privacy
A febbraio 2026 la società di sicurezza informatica Oversecured ha pubblicato un rapporto che fa venire voglia di resettare le impostazioni del telefono e ritirarsi in una grotta. I ricercatori hanno esaminato 10 popolari app Android per la salute mentale che vanno da dispositivi di monitoraggio dell’umore e terapisti IA a strumenti per la gestione di depressione e ansia, e hanno scoperto… 1575 vulnerabilità! 54 delle quali classificate a livello critico. Stando alle statistiche di download su Google Play, potrebbero essere interessate fino a 15 milioni di persone. La cosa peggiore? 6 delle 10 app testate promettevano esplicitamente agli utenti che i loro dati erano “completamente criptati e protetti”.
Vediamo da vicino questa scandalosa “fuga di cervelli”: cosa potrebbe trapelare esattamente, come accade e perché il presunto “anonimato” in questi servizi è quasi sempre una fantasia di marketing.
Cosa è stato trovato nelle app
Oversecured è un’azienda di sicurezza di app mobili che usa uno scanner specializzato per analizzare i file APK alla ricerca di modelli di vulnerabilità noti in dozzine di categorie. A gennaio 2026 i ricercatori hanno esaminato 10 app di monitoraggio della salute mentale da Google Play e i risultati sono stati, diciamo, “spettacolari”.
| Tipo di app | Installazioni | Vulnerabilità di sicurezza | |||
| Gravità elevata | Gravità media | Gravità bassa | Totale | ||
| Monitoraggio dell’umore e delle abitudini | 10M+ | 1 | 147 | 189 | 337 |
| Chatbot IA per terapia | 1M+ | 23 | 63 | 169 | 255 |
| Piattaforma IA per la salute emotiva | 1M+ | 13 | 124 | 78 | 215 |
| Localizzatore di salute e sintomi | 500.000+ | 7 | 31 | 173 | 211 |
| Strumento per la gestione della depressione | 100.000+ | 0 | 66 | 91 | 157 |
| App per l’ansia basata su CBT | 500.000+ | 3 | 45 | 62 | 110 |
| Comunità di terapia e supporto online | 1M+ | 7 | 20 | 71 | 98 |
| Auto-aiuto per ansia e fobie | 50.000+ | 0 | 15 | 54 | 69 |
| Gestione dello stress militare | 50.000+ | 0 | 12 | 50 | 62 |
| Chatbot AI CBT | 500.000+ | 0 | 15 | 46 | 61 |
| Totale | 14,7М+ | 54 | 538 | 983 | 1575 |
Vulnerabilità rilevate nelle 10 app per la salute mentale testate. Fonte
Anatomia dei difetti
Le vulnerabilità scoperte sono diverse, ma convergono tutte su un unico aspetto: consentire agli utenti malintenzionati di accedere a dati che dovrebbero rimanere sotto chiave.
Per iiniziare, una delle vulnerabilità consente a malintenzionati di accedere a qualsiasi attività interna dell’app, anche se non destinata a sguardi esterni. Questo apre le porte al dirottamento dei token di autenticazione e dei dati della sessione utente. Una volta che ne entra in possesso, un utente malintenzionato potrebbe ottenere l’accesso ai dati della terapia di un utente.
Un altro problema è l’archiviazione dei dati locali non sicura con autorizzazioni di lettura concesse a qualsiasi altra app nel dispositivo. In altre parole, una qualsiasi app torcia o calcolatrice sullo smartphone potrebbe potenzialmente leggere i registri delle terapie cognitivo comportamentale (CBT), note personali e valutazioni dell’umore.
I ricercatori hanno anche trovato dati di configurazione non criptati inseriti direttamente nei file APK di installazione. Tra questi vi erano endpoint dell’API back-end e URL hardcoded per i database Firebase.
Inoltre, sono state rilevate diverse app che usavano la classe java.util.Random, debole dal punto di vista del criptaggio se l’intento è generare token di sessione e chiavi di criptaggio.
Infine, la maggior parte delle app testate non disponeva del rilevamento root/jailbreak. In un dispositivo con root, qualsiasi app di terze parti con privilegi di root poteva ottenere libero accesso a ogni bit di dati medici archiviati localmente.
