I guardrail di Amazon non bastano per la privacy in radiologia

Il sistema impara dai pattern storici, ma la protezione agisce solo su input e output

Amazon celebra i suoi guardrail come una corazza per la privacy dei pazienti in radiologia. Ma se il sistema impara continuamente dai dati, chi protegge i pazienti da ciò che il sistema potrebbe imparare? Nel gennaio 2026 il colosso di Seattle ha pubblicato un blog su un assistente AI per reclutamento che filtra PII e blocca injection, lo stesso modello di guardrail applicato al workflow radiologico. Peccato che il workflow radiologico – basato su l’ottimizzazione del workflow radiologico con AI agents – gestisca 2,2 milioni di esami in 62 ospedali, con ritardi da 17,7 minuti per i casi urgenti e costi fino a 4,2 milioni di dollari. La tensione è già scritta.

L’apprendimento continuo: un buco nella corazza?

Il sistema, spiega Amazon, valuta simultaneamente fattori come specializzazione, carico di lavoro, affaticamento, complessità e urgenza. E apprende continuamente dai pattern storici. Tradotto: ogni riferimento a un paziente, ogni associazione tra diagnosi e nome, passa attraverso un modello che si aggiorna da solo. Chi garantisce che informazioni sensibili – orientamento sessuale, terapie in corso, dati genetici – non vengano incorporate nei pesi della rete? I guardrail di Amazon filtrano su base richiesta, ma l’apprendimento è persistente. Le autorità GDPR hanno già mostrato i denti su modelli che “ricordano” dati cancellati. Se il sistema impara da un caso di cancro al polmone di un dirigente e poi ottimizza l’assegnazione per un altro caso simile, quel “pattern” è ancora anonimo? In Europa, la Corte di Giustizia potrebbe chiedersi se il diritto all’oblio si applica anche a un peso neurale.

Guardrail sotto esame: cosa filtrano davvero?

Sul fronte inbound, i guardrail di Amazon Bedrock intercettano le richieste prima che raggiungano l’orchestratore e rifiutano tentativi di estrarre PII. Su quello outbound, scansionano le risposte degli agenti per cancellare PII emerse durante il recupero. Suona bene.

Ma la domanda è: cosa succede quando un agente, durante l’apprendimento, associa un pattern di immagini a un nome senza che questo passi da una richiesta esplicita? La protezione agisce a livello di input e output, non sull’“addestramento interno”. Un audit della FTC potrebbe chiedere di dimostrare che nessuna PII finisce nei log dei gradienti. Inoltre, Amazon stessa ammette che i guardrail devono essere configurati correttamente – e la configurazione è lasciata al cliente. In ambienti sanitari sotto pressione, con budget IT ridotti, quanti ospedali avranno il personale per testare ogni possibile leak?

HIPAA e Nova Act: conformità o facciata?

A fine 2025 Amazon ha annunciato che Amazon Nova Act è ora idoneo per HIPAA. Un passo necessario per operare in ambito sanitario. Ma l’idoneità significa solo che il servizio può essere utilizzato in contesti coperti da HIPAA se il cliente implementa i controlli di sicurezza per HIPAA – policy IAM, crittografia KMS, logging CloudTrail. Nessuna certificazione automatica. In pratica, Amazon mette i mattoni, ma l’ospedale deve costruire il muro. È lo stesso fornitore che nel 2024 si è visto sanzionare in Italia per pratiche commerciali scorrette sulla profilazione pubblicitaria. Se il sistema di workflow radiologico impara in continuo, la conformità HIPAA non copre ciò che il modello “impara” dai dati dei pazienti – copre solo come i dati vengono trasmessi e archiviati. I regolatori europei iniziano a chiedere trasparenza algoritmica: fino a che punto un modello può “generalizzare” senza violare il consenso informato del paziente? La risposta di Amazon – affidarsi a guardrail e policy IAM – suona più come un disclaimer che come una garanzia. E mentre il settore corre verso l’ottimizzazione dei workflow, una domanda resta sospesa: chi controllerà i guardrail che dovrebbero controllare gli agenti?