Quando parliamo di intelligenza artificiale in relazione alla clinica e alla ricerca scientifica, la mente corre subito a scenari che descrivono un progresso rapido, quasi esponenziale. Le aspettative generate dall’intelligenza artificiale lasciano infatti intravedere una sorta di aura magica, da parte dei tecno ottimisti, quasi questa rappresenti la panacea per ogni problema tecnico e teorico si possa porre tra la domanda di salute e la risposta clinica.
Questa aspettativa è giustificata, da un punto di vista culturale, perché le preoccupazioni sono tante e tutte molto concrete e condivisibili: l’insieme degli indicatori dimostra come, contestualmente all’invecchiamento della popolazione generale, siano in aumento le patologie di tipo cronico degenerativo, cioè quelle che maggiormente impattano sul sistema socio assistenziale di qualsiasi Paese.
Le promesse dell’AI
Negli ultimi anni all’interno dell’Unione europea si è registrato un preoccupante aumento di tali patologie, responsabili dell’80% dell’onere di spesa sanitaria nei paesi dell’UE. L’impatto economico è significativo: si stima che le malattie non trasmissibili costino oltre 100 miliardi di euro all’anno nell’area dell’Unione. Inevitabilmente anche i fattori demografici contribuiscono al problema determinando un aumento delle risorse da destinare al welfare: attualmente, il 44% dei cittadini dell’UE di età superiore ai 65 anni vive con almeno due patologie croniche.
Una certa urgenza nell’individuazione di soluzioni affidabili è, dunque, più che comprensibile ed è innegabile come i sistemi di intelligenza artificiale siano oggi guardati con un misto di speranza e fiducia, considerando il contributo fondamentale che stanno offrendo ai processi di drug design, alla determinazione di algoritmi di presa in carico che sempre più si avvicinano al concetto di medicina personalizzata, e alla diminuzione dei costi in termini di spesa sanitaria, soprattutto in termini di una sempre maggiore appropriatezza terapeutica.
Se questo scenario rappresenta la “parte positiva” dell’iceberg, non possiamo però dimenticare come vi sia un sommerso, al di sotto di essa, che va attentamente esplorato, prima di poter dire che ogni problema è risolvibile grazie all’utilizzo dell’AI. Il punto è che l’AI, per essere alimentata correttamente e offrire il suo contributo, necessita di big data sanitari di qualità i quali costituiscono la benzina attraverso cui il motore dell’intelligenza artificiale può aiutarci a bruciare le tappe della ricerca. Una benzina che, per far muovere la macchina del sistema, deve essere priva di scorie, ovvero deve risultare debitamente purificata da tutti quei bias o interferenze che potrebbero comprometterne il valore. Ma se l’operazione di ottimizzazione del dato è già complessa di per sé e richiede una alleanza strategica tra clinici, ricercatori e data scientist, altrettanto dobbiamo garantire per ciò che riguarda la sicurezza del dato medesimo, ed è qui che il sistema può trovarsi esposto a un nuovo tipo di rischio, quello del data poisoning.
Manipolazione dei dati
A livello puramente sistemico questa minaccia non è ancora molto considerata, tuttavia le crescenti incertezze correlate ai cyber-attacchi che si possono verificare potenzialmente su tutte le strutture informatiche, non possono certo farci ignorare l’importanza del fenomeno in un sistema a così rapida evoluzione (e così sensibile per sua stessa essenza), come quello relativo alla digitalizzazione sanitaria e all’utilizzo di sistemi di intelligenza artificiale.
