I dati della UK Biobank di 500.000 volontari messi in vendita su Alibaba dopo che le istituzioni di ricerca cinesi hanno violato gli accordi di accesso.

I dati della UK Biobank di 500.000 volontari messi in vendita su Alibaba dopo che le istituzioni di ricerca cinesi hanno violato gli accordi di accesso.

      Sommario: Dati genetici, medici e di stile di vita di tutti i 500.000 volontari del Biobanco del Regno Unito sono stati messi in vendita su Alibaba dopo che tre istituzioni di ricerca cinesi con accesso legittimo hanno violato i loro accordi di condivisione dei dati. I dati erano de-identificati ma includono sequenze genomiche, diagnosi ospedaliere e misure biologiche che gli esperti affermano possano essere ri-identificate. Alibaba ha rimosso le inserzioni prima che venissero effettuate vendite, il Biobanco del Regno Unito ha sospeso l'accesso ai dati esterni e l'ICO sta indagando. Un'indagine di marzo aveva già trovato che i dati erano stati trapelati decine di volte tramite GitHub.

      I dati genetici, medici e di stile di vita di 500.000 volontari britannici sono stati messi in vendita sulla piattaforma di e-commerce Alibaba in Cina questa settimana, ha confermato il governo del Regno Unito mercoledì, in una violazione che non ha richiesto una sola riga di codice malevolo. Tre istituzioni di ricerca in Cina che erano state autorizzate ad accedere legittimamente al database del Biobanco del Regno Unito hanno scaricato i dati, per poi metterli in vendita. Non si è trattato di un hack. È stata una violazione contrattuale da parte di ricercatori fidati, e questa distinzione la rende peggiore, non migliore, perché espone una vulnerabilità che nessun firewall può risolvere: l'intero modello di condivisione dei dati di ricerca aperti presuppone che tutti coloro che ricevono i dati seguiranno le regole.

      Ian Murray, Ministro di Stato, ha detto alla Camera dei Comuni che il Biobanco del Regno Unito ha informato il governo lunedì 20 aprile che tre inserzioni erano state identificate su Alibaba, con almeno una che sembrava contenere dati di tutti i 500.000 partecipanti. I dati erano de-identificati, il che significa che non includevano nomi, indirizzi, dettagli di contatto o numeri NHS. Includevano invece genere, età, mese e anno di nascita, stato socio-economico, abitudini di vita e misure da campioni biologici. Con il supporto sia del governo del Regno Unito che di quello cinese, Alibaba ha rimosso le inserzioni prima che venissero effettuate vendite. Le tre istituzioni hanno visto revocato il loro accesso. Il Biobanco del Regno Unito ha sospeso l'accesso ai dati esterni mentre sviluppa una soluzione tecnica per prevenire il download di massa e si è riferito all'Ufficio del Commissario per le Informazioni.

      Cosa detiene il Biobanco del Regno Unito

      Il Biobanco del Regno Unito è una delle risorse di ricerca biomedica più preziose al mondo. Tra il 2006 e il 2010, ha reclutato 500.000 volontari di età compresa tra 40 e 69 anni in tutta la Gran Bretagna, che hanno acconsentito a condividere i propri dati sulla salute e a essere seguiti per almeno 30 anni. Il database ora contiene più di 10.000 variabili per partecipante, comprese le sequenze genomiche complete per tutti i 500.000 volontari (rilasciate completamente nel 2023), biomarcatori di sangue e urine, scansioni di imaging del cervello e del corpo, registri di diagnosi ospedaliere, dati di medici di base e questionari dettagliati sullo stile di vita. Circa 22.000 ricercatori in tutto il mondo hanno accesso ai dati per studi approvati su cancro, malattie cardiache, diabete, Alzheimer e altre condizioni. La risorsa ha generato migliaia di articoli sottoposti a revisione paritaria ed è considerata fondamentale per la medicina genomica moderna.

