Il data poisoning è una forma di attacco informatico in cui soggetti malevoli manipolano intenzionalmente i dati utilizzati per addestrare modelli di machine learning (ML) e intelligenza artificiale (AI). Poiché questi modelli dipendono fortemente dalla qualità e dall’affidabilità dei dati di training, anche alterazioni minime possono comprometterne il comportamento, l’accuratezza e l’affidabilità. L’obiettivo del data poisoning è degradare le prestazioni dei modelli, introdurre bias o creare vulnerabilità nascoste da sfruttare successivamente. Si tratta di una minaccia particolarmente critica in contesti ad alta sensibilità come quello sanitario, dove decisioni basate su modelli AI compromessi, possono avere conseguenze estremamente gravi su pazienti, strutture ospedaliere e attività cliniche.
Principali tipologie di data poisoning
Esistono diverse forme di attacco di data poisoning, ciascuna mirata a colpire aspetti specifici del processo di addestramento dei modelli AI:
- Label flipping consiste nella modifica delle etichette corrette all’interno di un dataset con informazioni errate, inducendo il modello a effettuare classificazioni scorrette.
- Data injection prevede l’inserimento di dati falsificati o fuorvianti per influenzare il comportamento del modello verso risultati specifici.
- Backdoor attacks introducono trigger nascosti — come lievi alterazioni di immagini o rumori di fondo — che inducono il modello a produrre comportamenti anomali o malevoli solo in determinate condizioni.
- Clean-label attacks particolarmente difficili da rilevare, modificano i dati in modo apparentemente legittimo, aggirando i tradizionali sistemi di validazione.
Ognuna di queste tecniche può compromettere integrità, sicurezza e affidabilità dei sistemi AI in modi differenti ma altrettanto pericolosi. Per questo la resilienza informatica deve partire dall’integrità del dato, garantendo la disponibilità di copie pulite, verificate e immutabili anche in presenza di attacchi sofisticati.
Vettori di attacco
Le modalità attraverso cui il data poisoning viene eseguito possono variare, ma condividono tutte lo stesso obiettivo: manipolare il comportamento dei sistemi di intelligenza artificiale.
Alcuni hacker inseriscono informazioni false direttamente nei dataset di training, mentre altri sfruttano fonti di dati distorte per orientare i modelli verso specifiche narrative o risultati predeterminati. Anche i sistemi AI che operano in tempo reale risultano vulnerabili: se i dati esterni su cui si basano vengono compromessi, anche le decisioni generate dal modello possono risultare alterate. Questi vettori di attacco sono spesso difficili da identificare, soprattutto quando i dati contaminati vengono nascosti all’interno di dataset complessi e di grandi dimensioni, come quelli gestiti dalle strutture sanitarie, che elaborano enormi quantità di dati clinici, referti medici e informazioni sensibili dei pazienti.
Potenziali conseguenze
I sistemi di intelligenza artificiale compromessi da attacchi di data poisoning possono produrre risultati errati, generare decisioni fuorvianti o diventare vulnerabili ad attacchi successivi. Nel settore sanitario, dove affidabilità e precisione sono elementi fondamentali, i rischi possono essere particolarmente elevati, ed avere conseguenze gravissime.
Quando informazioni manipolate vengono automatizzate e distribuite su larga scala, l’ultima linea di difesa deve essere rappresentata da una copia dei dati sicura, immutabile e verificabile. Uno storage di backup immutabile garantisce infatti che, anche in presenza di dati compromessi, le informazioni rimangano autentiche, recuperabili e protette.
Di seguito alcuni esempi concreti di come il data poisoning possa colpire il settore sanitario:
- Diagnosi errate o terapie non corrette: dati di training alterati possono portare i modelli AI a identificare erroneamente patologie o condizioni cliniche, con conseguenze potenzialmente dannose o persino fatali.
- Ricerche mediche compromesse: la manipolazione dei dati provenienti da trial clinici può falsare i risultati delle ricerche, favorendo l’approvazione di farmaci inefficaci o non sicuri.
- Violazioni della privacy: dati compromessi possono essere utilizzati per sfruttare vulnerabilità presenti nelle cartelle cliniche dei pazienti, con rischi di violazione della normativa HIPAA e furti d’identità.
Le tecniche più recenti stanno rendendo gli attacchi di data poisoning sempre più difficili da rilevare e più semplici da eseguire. Molte di queste metodologie sfruttano manipolazioni estremamente sofisticate, capaci di aggirare controlli umani e sistemi di sicurezza tradizionali. Ad esempio, ASCII Character Injection utilizza tecniche di codifica per nascondere istruzioni malevole all’interno di testi apparentemente innocui; Invisible prompt manipulation inserisce formattazioni invisibili che alterano il comportamento dei modelli AI senza modifiche visibili; Advanced Jailbreaking Methods sfrutta vulnerabilità dei modelli per bypassare le protezioni integrate e aggirare le policy di sicurezza.
Proteggersi dal data poisoning con backup immutabili come ultima linea di difesa
Strumenti come il rilevamento di malware basato su AI, le contromisure anti-phishing, i sistemi di identificazione di deepfake e voice cloning, così come le tecnologie di mitigazione del data poisoning, rappresentano un importante passo avanti nella difesa cyber. Tuttavia, non eliminano completamente il rischio, perché le minacce basate sull’IA sono altamente adattive e gli attaccanti continuano a far evolvere le proprie tecniche per superare le difese esistenti.
In uno scenario caratterizzato da minacce come malware polimorfico, deepfake impersonation e data poisoning — capaci di aggirare rapidamente le difese tradizionali senza essere rilevate — disporre di uno storage di backup progettato con “Immutabilità Assoluta” non è più un’opzione, ma una necessità indispensabile.
Questo approccio garantisce che nemmeno un amministratore con privilegi elevati o un attaccante che abbia compromesso il sistema, possano in alcun modo modificare o cancellare i dati di backup. Anche nel caso in cui gli strumenti di detection falliscano o gli assistenti AI commettano errori, i dati rimangono integri, verificabili e sempre recuperabili, rafforzando la resilienza complessiva della strategia di data protection.
A cura di Simona Riela, Channel and Territory Manager di Object First in Italia