Notizie, Privacy

I dati medici di 500.000 volontari britannici messi in vendita su Alibaba

di Pieter Arntz | 24 aprile 2026
Test del DNA
Aggiungi come fonte preferita su Google

Mezzo milione di britannici si sono registrati per contribuire alla lotta contro il cancro. I loro dati sono finiti in vendita su Alibaba.

L'organizzazione benefica UK Biobank ha segnalato al governo britannico un caso in cui i dati medici di 500.000 cittadini britannici erano stati messi in vendita sul sito di e-commerce cinese Alibaba.

La responsabile nazionale per la protezione dei dati, la dott.ssa Nicola Byrne, ha dichiarato in un comunicato:

«Le persone che condividono generosamente i propri dati sanitari a beneficio degli altri attraverso la ricerca medica si aspettano, a ragione, che tali dati siano conservati in modo sicuro e che vi sia una chiara assunzione di responsabilità quando qualcosa va storto.»

Secondo fonti ufficiali, i ricercatori avrebbero scaricato i dati in base a un contratto legittimo, ma la loro comparsa su Alibaba dimostra come un accesso «autorizzato» possa comunque trasformarsi in una divulgazione pubblica.

La UK Biobank conserva oltre 15 milioni di campioni biologici e cartelle cliniche dettagliate relative a volontari reclutati tra il 2006 e il 2010, e ricercatori di tutto il mondo la utilizzano per studiare il cancro, la demenza, il diabete e altre malattie croniche.

Di norma, UK Biobank stipula contratti con università e aziende private sottoposte a verifica prima di consentire loro l'accesso ai dati, ma gli investigatori hanno ricondotto gli annunci su Alibaba a tre istituti di ricerca. UK Biobank ha revocato loro l'accesso e sospeso la concessione di nuovi accessi ai dati, mentre rafforza i controlli di sicurezza.

Secondo quanto riferito, almeno un annuncio conteneva i dati relativi a tutti i 500.000 volontari, e Alibaba e le autorità cinesi hanno rimosso gli annunci prima che qualcuno potesse confermare la vendita.

Il set di dati proviene dalla coorte di ricerca a lungo termine della UK Biobank e comprende sequenze genetiche, campioni di sangue, immagini diagnostiche e informazioni dettagliate sullo stile di vita, utilizzate per la ricerca sanitaria a livello globale.

La UK Biobank sottolinea che i dati sono stati “anonimizzati”, il che significa che non includevano nomi, indirizzi o numeri del Servizio Sanitario Nazionale (NHS). Tuttavia, contenevano comunque dati demografici dettagliati, quali sesso, età, mese e anno di nascita, indicatori socioeconomici, informazioni sullo stile di vita e parametri sanitari. Abbiamo constatato più volte che tali dati possono essere ricondotti alle singole persone incrociandoli con altri registri pubblici o commerciali.

Perché la Cina se ne preoccupa

I rapporti dei servizi segreti statunitensi, i documenti politici e gli studi accademici delineano un quadro coerente: la Cina considera i grandi e variegati set di dati sul genoma umano e sulla salute come una risorsa strategica, sia per ragioni economiche che di sicurezza.

Il Centro nazionale statunitense per il controspionaggio e la sicurezza (NCSC) afferma esplicitamente che la Repubblica Popolare Cinese considera i dati sanitari e genomici raccolti su larga scala una «merce strategica» per promuovere i propri settori delle biotecnologie, dell’intelligenza artificiale e della medicina di precisione, e ha investito miliardi in iniziative nazionali nel campo della genomica e della medicina di precisione.

I grandi set di dati provenienti da popolazioni non cinesi sono particolarmente preziosi per la creazione di modelli di intelligenza artificiale e per il miglioramento della competitività commerciale globale delle aziende farmaceutiche e biotecnologiche cinesi.

Dal punto di vista di un hacker o dei servizi segreti stranieri, la UK Biobank rappresenta un vero e proprio «gioiello della corona»: si tratta di un database ben curato, di alta qualità, su scala demografica e molto più utile rispetto ai dati rubati in modo casuale. Inoltre, poiché i dati genetici sono immutabili (a differenza di una password, non possono essere sostituiti), qualsiasi violazione garantisce un valore informativo a lunghissimo termine.

