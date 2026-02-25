I dati terapeutici personali sono diventati una delle merci più preziose sul mercato nero digitale, con un valore che può superare di dieci volte quello di una carta di credito.

A finire nel mirino degli hacker sono trascrizioni di sedute psicologiche, registri dell’umore e note su comportamenti autolesionistici: informazioni intime e delicate che oggi rischiano di essere esposte a causa delle gravi falle di sicurezza nelle app salute mentale.

Una recente indagine di Oversecured ha messo in luce oltre 1.500 vulnerabilità in dieci applicazioni, scaricate complessivamente 14,7 milioni di volte dal Google Play Store. Tra queste, spiccano un chatbot per la terapia con ben 23 criticità e un tracker umore che ha accumulato il maggior numero di difetti.

App di salute mentale e vulnerabilità: la situazione è critica

Il quadro che emerge dall’analisi di Oversecured è allarmante: 54 falle ad alta gravità, 538 di media e 983 a bassa severità, distribuite su applicazioni utilizzate da milioni di persone. Il suddetto chatbot analizzato ha registrato il più alto numero di vulnerabilità critiche, mentre il tracker dell’umore ha collezionato il totale più elevato di problematiche complessive. Un panorama che rivela come la sicurezza dei dati sensibili degli utenti sia spesso trascurata, anche nelle app che promettono supporto e benessere psicologico.

Le tecniche di attacco più diffuse

I criminali informatici sfruttano punti deboli come la cattiva gestione delle autorizzazioni, la trasmissione di dati non cifrati su reti aperte, API esposte e server mal configurati.

Questi difetti permettono di intercettare conversazioni private, scaricare interi database o manipolare le app per ottenere accessi non autorizzati. Il risultato è la potenziale esposizione di dettagli clinici, diagnosi psichiatriche e segnali di autolesionismo, con rischi enormi per la privacy e la dignità degli utenti.

Uno degli aspetti più critici è rappresentato dal vuoto normativo. La HIPAA (Health Insurance Portability and Accountability Act) protegge solo le app che operano come strutture sanitarie o partner autorizzati. Molte app per la salute mentale, però, rimangono fuori da questo perimetro, lasciando gli utenti senza le tutele previste per i pazienti tradizionali. Questa zona grigia favorisce la diffusione di soluzioni tecnologiche con standard di sicurezza inadeguati, mentre le grandi piattaforme digitali non sono ancora chiamate a rispondere pienamente delle proprie responsabilità.

Le richieste degli esperti e le azioni necessarie

Gli esperti di sicurezza sottolineano l’urgenza di adottare audit regolari del codice, implementare la cifratura end-to-end, proteggere le API e garantire aggiornamenti tempestivi.

Il ciclo di sviluppo delle app dovrebbe essere orientato alla sicurezza (SDLC), con test di penetrazione periodici e risposte rapide alle segnalazioni di vulnerabilità. Anche Google Play dovrebbe rafforzare i controlli per tutte le app che trattano dati sanitari, elevando gli standard di protezione a tutela degli utenti.