C’è un salto di qualità nel rischio quando il dato non è solo “personale”, ma intimo, narrativo, vulnerabile. Le vulnerabilità scoperte da Oversecured in alcune tra le più popolari app di salute mentale su Google Play mostrano proprio questo: servizi progettati per aiutare ansia, depressione, trauma e dipendenze possono trasformarsi, per un difetto di design o implementazione, in una fonte dati involontaria. Non serve un attacco “rumoroso” né un breach classico. Basta che un’app, sullo stesso dispositivo, sia in grado di intercettare flussi che non dovrebbero essere ascoltabili. E quando quei flussi contengono conversazioni con terapeuti AI, registri dell’umore, note, abitudini e pattern emotivi, l’impatto smette di essere tecnico e diventa esistenziale. Il punto più inquietante è che parliamo di un mercato che nel 2025 vale tra 9,17 e 11 miliardi di euro e cresce a ritmi annui 18-20%, con strumenti sempre più adottati da datori di lavoro, assicuratori e perfino agenzie sanitarie. In un contesto in cui l’OMS stima che una persona su otto conviva con disturbi mentali, circa un miliardo di individui a livello globale, e negli Stati Uniti il 56% degli adulti con malattia mentale non riceva trattamento, i chatbot e le app diventano spesso il primo punto di contatto. È esattamente qui che una falla di sicurezza smette di essere un bug e diventa un problema sistemico.
Come una vulnerabilità mobile può trasformare l’aiuto in tracciamento
Secondo la ricostruzione, il cuore del problema è legato a un comportamento tipico dell’ecosistema Android: la comunicazione tra componenti e app attraverso meccanismi che, se usati in modo improprio, possono far “uscire” informazioni oltre il perimetro previsto. In sostanza, alcune app analizzate invierebbero dati senza vincolare con precisione il destinatario, rendendo possibile a un’altra app installata sul dispositivo mettersi in ascolto. È una dinamica che ribalta la minaccia classica: non serve violare server remoti o bucare infrastrutture, basta trovarsi nel punto più vicino alla persona, cioè il suo telefono. In uno scenario realistico, l’utente installa un’app apparentemente innocua, magari un tool gratuito, un gioco semplice, un’utilità. Quell’app può includere un componente in background che intercetta i messaggi “trasmessi” da un’altra app. Quando poi l’utente apre la propria app di supporto psicologico e scrive un pensiero, descrive un attacco di panico, registra un episodio di binge eating, o parla con un assistente AI di un trauma, quel testo può essere catturato senza che nulla nell’interfaccia lo segnali. Il rischio qui è la silenziosità: non c’è crash, non c’è allarme, non c’è un comportamento “strano” che faccia sospettare una fuga dati. La parte più dura da digerire è che la sicurezza, in questi prodotti, non è un optional. Le app di salute mentale non raccolgono solo identificativi o dati biometrici in senso stretto. Raccolgono narrazioni, pattern emotivi, informazioni contestuali che possono essere usate per profiling, manipolazione, estorsione. Ed è qui che il fondatore di Oversecured, Sergey Toshin, diventa un punto di rottura: i dati di salute mentale possono avere un valore superiore a credenziali finanziarie perché non sono “revocabili”. Una carta di credito si blocca. Un segreto, un trauma, un percorso terapeutico non si può annullare.
Perché le app “cliniche” non sono automaticamente più sicure
Il racconto tocca un elemento che mette in crisi la fiducia del pubblico: tra le app coinvolte ci sarebbero anche prodotti con reputazione “clinica”, citati in pubblicazioni peer-reviewed e in alcuni casi associati a trial randomizzati controllati, con riferimenti a riviste come JMIR. Inoltre vengono menzionate app con designazioni regolatorie di rilievo, come l’etichetta FDA Breakthrough Device in ambito depressione, e persino implementazioni in programmi sanitari in Europa con numeri nell’ordine delle centinaia di migliaia di pazienti. Questi dettagli contano perché spezzano un’associazione mentale molto diffusa: se un prodotto ha trial clinici, funding venture importante, adozione in programmi pubblici o corporate, allora dev’essere “sicuro”. In realtà, la sicurezza applicativa è un’area con logiche proprie. Una validazione clinica può dimostrare efficacia su outcome, engagement o aderenza al trattamento, ma non garantisce che la pipeline dei dati, i flussi interni e le scelte di implementazione rispettino standard robusti di isolamento e protezione sul dispositivo. In altre parole, si può avere un’app efficace come intervento e fragile come infrastruttura. Il rischio aumenta ancora quando l’app include terapeuti AI o chatbot. Perché l’AI incentiva l’utente a scrivere di più, più spesso, con più dettaglio. Aumenta quindi la densità del dato sensibile: non solo “sto male”, ma il perché, con quali trigger, quali persone coinvolte, quali ricordi, quali comportamenti. Se una vulnerabilità consente intercettazione di quei contenuti, il danno potenziale diventa immediatamente scalabile.