      Il 💜 della tecnologia dell'UE Le ultime novità dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! I dati sono condivisi sulla base che siano de-identificati. I ricercatori firmano accordi di trasferimento di materiale che vietano la ridistribuzione. Il modello dipende dal rispetto di quegli accordi. Ciò che è accaduto questa settimana è che tre istituzioni hanno violato l'accordo, e l'unico motivo per cui qualcuno lo sa è che sono stati abbastanza sfacciati da mettere in vendita i dati su un mercato pubblico.

      Il problema della ri-identificazione

      L'assicurazione del governo che i dati non contenevano nomi o indirizzi è accurata ma incompleta. Un'indagine del Guardian pubblicata a marzo ha scoperto che i dati de-identificati del Biobanco del Regno Unito erano stati esposti online decine di volte, con ricercatori che pubblicavano involontariamente set di dati parziali o completi su GitHub, la piattaforma di condivisione del codice. Tra luglio e dicembre 2025, il Biobanco del Regno Unito ha emesso 80 avvisi legali a GitHub richiedendo la rimozione. In un caso, un set di dati contenente milioni di diagnosi ospedaliere e date associate per più di 400.000 partecipanti è stato pubblicato apertamente.

      Il Guardian ha dimostrato che i dati non sono così anonimi come sembrano. Un giornalista è stato in grado di individuare i registri di diagnosi ospedaliere di un volontario utilizzando solo il mese e l'anno di nascita e i dettagli di un intervento chirurgico importante che aveva subito, informazioni che molte persone condividono nella conversazione quotidiana. Il dott. Luc Rocher, professore associato all'Oxford Internet Institute, ha detto al giornale che rimuovere gli identificatori "spesso non garantisce l'anonimato" e che conoscere il compleanno di una persona e una data di un evento medico specifico potrebbe essere sufficiente per identificare il loro record con alta fiducia. Una volta identificato, quel record potrebbe rivelare diagnosi psichiatriche, risultati di test HIV o storie di abuso di sostanze.

      Secondo il GDPR del Regno Unito, i dati sono realmente anonimizzati solo se gli individui non possono essere identificati "con mezzi ragionevolmente probabili". Con set di dati di questa dimensione e ricchezza, specialmente quelli contenenti sequenze genomiche complete, la questione non è se la ri-identificazione sia teoricamente possibile, ma se sia abbastanza difficile da costituire una protezione significativa. Il divario di governance nella sicurezza dei dati si sta ampliando man mano che i set di dati crescono e gli strumenti di intelligenza artificiale rendono più facile il cross-referencing. Gli esperti di privacy sostengono che l'approccio del Biobanco del Regno Unito, che tratta la de-identificazione come una salvaguardia sufficiente, è in contrasto con la realtà che molte persone condividono frammenti delle loro informazioni sanitarie online, e nell'era dei modelli di linguaggio di grandi dimensioni, quei frammenti possono essere ricomposti.

      Un modello, non un incidente

      Le inserzioni su Alibaba sono la manifestazione più drammatica di un problema strutturale che il Biobanco del Regno Unito ha gestito, con successo limitato, per mesi. L'indagine di marzo ha rivelato che le perdite di dati si erano verificate decine di volte, guidate dalla tensione tra due imperativi concorrenti: le riviste e i finanziatori richiedono sempre più ai ricercatori di pubblicare il codice che utilizzano per analizzare grandi set di dati, e quel codice a volte include i dati stessi, o abbastanza di essi da poter essere ricostruiti. Il Biobanco del Regno Unito vieta questo, ma l'applicazione dipende dalla scoperta delle violazioni dopo il fatto e dall'emissione di avvisi di rimozione.

      La violazione si inserisce anche in un modello più ampio di esposizione dei dati istituzionali in tutta Europa, che IBM ha identificato come la regione più presa di mira al mondo per gli attacchi informatici, con il Regno Unito che rappresenta il 27% di tutti gli attacchi nel continente. L'attacco ransomware Synnovis nel giugno 2024 ha interrotto i servizi di patologia in tutto il sud-est di Londra per settimane dopo che il gruppo Qilin ha pubblicato dati sui pazienti dei trust ospedalieri di Guy's e St Thomas' e King's College Hospital sul dark web. L'attacco ransomware Advanced Software nell'agosto 2022 ha bloccato i servizi NHS 111. WannaCry nel 2017 ha colpito 80 organizzazioni NHS. Ognuno di questi è stato un attacco informatico tradizionale, un avversario esterno

I dati della UK Biobank di 500.000 volontari messi in vendita su Alibaba dopo che le istituzioni di ricerca cinesi hanno violato gli accordi di accesso.

