Sommario
Il mese di aprile 2025 si è aperto con due episodi emblematici di quanto la protezione dei dati sensibili negli Stati Uniti sia fragile, anche nelle mani di aziende che gestiscono informazioni genetiche e sanitarie ad altissimo impatto. Da un lato, la società 23andMe, specializzata in test del DNA, è al centro di un potenziale scandalo geopolitico legato alla sua bancarotta e alla possibile acquisizione da parte di soggetti stranieri, tra cui aziende cinesi. Dall’altro, il provider di servizi di laboratorio Laboratory Services Cooperative (LSC) ha ammesso un’enorme violazione della sicurezza informatica che ha esposto i dati medici e personali di oltre 1,6 milioni di individui.
Le implicazioni sono enormi, non solo in termini di privacy individuale, ma anche per la sicurezza nazionale e la fiducia nei sistemi sanitari e di raccolta genetica. Entrambi i casi dimostrano che la gestione economica o negligente di queste piattaforme può trasformarsi in un rischio sistemico, dove milioni di profili digitali diventano potenzialmente sfruttabili da attori criminali o governi ostili.
La minaccia cinese sui dati genetici statunitensi: il caso 23andMe e la bancarotta che preoccupa il Senato
23andMe, una delle società pionieristiche nel campo dei test genetici consumer, è recentemente entrata in procedura di bancarotta. Il suo asset principale – la colossale base dati di circa 15 milioni di profili genetici – rappresenta oggi l’oggetto di maggiore interesse per potenziali acquirenti. È proprio su questo punto che si concentra l’allarme lanciato dal senatore Bill Cassidy, presidente della Commissione Salute del Senato degli Stati Uniti.
In una lettera indirizzata al Segretario del Tesoro Scott Bessent, Cassidy mette in guardia sul rischio che società cinesi, direttamente o indirettamente legate al Partito Comunista, possano acquisire legalmente l’intero database genetico statunitense, con l’obiettivo di utilizzarlo per scopi strategici, biotecnologici o di controllo sociale. Il senatore ha richiesto al CFIUS (Committee on Foreign Investment in the United States) di intervenire con urgenza per valutare ogni proposta di acquisizione.
Il rischio non è teorico: secondo dossier già pubblici, aziende cinesi nel settore biotech sono attivamente impegnate nella raccolta globale di dati genomici, e l’accesso a profili completi di milioni di cittadini americani offrirebbe una base scientifica e comportamentale senza precedenti.
Reazioni dell’azienda e opzioni per i consumatori
23andMe ha dichiarato che qualsiasi futuro acquirente dovrà attenersi alla policy sulla privacy e alla normativa vigente, rassicurando che non è previsto alcun trasferimento non autorizzato dei dati. Tuttavia, queste rassicurazioni appaiono deboli davanti al principio commerciale della vendita al miglior offerente, che lascia aperto il rischio di acquisizioni opache tramite società di comodo o fondi anonimi.
Gli utenti possono ancora cancellare il proprio profilo genetico dalla piattaforma, seguendo una procedura articolata che prevede l’accesso all’account, la verifica dell’identità, la richiesta specifica di eliminazione e la conferma via email. Tuttavia, chi è stato coinvolto nella violazione del 2023 (che ha colpito fino a 7 milioni di clienti) non può più rimuovere i dati che sono già stati copiati e rivenduti nel dark web.
LSC e la violazione da 1,6 milioni di dati sanitari: il secondo caso che scuote la sanità digitale americana
Nel frattempo, la società no-profit Laboratory Services Cooperative (LSC) ha reso noto un attacco informatico risalente a ottobre 2024, che ha portato al furto di dati medici e personali di almeno 1,6 milioni di persone. LSC fornisce servizi centralizzati di analisi di laboratorio a cliniche affiliate, tra cui numerosi centri Planned Parenthood distribuiti in oltre 35 stati americani.
La violazione, confermata tramite comunicazione pubblica e depositi presso l’ufficio del Procuratore Generale del Maine, include:
- dati identificativi completi (nome, SSN, data di nascita, patente o passaporto),
- informazioni mediche (diagnosi, esiti dei test, trattamenti, date di servizio),
- dettagli assicurativi e bancari (numero di polizza, ID di gruppo, coordinate IBAN o carte).
L’attacco è stato individuato il 27 ottobre 2024, e da allora un team di specialisti di cybersicurezza monitora i flussi nel dark web, pur non avendo ancora rilevato la diffusione dei dati rubati. LSC ha attivato un programma gratuito di monitoraggio del credito e protezione da furto d’identità di durata variabile (12 o 24 mesi) per le persone coinvolte, incluso un servizio dedicato ai minori (“Minor Defense”) per i pazienti senza codice fiscale o cronologia creditizia.
Dopo l’attacco a Planned Parenthood: una fragilità sistemica nella sanità digitale americana
L’episodio che ha coinvolto LSC non è un evento isolato. Già nell’agosto 2024, l’organizzazione Planned Parenthood – la più grande rete di cliniche sanitarie specializzate in salute riproduttiva negli Stati Uniti – era stata colpita da un attacco ransomware operato dal gruppo RansomHub, con la conseguente esposizione di dati sensibili appartenenti a migliaia di pazienti.
Ora, con la violazione dei server LSC, parte di quegli stessi pazienti risulta nuovamente coinvolta, delineando uno scenario in cui la ripetitività delle violazioni dimostra una vulnerabilità endemica nella gestione dei dati sanitari. Ciò che preoccupa non è solo la sofisticazione crescente degli attaccanti, ma soprattutto la mancanza di protocolli di sicurezza condivisi tra le entità sanitarie affiliate, che spesso operano con budget limitati e infrastrutture obsolete.
LSC, pur avendo agito tempestivamente coinvolgendo esperti forensi e autorità federali, ha ammesso di non essere in grado di determinare con certezza quali individui siano stati specificamente colpiti, limitandosi a informare genericamente gli utenti dei centri coinvolti. Questo approccio, sebbene conforme alla normativa HIPAA, lascia gli utenti in uno stato di incertezza prolungata, mentre i loro dati personali restano potenzialmente in circolazione.
DNA e cartelle cliniche come obiettivi strategici: il nuovo fronte della cybersicurezza geopolitica
I due casi – 23andMe e LSC – evidenziano che i dati genetici e sanitari sono diventati un target strategico per la cyber intelligence e il cybercrime internazionale. Mentre un tempo il focus degli attacchi era limitato a dati bancari o password, oggi il patrimonio informativo più ambito riguarda l’identità biologica e il profilo sanitario, perché offre un’ampiezza di sfruttamento che va dalla manipolazione dei mercati assicurativi al controllo sociale e profilazione di massa.
Nel caso di 23andMe, la combinazione tra dati genomici e metadati comportamentali – provenienti dai sondaggi, preferenze e cronologia di navigazione – consente una mappatura psicogenetica dell’utente, con applicazioni potenziali nel campo del biohacking, della pubblicità genetica e persino del reclutamento militare. A questo si aggiunge il rischio concreto di sorveglianza mirata e profilazione etnica, soprattutto se i dati vengono centralizzati da governi esteri.
Nel caso LSC, l’attacco dimostra come anche realtà non-profit e affiliate locali siano vettori accessibili per colpire infrastrutture nazionali. Gli attori malevoli possono ottenere non solo dati clinici, ma anche indicatori di salute pubblica, schede di laboratorio, abitudini mediche e correlazioni familiari, costruendo modelli predittivi per attività di estorsione, manipolazione o esclusione sistemica.
Verso una nuova era della protezione dati: responsabilità, tracciabilità e sovranità informativa
Le due vicende aprono un interrogativo cruciale sul futuro della data governance nel settore sanitario e genetico. La normativa statunitense – dominata dall’HIPAA – si dimostra insufficiente a fronteggiare attori stranieri o tecnologie predittive avanzate. Mancano ancora standard federali uniformi sulla sicurezza cloud, una regolamentazione sulla vendita delle piattaforme in crisi e un framework interoperabile per la revoca dei consensi genetici.
Senza una revisione sistemica, sarà impossibile tutelare la sovranità genetica e medica del cittadino, così come garantire la fiducia nell’ecosistema biotech statunitense. Il dibattito politico sul caso 23andMe – sebbene tardivo – segna un passo importante verso la creazione di un regime di controllo sugli investimenti esteri nel settore della bioinformazione.
Allo stesso modo, la pressione dell’opinione pubblica sulle violazioni ripetute nei centri sanitari dovrebbe accelerare l’adozione di infrastrutture zero-trust, l’impiego di tokenizzazione e crittografia dinamica dei record medici, e una formazione obbligatoria sulla cybersecurity per tutto il personale clinico e amministrativo.
