Blog Sicurezza dell’IA

Da Roma alla Radiologia: la risposta dell'Italia ai rischi dell'IA nella sanità

L'Italia ha deciso di affrontare di petto i rischi dell'AI nel settore sanitario, attraverso le ultime pronunce del Garante privacy in materia di protezione dei dati personali.

 

Nota: questo blog è stato tradotto con l'aiuto dell'AI e corretto da un traduttore umano.

Shawn Hays
5 minuto di lettura
Ultimo aggiornamento 18 agosto 2025
Garante per la protezione dei dati personali AI memo

Contents

    Nel 2025, l'Italia si trova a un bivio cruciale tra intelligenza artificiale (AI) da una parte e protezione dei dati dall'altra.

    Di fronte a una sempre maggiore integrazione delle tecnologie di AI nella vita quotidiana — in particolare nel settore sanitario — il governo italiano, guidato dal Garante per la protezione dei dati personali (o Garante privacy), ha intrapreso passi decisivi per regolamentarne l'uso, comunicare i rischi e proteggere i dati personali.

    Un recente memorandum sottolinea i rischi insiti nell'uso di strumenti di AI generativa per l'analisi dei dati medici senza supervisione o misure di sicurezza adeguate. In questo post vedremo i passi compiuti di recente dal Garante, analizzeremo alcuni casi clamorosi di violazione dei dati in ambito sanitario e seguiremo l'evoluzione delle normative in materia di cybersecurity per l'AI in Italia e in Europa.

    L'ultima pronuncia del Garante sull'AI

    Il Garante italiano per la protezione dei dati personali è una delle autorità di tutela dei dati più vigili d'Europa. Nel 2025 ha emanato diverse decisioni di grande rilievo, che riflettono il suo impegno per la trasparenza, la responsabilizzazione e la sicurezza in materia di dati nell'era dell'AI.

    A gennaio, ad esempio, il Garante ha bloccato DeepSeek, una piattaforma AI accusata di trattare grandi quantità di dati personali senza adeguate misure di protezione, appellandosi ai possibili rischi per milioni di italiani e sottolineando la necessità di una buona governance dei dati nei sistemi di AI.

    L'azione più significativa, però, è stata forse quella intrapresa contro OpenAI. Il Garante ha condannato la società al pagamento di una sanzione pari a 15 milioni di euro per violazioni relative a ChatGPT, citando la mancanza di una base giuridica per il trattamento dei dati, la mancata trasparenza e l'assenza di un meccanismo per la verifica dell'età.

    Quando poi un bug ha esposto le conversazioni passate degli utenti, la situazione si è ulteriormente aggravata. Per rimediare, OpenAI è stata obbligata fra l'altro a lanciare una campagna di sensibilizzazione pubblica di sei mesi attraverso i media italiani per educare gli utenti sull'AI e sulla protezione dei dati.

    Queste azioni inviano un messaggio chiaro: le aziende di AI che operano in Italia devono dare priorità ai diritti degli utenti e alla sicurezza dei dati, altrimenti dovranno affrontare gravi conseguenze.

    Cybersecurity e sanità, un settore sotto pressione

    Il recente comunicato stampa del Garante si concentra sul settore sanitario, che resta uno degli ambiti più attenzionati, a causa della natura sensibile dei dati e della vulnerabilità agli attacchi informatici.

    Negli ultimi anni, in Italia si sono verificate diverse gravi violazioni dei dati in ambito sanitario. Uno degli incidenti più gravi è avvenuto nel 2021, quando un attacco ransomware ha colpito i sistemi per la pianificazione delle vaccinazioni contro il COVID-19 nella Regione Lazio. L'attacco ha messo in evidenza la fragilità delle infrastrutture sanitarie pubbliche — e l'urgente necessità di adottare misure di cybersecurity più forti.

    Nel 2023, l'ASL Napoli 3 Sud ha subito una violazione che ha esposto i dati personali sanitari di migliaia di pazienti. Dalle indagini è poi emerso che alla data breach hanno contribuito sistemi obsoleti e pratiche carenti in tema di cybersecurity.

    Le aziende sanitarie locali continuano a segnalare attacchi di phishing, incidenti di ransomware e accessi non autorizzati alle cartelle cliniche, segno che il panorama delle minacce rimane attivo e in evoluzione.

    In seguito a questi episodi si sono moltiplicati gli appelli per migliori protocolli di cybersecurity, maggiori investimenti in misure di sicurezza dei dati e una formazione approfondita sull'igiene digitale per il personale sanitario.