Con la definizione di data poisoning si indica quella forma di attacco informatico che, in pratica, consiste nell’inserire intenzionalmente dati errati o manipolati nel set di addestramento di un modello machine learning, con l’obiettivo di generare comportamenti anomali nell’algoritmo. Battista Biggio e Fabio Roli, nell’articolo “Wild patterns: ten years after the rise of adversary machine learning”, pubblicato già nel 2018, indicavano come questi attacchi possano (e possono, poiché il pericolo è sempre attuale e dunque il verbo può essere anche coniugato all’indicativo) determinarsi in fase di apprendimento del dato, oppure per sfruttare eventuali vulnerabilità del modello. Ebbene, se parliamo dell’ambito sanitario, anche in virtù della eterogeneità delle fonti dei dati (lo sono per loro stessa essenza, dato che provengono da cartelle cliniche elettroniche, referti diagnostici digitalizzati, immagini radiologiche, segnali biometrici derivati da wereable device) l’affidabilità degli stessi è un valore che deve essere considerato assoluto. Bastano minime variazioni non corrette nei dati acquisiti per determinare risultati erronei, in grado di vanificare una moltitudine di situazioni: dalle ricerche, alle diagnosi, all’arruolamento dei pazienti all’interno dei trial clinici fino a compromettere l’affidabilità di tutti i sistemi informatizzati che consentono il monitoraggio a distanza dei pazienti.
Box troppo black
Secondo un report 2022 dell’Enisa, il settore sanitario è oggi il bersaglio principale di attacchi informatici in Europa, e il data poisoning rappresenta una minaccia ancora sottostimata. La possibilità che attori malevoli (siano essi gruppi criminali, stati-nazione ostili o anche personale non fedele) possano influenzare l’apprendimento dei modelli predittivi, non è puramente teorica: recenti simulazioni su dataset oncologici e neurologici hanno dimostrato come, anche in presenza di controlli di qualità standard, una quantità inferiore all’1% di dati corrotti può in grado di compromettere la performance diagnostica del modello in modo statisticamente significativo.
Il rischio è determinato essenzialmente dalla attuale centralità dei modelli black-box, laddove per modello black box si intende un sistema di intelligenza artificiale – o di machine learning – che, anche se può fare previsioni o decisioni accurate, non consente di ricostruire in maniera agevole come giunge a quelle conclusioni, per via della complessità del proprio algoritmo di funzionamento. I modelli black box possono pertanto risultate “opachi” ai clinici e per questo motivo sono anche suscettibili al data poisoning, proprio per la difficoltà intrinseca di controllo nel meccanismo di acquisizione o elaborazione del dato. In altre parole, il modello black box rende più facile sfruttare le vulnerabilità del sistema e, così, comprometterne le prestazioni o la sicurezza. Nel saggio intitolato “Stop explaining black box models for high stakes decisions” il matematico Walter Rudin dell’Università del Wisconsin-Madison esplora le vulnerabilità dei sistemi black box, evidenziando come la loro scarsa trasparenza possa rappresentare un rischio, specialmente in quei contesti in cui la mancanza di una comprensione approfondita può portare a problemi di sicurezza e affidabilità, rendendo difficile individuare manipolazioni che potrebbero compromettere la correttezza delle decisioni umane che influenzano settori ad alta criticità.
Molti punti di attacco
Si tratta di un quadro che peggiora nel momento in cui consideriamo la crescente interconnessione tra ospedali, laboratori, provider cloud e dispositivi indossabili, che amplia gli obiettivi sensibili in maniera sempre meno controllabile.
Quando parliamo di crescente interconnessione dei dati digitali, ci riferiamo anche al GDPR e alle difficoltà intrinseche che esso rappresenta. Intendiamoci: il GDPR è un’opportunità poiché rappresenta uno spazio comune dematerializzato che è in grado di fornire big data di altissimo valore negli studi epidemiologici, nel monitoraggio post marketing e soprattutto si tratta di dati real world, cioè non influenzati dai bias che accompagnano l’arruolamento volontario per gli studi clinici. Non è un caso che il mondo della ricerca spinga forte sull’acceleratore in relazione all’uso dei dati sanitari, che sono di fondamentale importanza per l’addestramento dei modelli di AI. Tuttavia se da un lato c’è bisogno di aggregare grandi quantità di dati per ottenere modelli quanto più vicini alla realtà, dall’altro è auspicabile una estrema prudenza nei processi di centralizzazione proprio in relazione ai rischi di data poisoning di cui abbiamo parlato nei passaggi precedenti. La soluzione, dunque, è complessa. E la tecnologia può a sua volta essere di aiuto anche in questo caso.