Altri articoli

Vendite Tesla e alti prezzi della benzina: l'interesse per i veicoli elettrici sta aumentando, ma il mercato statunitense è diminuito del 28% dopo la scadenza del credito d'imposta. Vendite Tesla e alti prezzi della benzina: l'interesse per i veicoli elettrici sta aumentando, ma il mercato statunitense è diminuito del 28% dopo la scadenza del credito d'imposta. I prezzi del gas negli Stati Uniti hanno superato i 4 dollari/gallone e l'interesse per i veicoli elettrici ha raggiunto i massimi del 2026, ma le vendite complessive di veicoli elettrici sono diminuite del 28% e Tesla ha mancato le stime di consegna. Il credito d'imposta ha avuto più importanza rispetto al prezzo alla pompa. OpenAI lancia GPT-5.5, il suo primo modello di base completamente riaddestrato da GPT-4.5. OpenAI lancia GPT-5.5, il suo primo modello di base completamente riaddestrato da GPT-4.5, rivolto alle imprese con codifica agentica, utilizzo del computer e lavoro conoscitivo. Gli Stati Uniti hanno appena detto alla Cina di smettere di copiare la propria intelligenza artificiale. Far rispettare ciò è la parte difficile. Gli Stati Uniti hanno appena detto alla Cina di smettere di copiare la propria intelligenza artificiale. Far rispettare ciò è la parte difficile. L'OSTP afferma che la Cina sta conducendo campagne su scala industriale per distillare i modelli di intelligenza artificiale statunitensi. OpenAI, Anthropic e Google stanno condividendo informazioni sulle minacce. Il Congresso sta redigendo sanzioni. La prima offerta di pensionamento volontario di Microsoft è un'indennità mascherata da beneficio La prima offerta di pensionamento volontario di Microsoft è un'indennità mascherata da beneficio Microsoft offre il pensionamento volontario a ~8.750 dipendenti statunitensi utilizzando una formula "Regola del 70", il suo primo programma di questo tipo in 51 anni, mentre reindirizza la spesa verso l'IA. Vendite Tesla e alti prezzi della benzina: l'interesse per i veicoli elettrici sta aumentando, ma il mercato statunitense è diminuito del 28% dopo la scadenza del credito d'imposta. Vendite Tesla e alti prezzi della benzina: l'interesse per i veicoli elettrici sta aumentando, ma il mercato statunitense è diminuito del 28% dopo la scadenza del credito d'imposta. I prezzi del gas negli Stati Uniti hanno superato i 4 dollari al gallone e l'interesse per i veicoli elettrici ha raggiunto i massimi del 2026, ma le vendite complessive di veicoli elettrici sono diminuite del 28% e Tesla ha mancato le stime di consegna. Il credito d'imposta è stato più importante della pompa. L'IA ha potenziato la forma peggiore di contenuti abusivi su internet e i guardiani non riescono a tenere il passo. L'IA ha potenziato la forma peggiore di contenuti abusivi su internet e i guardiani non riescono a tenere il passo. I dati del watchdog mostrano che l'IA generativa sta rendendo più veloce la creazione di immagini di abuso sessuale infantile, più difficile da controllare e molto più complicato per i regolatori contenerla.

I dati della UK Biobank di 500.000 volontari messi in vendita su Alibaba dopo che le istituzioni di ricerca cinesi hanno violato gli accordi di accesso.

I dati sulla salute di 500.000 volontari della Biobank del Regno Unito sono apparsi in vendita su Alibaba dopo che tre istituzioni di ricerca cinesi hanno violato i contratti di condivisione dei dati. L'ICO sta indagando.