    Scopri la crescente minaccia delle data breach in ambito sanitario.
    Download now
    healthcare

    Cambiamenti normativi in Italia e in Europa

    Il panorama normativo italiano è in rapida evoluzione, a causa sia delle priorità nazionali che delle iniziative sul piano europeo.

    Il Garante ha emesso delle linee guida su AI e web scraping, avvertendo le aziende contro la raccolta indiscriminata di dati da fonti pubbliche. E, a proposito dei dati di pubblico dominio, anche questi devono essere trattati in conformità al GDPR, a riconferma del fatto che il principio della protezione dei dati va applicato a livello universale.

    Sul piano europeo, l'AI Act dell'UE, finalizzato nel 2024, introduce un quadro per la regolamentazione dell'AI in base a diversi livelli di rischio. I sistemi di AI ad alto rischio — come quelli utilizzati nella diagnostica sanitaria o nel monitoraggio dei pazienti — devono soddisfare requisiti rigorosi in termini di trasparenza, governance dei dati e supervisione umana.

    Oltre all'Italia, anche altri Paesi stanno intensificando i loro sforzi. La CNIL francese ha avviato una serie di audit sui sistemi di AI che potrebbero essere utilizzati negli ospedali, concentrandosi sui bias degli algoritmi e sulla protezione dei dati.

    Il BfDI tedesco sostiene standard di crittografia più rigorosi negli scambi di dati medici e sottolinea l'importanza del consenso del paziente nella diagnostica basata dall'AI. Gli Stati Uniti, dal canto loro, stanno modificando la normativa HIPAA in modo da coprire anche la sicurezza in campo AI.

     

    Queste tendenze locali riflettono un pensiero sempre più diffuso in Europa: l'AI deve essere regolamentata per proteggere i diritti dei cittadini, specialmente in settori sensibili come la sanità.

    L'AI nella sanità: potenziale e rischi

    L'AI sta trasformando il sistema sanitario italiano, attraverso nuovi strumenti per la diagnostica, pianificazione dei trattamenti e coinvolgimento dei pazienti. Gli ospedali stanno adottando i sistemi di AI disponibili in commercio, come Microsoft Copilot e ChatGPT, per le operazioni e i team aziendali.

    In ambiti più tecnici come la radiologia, gli algoritmi di AI assistono il personale nel rilevare anomalie nelle scansioni, mentre in patologia i modelli di apprendimento automatico aiutano a identificare le cellule cancerose con una precisione elevata. Le piattaforme di telemedicina stanno integrando chatbot e assistenti virtuali per supportare i consulti a distanza e migliorare l'accesso dei pazienti alle cure.

    Tuttavia, queste innovazioni comportano una serie di rischi. Le applicazioni di AI che richiedono un utilizzo pressoché nullo di codice informatico spesso accedono ai sistemi aziendali esistenti o alle cartelle cliniche elettroniche (EHR), oppure necessitano di grandi set di dati ospitati in infrastrutture cloud per poter addestrare i modelli. Se i dati di addestramento sono distorti o manipolati, i modelli di AI possono produrre risultati falsati e, potenzialmente, influenzare l'assistenza ai pazienti.

    I sistemi di IA possono anche esporre involontariamente dati sensibili se configurati in modo errato o se viene concesso un accesso eccessivo, aumentando il rischio di fuga di dati attraverso output o interazioni non intenzionali. Inoltre, quando gli LLM vengono addestrati su informazioni proprietarie o regolamentate senza adeguate misure di sicurezza, possono involontariamente rivelare dati riservati, portando a potenziali perdite di dati o violazioni della conformità

    Il Garante ha esortato i fornitori di servizi sanitari a condurre valutazioni d'impatto sulla protezione dei dati (DPIA) prima di implementare strumenti di AI e a garantire che i pazienti siano informati su come vengono utilizzati i loro dati. Le valutazioni, in particolare, servono a identificare i possibili rischi e ad assicurare che siano attuate misure di salvaguardia appropriate.