Addestramento condiviso
Una risposta possibile a questo cul-de-sac è offerta dalle procedure di federated learning, ovvero quella modalità di apprendimento distribuito che consente già oggi di addestrare modelli condivisi, mantenendo però i dati sanitari nei luoghi in cui vengono originati. Invece di inviare i dati grezzi a un server centrale, il FL distribuisce il modello ai vari nodi (es. ospedali, laboratori), che lo aggiornano localmente utilizzando i propri dati. Questi ultimi, debitamente aggiornati, vengono poi aggregati in modo sicuro, essenzialmente attraverso tecniche crittografiche, al fine di creare un modello globale senza mai esporre dati sensibili. Modelli di questo genere hanno dimostrato la loro efficacia da un punto di vista operativo, aiutando anche a preservare la privacy che – in un ecosistema fortemente burocratizzato come quello europeo – a volte diviene limitante per la ricerca stessa. A riprova di come il federated learning possa essere una soluzione in grado di garantire sicurezza e affidabilità, possiamo citare lo studio di Michah Sheller, pubblicato nel 2020 su “Scientific Report” e intitolato “Federated learning in medicine: facilitating multi-institutional collaborations without sharing patient data”, ha dimostrato come questa modalità consenta di collaborare tra più istituzioni mediche senza la necessità di condividere dati sensibili dei pazienti.
Un aiuto alla collaborazione
Allo stesso modo, Georgios Kaissis, nel lavoro “Secure, privacy-preserving and federated machine learning in medical imaging” (pubblicato su “Frontieres in medicine” nel 2021), ha evidenziato l’efficacia del federated learning nel campo dell’imaging medico, mostrando come questa tecnica sia in grado di ridurre i rischi associati al trasferimento di dati grezzi e, nel contempo, migliorare la sicurezza complessiva nei processi diagnostici. Questi risultati indicano che, oltre a migliorare la sicurezza e la privacy, il federated learning rappresenta una strategia promettente per superare i limiti tradizionali dell’addestramento centralizzato, promuovendo collaborazioni più estese tra istituzioni e ottimizzando l’uso dei dati sanitari in maniera etica e sostenibile. Non a caso questi sistemi sono presi oggi in serie considerazione in un panorama, come quello nostro nazionale, in cui si fa molta fatica a ottenere l’autorizzazione per l’utilizzo di secondo livello dei dati sanitari.
Standard certificati
Tuttavia, il FL non è a sua volta una panacea. Così come esiste un federated learning, c’è anche federated poisoning federato. È il caso dei cosiddetti “model poisoning attack”, dove l’aggiornamento locale non è solo influenzato da dati errati, ma è deliberatamente progettato per corrompere i processi di aggregazione dei dati. In definitiva, se vogliamo guardare ai problemi del sommerso dell’iceberg che abbiamo citato a inizio trattazione, si devono imporre – a livello politico e istituzionale – standard interoperabili per l’utilizzo del federated learning in ambienti clinici, nonché criteri di certificazione per i modelli addestrati in questo modo. Lo European health data space (EHDS) può rappresentare il quadro ideale per l’implementazione di una federazione sicura, in grado di consentire una cooperazione internazionale, europea, nella ricerca biomedica e nell’assistenza sanitaria, senza rinunciare alla sovranità digitale e alla protezione del cittadino. Va quindi creato, grazie alla necessaria consapevolezza da parte di tutti gli stakeholder, un clima di fiducia nei dati e negli algoritmi quale bene comune, da tutelare attraverso politiche trasparenti e condivise. Il data poisoning non è infatti solo una minaccia tecnica: è un potenziale pericolo per l’intera architettura digitale in un mondo sempre più difficile da comprendere e sempre meno facile da gestire.