Mezzo milione di cartelle cliniche britanniche in vendita su Alibaba: cosa è successo al UK Biobank
Lunedì 20 aprile, il UK Biobank ha scoperto che i dati sanitari di 500.000 volontari erano stati messi in vendita su Alibaba, il gigante dell'e-commerce cinese. Non erano tre annunci isolati: almeno uno di essi conteneva l'intero dataset del progetto. La notizia è stata confermata dal governo britannico solo giorni dopo, trasformando quello che poteva restare un incidente tecnico in una crisi di fiducia pubblica attorno a uno dei progetti scientifici più importanti del Regno Unito.
Chi — UK Biobank
UK Biobank è un'organizzazione di ricerca no-profit che dal 2006 raccoglie e conserva dati sanitari dettagliati da volontari britannici. Non è una startup: è un'istituzione consolidata che gestisce il più grande archivio di sequenze genomiche complete al mondo. Ha contribuito a oltre 18.000 pubblicazioni scientifiche su demenza, cancro e Parkinson's. Ricercatori di università e aziende private in tutto il mondo richiedono accesso ai dati per studi clinici e sviluppo di farmaci. È il genere di infrastruttura che i governi considerano strategica.
Cosa è successo
Secondo il rapporto del BMJ e le dichiarazioni del ministro della tecnologia Ian Murray al Parlamento, tre annunci su Alibaba offrivano dati di UK Biobank. I dati includevano:
- Genere, età, mese e anno di nascita
- Stato socioeconomico e abitudini di vita
- Salute mentale e storia medica autodichiarata
- Funzione cognitiva e misure fisiche
- Risultati di analisi del sangue, biochimiche, metabolomiche e proteomiche
- Diagnosi di malattie codificate secondo la Classificazione Internazionale delle Malattie (ICD), inclusi i tumori con date di diagnosi
Ciò che non era incluso: nomi, indirizzi, numeri di telefono, date di nascita complete, numeri NHS (l'identificativo sanitario britannico). I dati erano "de-identificati", secondo la terminologia ufficiale — cioè privi di identificatori diretti.
Il governo britannico ha confermato che nessun acquisto è stato completato prima della rimozione degli annunci. Alibaba ha rimosso le tre inserzioni rapidamente, con il supporto dei governi britannico e cinese. Il CEO di UK Biobank, Professor Sir Rory Collins, ha inviato una lettera ai volontari rassicurandoli sulla de-identificazione dei dati.
Tuttavia, secondo The Guardian, questo non è il primo episodio: il giornale aveva già rivelato il mese precedente che dati sensibili di UK Biobank erano stati esposti online dozzine di volte.
Perché è importante
La questione centrale non è se i dati fossero "veramente" de-identificati — è come siano finiti su una piattaforma di e-commerce in primo luogo.
Secondo le dichiarazioni ufficiali, i dati erano stati legittimamente condivisi con ricercatori presso tre istituzioni. Qualcuno, in una di quelle organizzazioni, ha deciso di venderli online. Non è un attacco hacker, non è una falla di sicurezza nel senso tradizionale: è un abuso di accesso autorizzato. Questo rende il problema ancora più difficile da risolvere con patch software o firewall.
Per i 500.000 volontari coinvolti, il danno reputazionale è immediato. Hanno donato i loro dati sanitari più intimi — sequenze genomiche complete, scansioni cerebrali, campioni biologici — con la promessa che sarebbero stati usati per la ricerca medica. Scoprire che qualcuno stava cercando di venderli su Alibaba è, come ha detto Chi Onwurah, presidente della commissione parlamentare per la scienza, "un colpo devastante alla fiducia pubblica".
Per il settore scientifico britannico, il rischio è ancora più ampio. UK Biobank è un asset strategico nazionale. Se i volontari smettono di fidarsi e si rifiutano di partecipare a progetti simili, l'intera infrastruttura di ricerca medica del paese ne soffre. La reazione della Liberal Democrat Victoria Collins lo ha definito un "tradimento profondo", e non è stata l'unica voce critica.
UK Biobank ha già riferito l'incidente all'Information Commissioner's Office (ICO), l'autorità britannica per la protezione dei dati, il che significa che un'indagine formale è in corso.
Cosa aspettarsi
Nei prossimi mesi, osservate:
- L'esito dell'indagine dell'ICO: determinerà se UK Biobank ha violato il GDPR e il Data Protection Act 2018. Le sanzioni potrebbero essere significative.
- Le misure di controllo interno: UK Biobank dovrà spiegare come i dati sono usciti dalle tre istituzioni autorizzate e come intende prevenirlo in futuro. Questo probabilmente comporterà audit più stringenti e restrizioni sui ricercatori che accedono ai dati.
- La reazione dei volontari: se le iscrizioni a nuovi progetti di ricerca medica caleranno, sarà un indicatore del danno reputazionale reale.
- Le azioni dei competitor internazionali: altri biobank mondiali (negli USA, in Europa, in Asia) probabilmente accelereranno le loro revisioni di sicurezza per evitare di finire nella stessa situazione.
- Il dibattito normativo: il governo britannico potrebbe introdurre nuove regole su come i dati medici de-identificati possono essere condivisi e controllati una volta fuori dalle mani dell'istituzione originale.
La dichiarazione del ministro Murray che "è veramente arrivati a un punto se dobbiamo affidarci al governo cinese per mantenere i nostri dati al sicuro" cattura il paradosso: il Regno Unito ha dovuto chiedere aiuto a Pechino per rimuovere dati britannici da una piattaforma cinese. È un promemoria che la sicurezza dei dati non è solo una questione tecnica, ma geopolitica.
📰 Fonti
- Hacker News — UK Biobank leak: Health details of 500 000 people are offered for sale
- bmj.com — UK Biobank leak: Health details of 500 000 people are offered for sale on Chinese website
- uk.news.yahoo.com — Details of half a million UK people on Biobank health database exposed
- theguardian.com — Private health records of half a million Britons offered for sale on Chinese website | Data and computer security | The Guardian
- bbc.com — UK Biobank health data listed for sale in China, government confirms - BBC
- bbc.co.uk — UK Biobank health data listed for sale in China, government confirms - BBC News
