{"id":30538,"date":"2026-03-18T18:02:01","date_gmt":"2026-03-18T16:02:01","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30538"},"modified":"2026-03-18T18:02:01","modified_gmt":"2026-03-18T16:02:01","slug":"mental-health-apps-issues-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/mental-health-apps-issues-2026\/30538\/","title":{"rendered":"Fughe di cervelli: vulnerabilit\u00e0 nelle app per la salute mentale"},"content":{"rendered":"

A febbraio 2026 la societ\u00e0 di sicurezza informatica Oversecured ha pubblicato un rapporto che fa venire voglia di resettare le impostazioni del telefono e ritirarsi in una grotta. I ricercatori hanno esaminato<\/a> 10 popolari app Android per la salute mentale che vanno da dispositivi di monitoraggio dell\u2019umore e terapisti IA a strumenti per la gestione di depressione e ansia, e hanno scoperto\u2026 1575 vulnerabilit\u00e0! 54 delle quali classificate a livello critico. Stando alle statistiche di download su Google Play, potrebbero essere interessate fino a 15 milioni di persone. La cosa peggiore? 6 delle 10 app testate promettevano esplicitamente agli utenti che i loro dati erano \u201ccompletamente criptati e protetti\u201d.<\/p>\n

Vediamo da vicino questa scandalosa \u201cfuga di cervelli\u201d: cosa potrebbe trapelare esattamente, come accade e perch\u00e9 il presunto \u201canonimato\u201d in questi servizi \u00e8 quasi sempre una fantasia di marketing.<\/p>\n

Cosa \u00e8 stato trovato nelle app<\/h2>\n

Oversecured \u00e8 un\u2019azienda di sicurezza di app mobili che usa uno scanner specializzato per analizzare i file APK alla ricerca di modelli di vulnerabilit\u00e0 noti in dozzine di categorie. A gennaio 2026 i ricercatori hanno esaminato 10 app di monitoraggio della salute mentale da Google Play e i risultati sono stati, diciamo, \u201cspettacolari\u201d.<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Tipo di app<\/td>\nInstallazioni<\/td>\nVulnerabilit\u00e0 di sicurezza<\/td>\n<\/tr>\n
Gravit\u00e0 elevata<\/td>\nGravit\u00e0 media<\/td>\nGravit\u00e0 bassa<\/td>\nTotale<\/td>\n<\/tr>\n
Monitoraggio dell\u2019umore e delle abitudini<\/td>\n10M+<\/td>\n1<\/td>\n147<\/td>\n189<\/td>\n337<\/td>\n<\/tr>\n
Chatbot IA per terapia<\/td>\n1M+<\/td>\n23<\/td>\n63<\/td>\n169<\/td>\n255<\/td>\n<\/tr>\n
Piattaforma IA per la salute emotiva<\/td>\n1M+<\/td>\n13<\/td>\n124<\/td>\n78<\/td>\n215<\/td>\n<\/tr>\n
Localizzatore di salute e sintomi<\/td>\n500.000+<\/td>\n7<\/td>\n31<\/td>\n173<\/td>\n211<\/td>\n<\/tr>\n
Strumento per la gestione della depressione<\/td>\n100.000+<\/td>\n0<\/td>\n66<\/td>\n91<\/td>\n157<\/td>\n<\/tr>\n
App per l\u2019ansia basata su CBT<\/td>\n500.000+<\/td>\n3<\/td>\n45<\/td>\n62<\/td>\n110<\/td>\n<\/tr>\n
Comunit\u00e0 di terapia e supporto online<\/td>\n1M+<\/td>\n7<\/td>\n20<\/td>\n71<\/td>\n98<\/td>\n<\/tr>\n
Auto-aiuto per ansia e fobie<\/td>\n50.000+<\/td>\n0<\/td>\n15<\/td>\n54<\/td>\n69<\/td>\n<\/tr>\n
Gestione dello stress militare<\/td>\n50.000+<\/td>\n0<\/td>\n12<\/td>\n50<\/td>\n62<\/td>\n<\/tr>\n
Chatbot AI CBT<\/td>\n500.000+<\/td>\n0<\/td>\n15<\/td>\n46<\/td>\n61<\/td>\n<\/tr>\n
Totale<\/strong><\/td>\n14,7\u041c+<\/strong><\/td>\n54<\/strong><\/td>\n538<\/strong><\/td>\n983<\/strong><\/td>\n1575<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\n

Vulnerabilit\u00e0 rilevate nelle 10 app per la salute mentale testate. Fonte<\/a><\/p>\n

Anatomia dei difetti<\/h2>\n

Le vulnerabilit\u00e0 scoperte sono diverse, ma convergono tutte su un unico aspetto: consentire agli utenti malintenzionati di accedere a dati che dovrebbero rimanere sotto chiave.<\/p>\n