    Prospettive future: cosa fare

    Con la stretta su AI e cybersecurity, le parti interessate di tutti i settori dovranno adattarsi a un panorama normativo in continuo cambiamento. Le organizzazioni sanitarie mature, in Italia e altrove nell'UE, stanno sviluppando una strategia di sicurezza dell'AI incentrata su alcuni elementi chiave ben precisi:

    • Implementare un monitoraggio continuo dei rischi legati all'AI: attuare una supervisione in tempo reale dei sistemi di AI e degli strumenti di terze parti per individuare e correggere i rischi man mano che si evolvono, garantendo che i dati sensibili rimangano protetti durante tutto il loro ciclo di vita.
    • Classificare i dati generati dall'AI: sviluppare sistemi per identificare e categorizzare sia i contenuti creati dall'uomo che quelli generati dall'intelligenza artificiale, applicando etichette di sensibilità per garantire una gestione corretta e la conformità alle normative sanitarie.

    Dati sanitari esposti disponibili per uso improprio dell'IA e violazioni della conformità

    Dati sanitari esposti in Italia

    Dati sanitari esposti disponibili per uso improprio dell'IA e violazioni della conformità

    • Controllare l'accesso dell'AI ai dati sensibili: utilizzare l'intelligence dell'accesso per monitorare quali sistemi di AI e quali utenti possono interagire con le informazioni sanitarie protette e revocare automaticamente le autorizzazioni eccessive od obsolete.
    • Rilevare comportamenti anomali dell'AI: monitorare i prompt e le risposte dell'AI allo scopo di rilevare eventuali violazioni delle policy, impostare linee guida comportamentali e generare avvisi per attività insolite che potrebbero essere sintomo di minacce interne o account compromessi.
    • Prepararsi alla conformità normativa: tenersi informati sulle normative emergenti in materia di AI, come l'AI Act dell'UE, documentare l'utilizzo dell'AI e i flussi di dati, e implementare controlli che dimostrino l'adesione agli standard di conformità specifici per il settore sanitario.

    La sicurezza sanitaria nell'era dell'intelligenza artificiale

    Il giro di vite delle autorità italiane su AI e cybersecurity nel 2025 riflette un profondo impegno a favore della protezione dei dati personali, specialmente nel settore sanitario.

    Le azioni incisive del Garante, insieme ai più ampi cambiamenti normativi a livello europeo, promettono di plasmare un futuro in cui l'AI potrà prosperare in modo responsabile, ma impongono anche ai leader della sicurezza di seguire da vicino e sin da subito l'implementazione dei sistemi di AI nelle proprie organizzazioni.

    Con il continuo evolversi dell'AI, la postura dell'Italia offre insegnamenti preziosi anche per altri Paesi: non può esserci sicurezza dell'AI senza sicurezza dei dati, e non può esserci sicurezza dei dati senza sicurezza dei pazienti.

    O que devo fazer agora?

    Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

    1

    Agende uma demonstração conosco Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

    2

    Veja um exemplo do nosso Relatório de Risco de Dados Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

    3

    Siga-nos no LinkedIn, YouTube et X (Twitter) Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

    Shawn Hays
    Shawn Hays Shawn is a Product Marketing Manager for Varonis, focusing largely on AI and the Microsoft cloud. He has been a journeyman in the Microsoft ecosystem and cybersecurity arena for ten years. When not pontificating on AI and data security, you can catch him at a music festival or throwing a frisbee.

    Prova Varonis gratis.

    Ottieni un report dettagliato sul rischio dei dati in base ai dati della tua azienda. Distribuzione in pochi minuti.
    Iniziare Visualizza campione

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    rischi-nascosti-della-shadow-ai
    Rischi nascosti della shadow AI
    rischi-nascosti-della-shadow-ai
    Jonathan Villa
    11 luglio 2025
    La shadow AI è in aumento perché i dipendenti adottano strumenti di AI non autorizzati. Scopri i rischi che comporta per la sicurezza e la conformità e come gestirli in modo responsabile.
    presentazione-di-varonis-per-chatgpt-enterprise
    Presentazione di Varonis per ChatGPT Enterprise
    presentazione-di-varonis-per-chatgpt-enterprise
    Shawn Hays
    23 giugno 2025
    La piattaforma di sicurezza dei dati leader del settore di Varonis supporta ChatGPT Enterprise di OpenAI, proteggendo i dati dai rischi di uso improprio ed esposizione dell'AI.
    presentazione-del-varonis-mcp-server
    Presentazione del Varonis MCP Server
    presentazione-del-varonis-mcp-server
    Nolan Necoechea
    16 giugno 2025
    Il Varonis MCP Server semplifica il modo in cui i clienti utilizzano gli strumenti e gli agenti AI per eseguire flussi di lavoro complessi.