App per la salute mentale: privacy a rischio quando il supporto psicologico passa dallo smartphone
Commenti
di Nicola Bernardi
Negli ultimi tempi le app per la salute mentale stanno riscontrando una diffusione impressionante. Non si tratta più soltanto di meditazione guidata o esercizi di respirazione: oggi molte di queste applicazioni funzionano come veri e propri diari emotivi, sistemi di monitoraggio dell’umore o addirittura chatbot conversazionali basati su intelligenza artificiale che simulano una relazione terapeutica. Per molti utenti rappresentano un primo approccio al benessere psicologico per curare depressione e stati d’animo negativi, con modalità più accessibili e meno costose rispetto alla terapia tradizionale che solitamente si affronta quando ci si rivolge a un medico specialista.
Il problema è che, proprio perché accessibili e quotidiane, queste applicazioni trattano una quantità di informazioni che difficilmente altri servizi digitali possiedono. E un’analisi di sicurezza informatica effettuata dalla società di sicurezza informatica Oversecured ha evidenziato che le app per la salute mentale raccolgono dati estremamente sensibili senza garantire livelli di sicurezza adeguati.
Lo studio ha preso in esame 10 applicazioni Android presenti sul Google Play Store, che in totale contano circa 14,7 milioni di installazioni. Il risultato è stato sorprendente anche per gli standard del settore: oltre 1.500 vulnerabilità complessive, alcune delle quali di gravità elevata. Ma a differenza di un social network o di una piattaforma di e-commerce, i dati raccolti da queste app non sono semplici dati anagrafici, ma delicate informazioni sulla salute mentale degli utenti, che annotano pensieri, stati d’ansia, crisi depressive, schemi cognitivi, progressi terapeutici, e talvolta persino idee autolesive.
In alcuni casi le vulnerabilità riscontrate su tali applicazioni permettevano a un malintenzionato di poter accedere all’account della vittima senza conoscere la sua password, mentre informazioni estremamente sensibili venivano salvate in chiaro nella memoria locale del dispositivo senza adeguata protezione crittografica, consentendo a chiunque ottenga accesso fisico allo smartphone di estrarre i contenuti del diario emotivo o delle sessioni terapeutiche.
Anche se le informazioni sanitarie sono a tutti gli effetti dati sensibili ai sensi dell’art. 9 del Gdpr, il problema è che molte app di benessere psicologico non vengono percepite come servizi sanitari, ma come prodotti di lifestyle, anche se dal punto di vista legale la qualificazione non dipende dal marketing ma dal tipo di informazioni trattate.
E i dati sulla salute mentale non sono utili agli hacker soltanto per frodi finanziarie, ma anche per profilazione, manipolazione e persino ricatto. Informazioni su depressione, dipendenze o vulnerabilità psicologica possono essere infatti sfruttate per campagne di phishing mirate, raggiri, o per discriminazioni lavorative e assicurative.
Purtroppo in questi casi per l’utente la percezione del rischio è spesso minima, perché l’app appare come un diario personale, quasi uno spazio privato, ma in realtà si tratta di un servizio cloud in cui i dati vengono trasmessi, elaborati e archiviati su server remoti anche fuori dall’Unione Europea in cui le normative sulla privacy sono blande o inesistenti.
Chi decide di utilizzare questo tipo di app fa quindi bene a scaricarle solo da sviluppatori affidabili, aggiornandole con regolarità per assicurarsi di avere curato almeno la manutenzione minima sulla sicurezza. Anche la lettura dell’informativa privacy diventa essenziale per verificare quali dati vengono raccolti e se sono condivisi con terze parti. Va inoltre prestata attenzione ai permessi richiesti: accesso a contatti, microfono o archiviazione, quando non strettamente necessari alla funzione dichiarata, costituiscono un campanello d’allarme. In ogni caso, meno informazioni che dovrebbero rimanere riservate si immettono in tali app, e più si ridurranno le probabilità mettere a rischio la propria privacy.