Per iiniziare, una delle vulnerabilit\u00e0 consente a malintenzionati di accedere a qualsiasi attivit\u00e0 interna dell\u2019app, anche se non destinata a sguardi esterni. Questo apre le porte al dirottamento dei token di autenticazione e dei dati della sessione utente. Una volta che ne entra in possesso, un utente malintenzionato potrebbe ottenere l\u2019accesso ai dati della terapia di un utente.<\/p>\n

Un altro problema \u00e8 l\u2019archiviazione dei dati locali non sicura con autorizzazioni di lettura concesse a qualsiasi altra app nel dispositivo. In altre parole, una qualsiasi app torcia o calcolatrice sullo smartphone potrebbe potenzialmente leggere i registri delle terapie cognitivo comportamentale (CBT), note personali e valutazioni dell\u2019umore.<\/p>\n

I ricercatori hanno anche trovato dati di configurazione non criptati inseriti direttamente nei file APK di installazione. Tra questi vi erano endpoint dell\u2019API back-end e URL hardcoded per i database Firebase.<\/p>\n

Inoltre, sono state rilevate diverse app che usavano la classe java.util.Random<\/em>, debole dal punto di vista del criptaggio se l\u2019intento \u00e8 generare token di sessione e chiavi di criptaggio.<\/p>\n

Infine, la maggior parte delle app testate non disponeva del rilevamento root\/jailbreak. In un dispositivo con root, qualsiasi app di terze parti con privilegi di root poteva ottenere libero accesso a ogni bit di dati medici archiviati localmente.<\/p>\n

Sorprendentemente, delle 10 app analizzate, solo 4 hanno ricevuto aggiornamenti a febbraio 2026. Le altre non vedevano una patch da novembre 2025 e una non veniva modificata da settembre 2024. 18 mesi senza una patch di sicurezza \u00e8 un\u2019eternit\u00e0 in questo settore, in particolare per un\u2019app che ospita diari dell\u2019umore, trascrizioni delle terapie e calendarizzazione di farmaci.<\/p>\n

Ecco un rapido promemoria di quanto possa diventare pericoloso l\u2019uso improprio di questo tipo di dati. Nel 2024 il mondo della tecnologia \u00e8 stato sconvolto da un sofisticato attacco a XZ Utils<\/a>, un componente critico presente praticamente in ogni sistema operativo basato sul kernel Linux. Un utente malintenzionato aveva esercitato pressioni sul manutentore, sfruttandone la pubblica ammissione di burnout e la sua mancanza di motivazione per portare avanti il progetto, affinch\u00e9 consegnasse le autorizzazioni di commit del codice. Se l\u2019attacco fosse stato completato, il danno sarebbe stato sbalorditivo dato che circa l\u201980% dei server nel mondo gira su Linux.<\/p>\n

In cosa consisterebbero le fughe?<\/h2>\n

Cosa raccolgono e archiviano queste app? Il genere di dati che si condivide solo con un medico fidato: trascrizioni delle sessioni terapeutiche, registri dell\u2019umore, programmazione dei farmaci, indicatori di autolesionismo, note CBT e scale di valutazioni cliniche.<\/p>\n

Gi\u00e0 nel 2021 cartelle cliniche complete venivano vendute nel dark web a 1000 dollari l\u2019una<\/a>. Per fare un confronto, il numero di una carta di credito rubata costa tra 5 e 30 dollari. Le cartelle cliniche contengono dati a iosa: nome, indirizzo, dettagli assicurativi e anamnesi diagnostica. A differenza di una carta di credito, non \u00e8 possibile \u201criemettere\u201d una copia esatta della propria storia medica. Inoltre, la frode medica \u00e8 notoriamente difficile da individuare. Mentre una banca potrebbe segnalare una transazione sospetta in poche ore, una richiesta di risarcimento fraudolenta per un trattamento fantasma pu\u00f2 passare inosservata per anni.<\/p>\n

Un film gi\u00e0 visto<\/h2>\n

Lo studio di Oversecured non \u00e8 una brutta storia a s\u00e9 stante.<\/p>\n

Nel 2020 Julius Kivim\u00e4ki ha hackerato il database della clinica di psicoterapia finlandese Vastaamo<\/a>, rubando i dati di 33.000 pazienti. Quando la clinica si \u00e8 rifiutata di pagare un riscatto di 400.000 euro, Kivim\u00e4ki ha iniziato a inviare minacce dirette ai pazienti: \u201cPaga 200 euro in Bitcoin entro 24 ore, altrimenti i tuoi dati diventano pubblici\u201d. Alla fine, ha comunque fatto trapelare l\u2019intero database nel dark web. Almeno due persone si sono suicidate e la clinica ha dichiarato il fallimento. Kivim\u00e4ki \u00e8 stato poi condannato a sei anni e tre mesi di reclusione, segnando un processo da record in Finlandia per il numero di vittime coinvolte.<\/p>\n

