza leggermente maggiore quando analizzano dati che hanno già visto durante la fase di addestramento rispetto a dati completamente nuovi, un utente malintenzionato può sfruttare questa minima differenza di comportamento. Attraverso una singola interrogazione al sistema, ad esempio osservando la percentuale di confidenza associata a una diagnosi, un cybercriminale può ricostruire se un paziente fa parte della coorte di addestramento. Se il modello è stato addestrato su una popolazione ristretta o affetta da una specifica patologia, scoprire che un individuo ne faceva parte equivale a rivelarne direttamente lo stato di salute, come nel caso dei modelli usati per stimare l’efficacia di terapie oncologiche che confermano implicitamente che il target è affetto da cancro. Fino ad oggi, i rischi di privacy erano stati calcolati quasi esclusivamente in forma aggregata sull’intero dataset, nascondendo la reale vulnerabilità dei singoli individui.
I dati concreti della disparità: minoranze etniche e sociali sotto attacco
L’aspetto più allarmante evidenziato dallo studio di Knolle e del suo team riguarda la sproporzione del rischio a cui sono sottoposte le categorie marginalizzate o meno rappresentate nei dati clinici storici. Analizzando sette grandi database contenenti dati clinici reali, i ricercatori hanno scoperto che la probabilità di successo di un attacco MIA è drasticamente più alta per i gruppi minoritari. Ad esempio, prendendo in esame il dataset basato sulle cartelle cliniche elettroniche dei reparti di emergenza denominato MIMIC-IV-ED, i dati relativi ai pazienti neri hanno mostrato un incremento relativo del trentuno per cento all’interno della coda di massimo rischio rispetto alla loro presenza nel dataset complessivo. La disparità diventa ancora più evidente se si considera lo stato socioeconomico dei pazienti. Coloro che sono assistiti dall’assicurazione sanitaria pubblica Medicaid, tipicamente destinata a individui a basso reddito, hanno registrato una presenza superiore del centoventisei per cento rispetto alle attese nella fascia di massima vulnerabilità agli attacchi informatici. Nello stesso contesto, i pazienti con una diagnosi pregressa di cancro hanno subito un aumento relativo del rischio pari al diciotto per cento. Questa vulnerabilità asimmetrica dimostra che chi è già fragile dal punto di vista sociale o sanitario finisce per pagare il prezzo più alto anche in termini di sicurezza digitale.
L’impatto delle patologie rare e delle caratteristiche fisiche nei mammogrammi
La ricerca ha esaminato approfonditamente anche i dati di imaging medico, analizzando ad esempio il dataset EMBED relativo alla mammografia. In questo archivio specifico, i modelli sono stati addestrati principalmente per prevedere la densità del tessuto mammario di donne sane, senza avere un accesso diretto a immagini contenenti tumori maligni veri e propri. Nonostante ciò, le anomalie e i reperti più rari sono stati memorizzati dall’AI in modo talmente nitido da renderli facilmente identificabili da un utente malintenzionato. Le pazienti che presentavano alterazioni benigne, classificate con un punteggio BI-RADS-2, hanno registrato una frequenza superiore del sessanta per cento nella fascia di rischio estremo di violazione della privacy. Il dato diventa macroscopico per le pazienti con lesioni sospette di malignità, catalogate come BI-RADS-4, le quali hanno mostrato un aumento relativo della vulnerabilità pari al millecentosettantanove per cento rispetto alla composizione del dataset generale. Anche caratteristiche fisiche meno comuni hanno mostrato lo stesso andamento epidemiologico del rischio. Le immagini di seni quasi interamente adiposi, definiti BI-RADS-A, o al contrario estremamente densi, catalogati come BI-RADS-D, sono apparse rispettivamente il novanta per cento e il settecentocinquantacinque per cento più frequentemente del previsto tra i record più vulnerabili del sistema.
Il paradosso dello sviluppo tecnologico: modelli più grandi aumentano i rischi
Un’altra scoperta fondamentale dello studio scardina una delle convinzioni più diffuse nel mondo tecnologico, ovvero che l’aumento delle dimensioni e della potenza dei modelli di intelligenza artificiale porti solo benefici. I ricercatori hanno dimostrato che il successo degli attacchi di violazione dei dati cresce proporzionalmente alla capacità del modello. Per raggiungere prestazioni diagnostiche superiori su dati complessi e rari, le reti neurali di grandi dimensioni tendono a memorizzare in modo specifico le caratteristiche dei record atipici posizionati nella cosiddetta “coda lunga” della distribuzione. Nel dataset dermatologico Fitzpatrick 17k, l’utilizzo di un modello standard di dimensioni ridotte come la rete WRN-28-2 ha fatto registrare zero pazienti con un livello di vulnerabilità quasi perfetto, definito da un punteggio AUC pari o superiore a zero virgola novantacinque. Tuttavia, passando a modelli progressivamente più grandi e complessi come la rete WRN-40-4, il tasso è salito a un paziente su diecimila. Con il modello di architettura Vision Transformer denominato ViT-B/16-64, la percentuale è aumentata a un paziente su mille, per poi raggiungere il picco drammatico di un paziente su dieci quando è stato impiegato il modello ViT-B/16-128 pre-addestrato su larga scala. Di fatto, l’adozione di tecnologie di intelligenza artificiale sempre più potenti finisce per moltiplicare i rischi di identificazione dei singoli individui, espandendo la superficie di attacco informatico proprio a danno di chi possiede tratti clinici rari.
Strategie di mitigazione e nuove linee guida per il futuro della sanità digitale
I risultati di questo audit sulla privacy mettono in luce l’inadeguatezza delle metriche medie comunemente utilizzate per valutare la sicurezza dei software medici, le quali tendono a sottostimare sistematicamente i rischi corsi dai singoli individui. Per interrompere quello che gli scienziati definiscono un potenziale circolo vizioso in grado di erodere la fiducia delle minoranze nella medicina digitale, diventa fondamentale un cambio radicale di paradigma. Gli autori dello studio suggeriscono l’integrazione obbligatoria di tecniche di protezione avanzate e matematicamente verificabili fin dalle prime fasi di sviluppo delle tecnologie cliniche. Tra le soluzioni più promettenti figura la cosiddetta privacy differenziale, nota anche come DP, una metodologia che inserisce un rumore controllato all’interno degli aggiornamenti dei parametri del software durante la fase di calibrazione. Questo processo limita l’influenza del singolo individuo sul comportamento finale dell’algoritmo, impedendo la memorizzazione e la successiva estrazione dei dati clinici personali, a prescindere da quanto unici o insoliti essi possano essere. Parallelamente, la ricerca evidenzia la necessità di implementare forme di tutela che operino direttamente a livello di paziente anziché di singolo record clinico, unite a severi controlli di accesso per tutte le interfacce di predizione attive sul mercato sanitario internazionale.