Il valore della salute mentale nel mercato dei dati e l’effetto estorsione
Quando si parla di dark web, spesso il discorso scivola su cifre e mercati grigi come se fossero semplici “listini”. Qui invece il valore del dato è legato alla possibilità di far male. Un record di terapia non è utile solo per frodi, è utile per pressione psicologica. È utile per ricatto. È utile per selezionare bersagli vulnerabili, con tecniche che mescolano cybercrime e coercizione emotiva. Il testo richiama un precedente emblematico in Europa: il caso Vastaamo in Finlandia, con il furto di note terapeutiche e un’ondata di estorsioni individuali. Il punto non è replicare quel caso in modo meccanico, ma riconoscere che la dinamica “dato mentale → ricatto mirato” è già stata vista e produce conseguenze devastanti. Quando la fuga dati riguarda la salute mentale, l’impatto non è solo reputazionale o economico. Può essere clinico. Può essere sociale. Può diventare un acceleratore di crisi. Ecco perché la definizione della Fondazione Mozilla, che etichetta la categoria come un incubo di privacy, resta attuale: non serve che l’app sia “maligna”, basta che sia permeabile in un ecosistema in cui altre app possono ascoltare o correlare. La privacy, qui, non è una preferenza. È un prerequisito di sicurezza personale.
Regole, buchi normativi e il paradosso HIPAA
C’è poi un livello normativo che amplifica il rischio. Molte di queste app, pur trattando dati sanitari sensibilissimi, non rientrano automaticamente nelle coperture tradizionali come HIPAA negli Stati Uniti, che tutela informazioni sanitarie nel perimetro healthcare classico. Il risultato è un paradosso: l’utente percepisce di essere in “ambiente sanitario”, ma spesso è in un ambiente consumer con protezioni frammentarie, contratti lunghi e poco leggibili, e standard di sicurezza non uniformi. Il testo ricorda anche un caso del 2023 in ambito teleterapia, chiuso con pagamenti multimilionari per accuse di condivisione dati con advertiser. Anche qui il messaggio è chiaro: la minaccia non è solo l’hacker. È l’ecosistema di tracciamento, advertising, partner e SDK. In un’app di salute mentale, persino una fuga “legale” o contrattuale può essere percepita come un tradimento della fiducia.
Perché i ricercatori non pubblicano i dettagli e cosa significa per gli utenti
Oversecured, in questo caso, sceglie di non divulgare dettagli tecnici perché le vulnerabilità sarebbero ancora non patchate. È un approccio di responsabilità: pubblicare un proof-of-concept completo significherebbe offrire un manuale operativo a chi vuole sfruttare la falla, mentre l’ecosistema non ha ancora assorbito la correzione. Per l’utente questa scelta ha un effetto collaterale: non sapere quali app siano coinvolte crea ansia e incertezza. Ma racconta anche una realtà dura: se perfino app ad altissima adozione possono avere implementazioni fragili, allora il problema non è “scegliere l’app giusta” una volta per tutte. Il problema è pretendere un livello minimo di ingegneria della sicurezza come requisito di mercato, esattamente come si pretende l’assenza di difetti gravi in un prodotto medico. Nel frattempo, gli utenti più esposti sono quelli che usano queste app come sostituto di un percorso terapeutico, o come primo contatto in assenza di accesso a servizi tradizionali. In un mondo in cui chatbot e app diventano “sportello emotivo” sempre disponibile, la sicurezza del canale è parte della cura. Se il canale è vulnerabile, l’effetto può essere un ritiro, un silenzio, una rinuncia. E questo, per un settore nato per ridurre barriere, è il fallimento più grave.
Il mercato cresce, la superficie d’attacco cresce con lui
L’espansione delle app di salute mentale è legata a un bisogno reale, enorme, spesso non coperto dai sistemi sanitari. Ma la crescita rapida, spinta da venture capital, partnership corporate e adozioni pubbliche, crea un incentivo pericoloso: correre su funzionalità, engagement e scalabilità, lasciando indietro discipline noiose e costose come threat modeling, secure coding e audit continui. Se le app “broadcast” dati senza specificare destinatari, non è un incidente minore. È un segnale di processi di sviluppo che non hanno interiorizzato la natura dei dati trattati. Quando gestisci conversazioni su suicidio, abuso, dipendenza, ricadute, violenza, la sicurezza non può essere un post-it in backlog. Deve essere architettura.
E qui si apre la domanda più scomoda: quante app più piccole, meno finanziate, meno osservate, hanno difetti simili o peggiori? Se anche i prodotti adottati da grandi programmi e citati in studi possono inciampare, il resto del mercato potrebbe essere un campo minato silenzioso.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