Sorprendentemente, delle 10 app analizzate, solo 4 hanno ricevuto aggiornamenti a febbraio 2026. Le altre non vedevano una patch da novembre 2025 e una non veniva modificata da settembre 2024. 18 mesi senza una patch di sicurezza è un’eternità in questo settore, in particolare per un’app che ospita diari dell’umore, trascrizioni delle terapie e calendarizzazione di farmaci.
Ecco un rapido promemoria di quanto possa diventare pericoloso l’uso improprio di questo tipo di dati. Nel 2024 il mondo della tecnologia è stato sconvolto da un sofisticato attacco a XZ Utils, un componente critico presente praticamente in ogni sistema operativo basato sul kernel Linux. Un utente malintenzionato aveva esercitato pressioni sul manutentore, sfruttandone la pubblica ammissione di burnout e la sua mancanza di motivazione per portare avanti il progetto, affinché consegnasse le autorizzazioni di commit del codice. Se l’attacco fosse stato completato, il danno sarebbe stato sbalorditivo dato che circa l’80% dei server nel mondo gira su Linux.
In cosa consisterebbero le fughe?
Cosa raccolgono e archiviano queste app? Il genere di dati che si condivide solo con un medico fidato: trascrizioni delle sessioni terapeutiche, registri dell’umore, programmazione dei farmaci, indicatori di autolesionismo, note CBT e scale di valutazioni cliniche.
Già nel 2021 cartelle cliniche complete venivano vendute nel dark web a 1000 dollari l’una. Per fare un confronto, il numero di una carta di credito rubata costa tra 5 e 30 dollari. Le cartelle cliniche contengono dati a iosa: nome, indirizzo, dettagli assicurativi e anamnesi diagnostica. A differenza di una carta di credito, non è possibile “riemettere” una copia esatta della propria storia medica. Inoltre, la frode medica è notoriamente difficile da individuare. Mentre una banca potrebbe segnalare una transazione sospetta in poche ore, una richiesta di risarcimento fraudolenta per un trattamento fantasma può passare inosservata per anni.
Un film già visto
Lo studio di Oversecured non è una brutta storia a sé stante.
Nel 2020 Julius Kivimäki ha hackerato il database della clinica di psicoterapia finlandese Vastaamo, rubando i dati di 33.000 pazienti. Quando la clinica si è rifiutata di pagare un riscatto di 400.000 euro, Kivimäki ha iniziato a inviare minacce dirette ai pazienti: “Paga 200 euro in Bitcoin entro 24 ore, altrimenti i tuoi dati diventano pubblici”. Alla fine, ha comunque fatto trapelare l’intero database nel dark web. Almeno due persone si sono suicidate e la clinica ha dichiarato il fallimento. Kivimäki è stato poi condannato a sei anni e tre mesi di reclusione, segnando un processo da record in Finlandia per il numero di vittime coinvolte.
Nel 2023, la Federal Trade Commission (FTC) degli Stati Uniti ha multato il colosso della terapia online BetterHelp per 7,8 milioni di dollari. Nonostante nella pagina di registrazione degli utenti si affermasse che i dati ivi contenuti fossero tenuti strettamente riservati, l’azienda è stata sorpresa a divulgare le informazioni degli utenti, comprese le risposte ai questionari sulla salute mentale e gli indirizzi e-mail e IP, a Facebook, Snapchat, Criteo e Pinterest per pubblicità mirate. Dopo che la situazione si è calmata, 800.000 utenti interessati hanno ricevuto in totale… 10 dollari a testa come risarcimento.
Nel 2024, la FTC ha puntato gli occhi sull’azienda di telemedicina Cerebral, multandola per 7 milioni di dollari. Attraverso i pixel di tracciamento, Cerebral ha divulgato i dati di 3,2 milioni di utenti a LinkedIn, Snapchat e TikTok. Il bottino includeva nomi, cartelle cliniche, prescrizioni, date degli appuntamenti e informazioni assicurative. E la ciliegina sulla torta? L’azienda ha inviato cartoline promozionali senza busta a 6000 pazienti, di fatto annunciando in chiaro che i destinatari stessero seguendo un trattamento psichiatrico.
A settembre 2024, il ricercatore di sicurezza Jeremiah Fowler è incappato in un database esposto appartenente a Confidant Health, un fornitore specializzato in servizi di salute mentale e recupero dalle dipendenze. Il database conteneva registrazioni audio e video di sessioni terapeutiche, trascrizioni, note psichiatriche, risultati dei test antidroga e persino copie delle patenti di guida. In totale erano presenti 5,3 terabyte di dati in 126.000 file, ovvero 1,7 milioni di record: tutti senza password.
Perché l’anonimato è un’illusione
Gli sviluppatori adorano dire: “Non condividiamo mai i tuoi dati personali con nessuno”. Tecnicamente potrebbe essere vero: perché di fatto condividono “profili resi anonimi”. La fregatura? De-anonimizzare quei dati non è più un’impresa per pochi. Ricerche recenti evidenziano che l’uso di LLM per eliminare l’anonimato è diventato routine.
Anche il processo stesso di “anonimizzazione” è il più delle volte un pasticcio. Uno studio della Duke University ha rivelato che i broker di dati vendono apertamente i dati sulla salute mentale degli americani. Su 37 broker intervistati, 11 hanno dichiarato di avere accettato di vendere dati collegati a diagnosi specifiche (come depressione, ansia e disturbo bipolare), parametri demografici e, in alcuni casi, persino nomi e indirizzi di casa. I prezzi partivano da 275 dollari per 5000 record aggregati.
Secondo la Mozilla Foundation, nel 2023 il 59% delle app per la salute mentale più diffuse non riusciva a soddisfare nemmeno gli standard di privacy più elementari e il 40% era effettivamente diventato meno sicuro rispetto all’anno precedente. Queste app consentivano la creazione di account tramite servizi di terze parti (come Google, Apple e Facebook), presentavano informative sulla privacy sospettosamente brevi che ignoravano i dettagli della raccolta dei dati e sfruttavano una piccola scappatoia intelligente: la rigorosamente applicazione al sito Web dell’azienda, ma non all’app stessa. Insomma, i clic sul sito erano “protetti”, ma le azioni all’interno dell’app erano esposte.
Come proteggersi
Eliminare completamente queste app dalla nostra vita è, ovviamente, l’opzione più infallibile, ma non la più realistica. Inoltre, non vi è alcuna garanzia di riuscire effettivamente a eliminare i dati già raccolti, anche eliminando l’account. In passato abbiamo trattato l’estenuante processo di cancellazione delle informazioni dai database dei broker di dati; è fattibile, ma a costo di grandi mal di testa. Quindi, come stare al sicuro?
- Controlla le autorizzazioni prima di premere “Installa”. In Google Play passa a Descrizione app → Informazioni sull’app → App e permessi. Un rilevatore di umore non ha alcun motivo di richiedere l’accesso a fotocamera, microfono, contatti o posizione GPS precisa. E se lo fa, non è a fini di benessere, ma di raccolta dei dati.
- Leggi (davvero) l’informativa sulla privacy. Lo sappiamo: nessuno legge quei lunghi papiri. Ma quando un servizio aspira ai nostri pensieri più intimi, vale la pena darci un’occhiata. Attenzione ai segnali di allarme: l’azienda condivide i dati con terze parti? È possibile eliminare manualmente i record? L’informativa copre esplicitamente l’app o solo il sito Web? Puoi sempre copiare il testo dell’informativa in un’IA e chiederle di contrassegnare eventuali violazioni della privacy.
- Controlla la data dell’ultimo aggiornamento. Un’app che non vede un aggiornamento da oltre sei mesi è probabilmente terreno di caccia per vulnerabilità prive di patch. Lo ribadiamo: 6 app su 10 testate da Oversecured non venivano toccate da mesi.
- Disabilita tutto ciò che non è essenziale nelle impostazioni di privacy sul telefono. Quando richiesto, seleziona sempre “chiedi di non tracciare”. Quando un’app chiede di abilitare un tipo specifico di tracciamento, sostenendo che è per “ottimizzazione interna”, si tratta quasi sempre di uno stratagemma di marketing piuttosto che di una necessità funzionale. Dopotutto, se l’app davvero non funziona senza una determinata autorizzazione, è sempre possibile attivarla in un secondo momento.
- Non usare i servizi “Accedi con…”. L’autenticazione tramite Facebook, Apple, Google o Microsoft crea ulteriori identificatori e offre alle aziende un’occasione d’oro per collegare i dati tra diverse piattaforme.
- Tratta tutto ciò che scrivi come un post pubblico sui social media. Se non vuoi che un estraneo lo legga su Internet, sarebbe meglio non digitarlo in un’app con oltre 150 vulnerabilità e che non vede patch dall’anno scorso.
Cos’altro sapere sulle impostazioni sulla privacy e sul controllo dei dati personali online:
Consigli