Nel 2023, la Federal Trade Commission (FTC) degli Stati Uniti ha multato il colosso della terapia online BetterHelp<\/a> per 7,8 milioni di dollari. Nonostante nella pagina di registrazione degli utenti si affermasse che i dati ivi contenuti fossero tenuti strettamente riservati, l\u2019azienda \u00e8 stata sorpresa a divulgare le informazioni degli utenti, comprese le risposte ai questionari sulla salute mentale e gli indirizzi e-mail e IP, a Facebook, Snapchat, Criteo e Pinterest per pubblicit\u00e0 mirate. Dopo che la situazione si \u00e8 calmata, 800.000 utenti interessati hanno ricevuto in totale\u2026 10 dollari a testa come risarcimento.<\/p>\n

Nel 2024, la FTC ha puntato gli occhi sull\u2019azienda di telemedicina Cerebral<\/a>, multandola per 7 milioni di dollari. Attraverso i pixel di tracciamento<\/a>, Cerebral ha divulgato i dati di 3,2 milioni di utenti a LinkedIn, Snapchat e TikTok. Il bottino includeva nomi, cartelle cliniche, prescrizioni, date degli appuntamenti e informazioni assicurative. E la ciliegina sulla torta? L\u2019azienda ha inviato cartoline promozionali senza busta a 6000 pazienti, di fatto annunciando in chiaro che i destinatari stessero seguendo un trattamento psichiatrico.<\/p>\n

A settembre 2024, il ricercatore di sicurezza Jeremiah Fowler \u00e8 incappato in un database esposto appartenente a Confidant Health<\/a>, un fornitore specializzato in servizi di salute mentale e recupero dalle dipendenze. Il database conteneva registrazioni audio e video di sessioni terapeutiche, trascrizioni, note psichiatriche, risultati dei test antidroga e persino copie delle patenti di guida. In totale erano presenti 5,3 terabyte di dati in 126.000 file, ovvero 1,7 milioni di record: tutti senza password.<\/p>\n

Perch\u00e9 l\u2019anonimato \u00e8 un\u2019illusione<\/h2>\n

Gli sviluppatori adorano dire: \u201cNon condividiamo mai i tuoi dati personali con nessuno\u201d. Tecnicamente potrebbe essere vero: perch\u00e9 di fatto condividono \u201cprofili resi anonimi\u201d. La fregatura? De-anonimizzare quei dati non \u00e8 pi\u00f9 un\u2019impresa per pochi. Ricerche<\/a> recenti evidenziano che l\u2019uso di LLM per eliminare l\u2019anonimato \u00e8 diventato routine.<\/p>\n

Anche il processo stesso di \u201canonimizzazione\u201d \u00e8 il pi\u00f9 delle volte un pasticcio. Uno studio della Duke University<\/a> ha rivelato che i broker di dati vendono apertamente i dati sulla salute mentale degli americani. Su 37 broker intervistati, 11 hanno dichiarato di avere accettato di vendere dati collegati a diagnosi specifiche (come depressione, ansia e disturbo bipolare), parametri demografici e, in alcuni casi, persino nomi e indirizzi di casa. I prezzi partivano da 275 dollari per 5000 record aggregati.<\/p>\n

Secondo la Mozilla Foundation<\/a>, nel 2023 il 59% delle app per la salute mentale pi\u00f9 diffuse non riusciva a soddisfare nemmeno gli standard di privacy pi\u00f9 elementari e il 40% era effettivamente diventato meno sicuro rispetto all\u2019anno precedente. Queste app consentivano la creazione di account tramite servizi di terze parti (come Google, Apple e Facebook), presentavano informative sulla privacy sospettosamente brevi che ignoravano i dettagli della raccolta dei dati e sfruttavano una piccola scappatoia intelligente: la rigorosamente applicazione al sito Web dell\u2019azienda, ma non all\u2019app stessa. Insomma, i clic sul sito erano \u201cprotetti\u201d, ma le azioni all\u2019interno dell\u2019app erano esposte.<\/p>\n

Come proteggersi<\/h2>\n

Eliminare completamente queste app dalla nostra vita \u00e8, ovviamente, l\u2019opzione pi\u00f9 infallibile, ma non la pi\u00f9 realistica. Inoltre, non vi \u00e8 alcuna garanzia di riuscire effettivamente a eliminare i dati gi\u00e0 raccolti, anche eliminando l\u2019account. In passato abbiamo trattato l\u2019estenuante processo di cancellazione delle informazioni dai database dei broker di dati<\/a>; \u00e8 fattibile, ma a costo di grandi mal di testa. Quindi, come stare al sicuro?<\/p>\n