L'anno scorso, il Guardian ha riferito che una richiesta di accesso alla UK Biobank su cinque proveniva da entità cinesi, tra cui BGI, la principale azienda cinese nel settore della genomica, che è stata successivamente inserita nella Entity List degli Stati Uniti a causa dei timori relativi al suo ruolo nella sorveglianza delle popolazioni minoritarie.

La Cina non sta semplicemente accumulando campioni di DNA per semplice curiosità. Sta creando una mappa genomica globale che comprende sia i propri avversari che i propri cittadini.

I tuoi dati genomici

Ci sono state forti preoccupazioni riguardo al rischio che i dati genetici finiscano nelle mani sbagliate, e a ragione. Ma non voglio dire che mettere a disposizione i propri dati medici per la ricerca sia una cosa negativa. Spesso i ricercatori utilizzano questi dati in modo proficuo per aiutare gli altri.

Ma prima di farlo, è bene porsi alcune domande.

  • Chi gestisce il progetto e dove ha sede?
    Preferiamo biobanche senza scopo di lucro o accademiche, dotate di chiari mandati di interesse pubblico e di un rigoroso sistema di controllo, piuttosto che opachi intermediari commerciali di dati.
  • Come vengono archiviati i dati raccolti?
    Chiedi in particolare informazioni sui dati genomici, sui file di sequenziamento grezzi, sui collegamenti alle cartelle cliniche e se i dati vengono crittografati sia in fase di archiviazione che durante il trasferimento.
  • Chi può accedere ai dati e quali sono le misure di controllo previste?
    È necessario verificare l'esistenza di un comitato di accesso formale, contratti rigorosi e controlli tecnici quali ambienti di analisi sicuri e opzioni di esportazione limitate, evitando modelli del tipodownload e via», come quello che ha reso possibile l'incidente della UK Biobank.
  • È consentito a soggetti stranieri accedere ai dati o copiarli?
    Alla luce degli avvertimenti lanciati dai governi statunitense e britannico riguardo all'accesso cinese ai dati genomici occidentali, è lecito chiedersi se i dati possano essere consultati, trattati o archiviati in giurisdizioni con standard di sicurezza diversi.
  • Come gestiscono il rischio di reidentificazione?
    Come abbiamo già detto, «anonimizzato» non è una parola magica. Privacy e i servizi segreti statunitensi hanno avvertito che i dati sanitari e genomici possono spesso essere reidentificati se combinati con altri set di dati.

Se i dati contenenti il tuo DNA sono finiti nelle mani di qualcun altro, non puoi recuperarli, ma puoi esigere una gestione più responsabile e spingere le istituzioni a trattare i dati genomici come informazioni sensibili di livello di sicurezza nazionale.

È inoltre necessario prestare maggiore attenzione alle truffe altamente mirate. Gli hacker possono utilizzare grandi insiemi di dati combinati per mettere a punto truffe convincenti di tipo spear-phishing o legate alla salute, ad esempio contattandovi in merito a una patologia specifica di cui soffrite voi o un vostro familiare. Trattate con estrema diffidenza le e-mail, le chiamate e le app non richieste relative alla salute o al DNA.

Cosa sanno di te i criminali informatici?

Utilizza la scansione gratuita Digital Footprint Malwarebytes per verificare se le tue informazioni personali sono state divulgate online.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Mobile
iPhone con il logo Apple

Gli iPhone rubati potrebbero presto valere molto meno per i ladri

Giugno 12, 2026

Apple e la Met Police stanno collaborando per rendere più difficile il ripristino, la rivendita e lo sfruttamento commerciale degli iPhone rubati.

AI
Google

Google può essere ritenuta responsabile per le recensioni false generate dall'intelligenza artificiale, secondo quanto stabilito dal tribunale

Giugno 11, 2026

"L'intelligenza artificiale può commettere errori" non costituisce una difesa giuridica sufficiente in caso di recensioni diffamatorie o errate generate dall'intelligenza artificiale, secondo quanto stabilito da un tribunale tedesco.

Violazioni dei dati
Logo di VRChat

VRChat sostiene che la violazione dei dati segnalata non sia mai avvenuta

Giugno 11, 2026

Vi spieghiamo quali dati sono stati compromessi, quali sono i potenziali rischi e quali misure dovreste adottare ora.

Aggiungi come fonte preferita su Google

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe