I rischi cyber per la salute e la privacy delle tecnologie mediche cervello-computer
Il recente paper “Cyber Risks to Next-Gen Brain-Computer Interfaces: Analysis and Recommendations”, di esperti della Yale University (oltre a Luciano Floridi, che opera anche presso l’Università di Bologna, Tyler Schroder, Renee Sirbu, Sohee Park, Jessica Morley e Sam Street) costituisce un interessante contributo all'analisi dei rischi cyber associati alle tecnologie di interfaccia cervello-computer (Brain Computer Interface - BCI).
Queste tecnologie, pur offrendo straordinarie opportunità terapeutiche, introducono nuove sfide in termini di sicurezza e privacy. Le BCI sono, secondo la classificazione della Food and Drug Administration USA, dispositivi medici di Classe III in considerazione del loro alto impatto potenziale sulla salute umana.
Seguendo l'approccio proposto dagli autori si può sostenere che i BCI, grazie alle loro funzionalità avanzate (aggiornamenti software, memorizzazione dati, trasmissione in tempo reale) costituiscano una sorta di portali web. Questa evoluzione le rende vulnerabili alle stesse minacce informatiche che colpiscono i dispositivi IoT, ma ovviamente con implicazioni molto più critiche per la salute e la privacy dei pazienti. Da qui l’esigenza di individuare misure di mitigazione, tecniche e regolatorie, per prevenire scenari ad alto impatto per le persone coinvolte.
Per evidenziare meglio i rischi, gli autori applicano un threat model basato sulla metodologia Common Vulnerability Scoring System (CVSS) , identificando quattro modalità di attacco:
1. phisical: accesso diretto al dispositivo impiantato;
2. local: connessione diretta tramite interfacce fisiche;
3. local -adjacent : accesso attraverso una rete locale condivisa;
4. network: attacchi condotti via Internet.
La disamina delle possibili minacce illustrata nel paper fa emergere la peculiarità delle BCI, atteso che fra quelle considerate alcune sono specifiche per tali apparati; si tratta di: i) stimolazione indesiderata degli arti o del cervello, i movimenti e ii) errori nella visione o nella voce.
Tecnicamente le BCI potrebbero essere vulnerabili a cyber-attacchi mirati. E’ importante quindi, a valle della prioritaria valutazione della funzionalità terapeutica, quella dei protocolli di sicurezza da adottare a fronte degli scenari di potenziali.
Un punto particolarmente sensibile è la connettività wireless, che espone i dispositivi a intrusioni da remoto. Senza adeguate contromisure, un attacco riuscito potrebbe compromettere non solo l'integrità del dispositivo, ma anche la sicurezza e la salute del paziente.
Questo scenario solleva quindi la questione dell'adeguatezza delle regolamentazioni esistenti per dispositivi medici così avanzati tramite cui vengono trattati le persone e i loro dati.
Gli autori propongono una serie di raccomandazioni per migliorare la sicurezza delle BCI incentrati su: i) processo di aggiornamento dei software; ii) requisiti di autenticazione e autorizzazione all’accesso; iii) contenimento delle fasi di connettività alla rete per la gestione delle BCI; iv) sistemi di crittografia delle informazioni.
La tematica approfondita dal paper è di estrema attualità, atteso il percorso di innovazione tecnologica che connota l’ingegneria bio-tecnologica. Basti citare Neuralink, fondata da Elon Musk, che sviluppa interfacce neurali impiantabili per collegare il cervello ai computer. Un progetto altamente innovativo, che potrebbe rivelarsi utile non solo per trattare patologie neurologiche ma anche, in futuro, potenziare le capacità umane. Tale tipo di simbiosi uomo-computer include non solo rischi cyber ma anche sanitari (come infezioni e danni cerebrali) senza tralasciare problemi etici.
A inizio 2024 vi è stato il primo impianto sull’uomo e in questo periodo diversi organi di informazione si soffermano, sull’esperienza del primo fruitore e, in maniera anche problematica, su aspetti generali afferenti tecnologie come quella di Neuralink. Tecnologie che, è bene essere consapevoli, oltre che ad aspetti di salute potrebbero essere sfruttate con intenti manipolatori. Esemplificativo è il quinto episodio della terza stagione di Black Mirror, serie TV distopica sulle ambivalenze della tecnologia, unica nel suo genere: in “Men Against Fire” ci mostra come con delle BCI impiantate nelle truppe se ne modifiche la percezione delle persone per condurre una operazione di pulizia etnica.
L’UE propone a livello normativo disposizioni come il GDPR e l’Artificial Intelligence Act applicabili a tutela degli persone per gli impatti che possano derivare sulle loro vite e sul loro diritto alla riservatezza da tecnologie come quelle in esame che appaiono classificabili fra quelle ad alto rischio secondo la norma europea. Tuttavia, questi regolamenti europei non sono sufficienti per garantire una protezione uniforme a livello globale.
Fra le misure che si potrebbero considerare per affrontare le minacce emergenti:
- sviluppo di sistemi di monitoraggio continuo per individuare intrusioni sofisticate;
- Formazione di medici e il personale sanitario sulle migliori pratiche di sicurezza per le BCI;
- Definizione di standard tecnici di sicurezza per le BCI connesse a Internet.
Le interfacce cervello-computer costituiscono una tecnologia con il potenziale di trasformare radicalmente la medicina. Tuttavia, senza adeguate misure di sicurezza e una regolamentazione più stringente, queste tecnologie potrebbero esporre i pazienti a rischi significativi.
Il paper di Floridi e degli altri esperti della Yale è dunque attuale e pone una questione ineludibile da parte dei diversi stakeholder. Solo attraverso uno sforzo congiunto e trasparente tra ricerca, industria e regolatore sarà possibile sfruttare proficuamente il potenziale di queste tecnologie.
In questo scenario, i Data Protection Officer (DPO) svolgeranno un ruolo di grande, enorme responsabilità. Il loro ruolo è quello di essere garanti della compliance sostanziale delle organizzazioni ma, nondimeno, operano in un contesto delle cui esigenze non possono non tener conto.
Fermo restando tale ruolo non va interpretato dai DPO come garanti di un rigorismo formale, gli stessi piuttosto devono farsi parte attiva per accompagnare le organizzazioni nell’efficace perseguimento dei loro business individuando, suggerendo, contribuendo a individuare perseguibili soluzioni per impiantare processi e prodotti che siano profittevoli ma anche sicuri per gli interessati. Ed evidenziando con fermezza le proprie valutazioni su quelle soluzioni in cui i rischi non sono adeguatamente messi in luce o tenuti in conto. Nel campo delle BCI, tale esigenza emerge con particolare peso.
