20,9 mld dolarów strat po wyciekach danych: co musisz wiedzieć, zanim poprosisz AI o poradę zdrowotną

Kradzież karty kredytowej można stosunkowo łatwo odwrócić. Wycieku danych medycznych już nie. Tylko w USA straty konsumentów z kradzieży tożsamości po zaledwie czterech głośnych wyciekach z firm handlujących danymi (tzw. brokerów danych) szacowane są na 20,9 miliarda dolarów [raport Joint Economic Committee Senatu USA, 2026]. Mimo to coraz więcej osób pyta chatboty AI o objawy chorób, wyniki badań i możliwe metody leczenia.

Trend ten dostrzegają również najwięksi dostawcy technologii, którzy coraz mocniej inwestują w rozwiązania wykorzystujące generatywną sztuczną inteligencję w ochronie zdrowia. Narzędzia takie jak Copilot Health, ChatGPT Health czy asystent Health AI Amazona mają w przyszłości pomagać użytkownikom w interpretacji dokumentacji medycznej oraz zadawaniu pytań dotyczących objawów, wyników badań czy dostępnych metod leczenia. Choć tego typu rozwiązania nie są jeszcze powszechnie dostępne w Polsce, wielu internautów już dziś wykorzystuje ogólne chatboty AI do analizowania objawów, interpretowania wyników badań lub poszukiwania informacji o leczeniu.

Nie jest to zaskakujące. W sytuacji, gdy system ochrony zdrowia zmaga się z niedoborem specjalistów i długimi terminami oczekiwania na wizyty, chatbot dostępny przez całą dobę staje się dla wielu osób pierwszym źródłem informacji. Problem w tym, że wygoda nie zawsze idzie w parze z bezpieczeństwem.

Badanie Uniwersytetu Oksfordzkiego opublikowane w czasopiśmie „Nature Medicine" wykazało, że użytkownicy często nie wiedzieli, jakie informacje powinni przekazać modelowi AI, aby ten właściwie zinterpretował ich sytuację. W eksperymencie uczestnicy po rozmowie z chatbotem poprawnie rozpoznawali stan zdrowia jedynie w około jednej trzeciej przypadków, a właściwą decyzję co do dalszych kroków podejmowało zaledwie 43 proc. z nich. Naukowcy zaobserwowali również, że chatboty potrafiły udzielać znacząco różnych odpowiedzi na pytania różniące się jedynie kilkoma słowami. Dodatkowo modele mieszały trafne rekomendacje z niekorzystnymi poradami, a uczestnicy badania mieli trudności z ich odróżnieniem.

Eksperci zwracają jednak uwagę, że ryzyko nie ogranicza się wyłącznie do błędnych odpowiedzi. Równie istotną kwestią jest prywatność informacji przekazywanych chatbotom.

Wiele osób traktuje rozmowę z chatbotem o zdrowiu tak, jak rozmowę z lekarzem. To błędne założenie. W przypadku wielu konsumenckich usług AI użytkownik nie korzysta z narzędzia objętego tajemnicą medyczną, lecz z komercyjnej aplikacji, której zasady przetwarzania danych mogą znacząco różnić się od standardów obowiązujących w ochronie zdrowia

Kamil Sadkowski

analityk cyberbezpieczeństwa ESET

W praktyce oznacza to, że informacje wpisywane do publicznie dostępnego chatbota mogą być przechowywane, analizowane lub wykorzystywane do dalszego rozwoju modeli AI, w zależności od zasad obowiązujących w danej usłudze. W przypadku incydentu bezpieczeństwa lub wycieku danych informacje te mogą również trafić w niepowołane ręce.

Dane medyczne są szczególnie atrakcyjne dla cyberprzestępców. W przeciwieństwie do numeru karty płatniczej czy hasła nie można ich zmienić. Mogą być wykorzystywane do kradzieży tożsamości, wyłudzania usług medycznych, prób szantażu lub prowadzenia precyzyjnie ukierunkowanych kampanii phishingowych.

Historia choroby, wyniki badań czy informacje o leczeniu należą do najbardziej wrażliwych danych, jakie można udostępnić online. Przestępca, który zna szczegóły dotyczące stanu zdrowia ofiary, może wykorzystać tę wiedzę do przygotowania wyjątkowo wiarygodnych wiadomości phishingowych lub prób wyłudzenia kolejnych informacji

Kamil Sadkowski

analityk cyberbezpieczeństwa ESET

Eksperci wskazują, że ryzyko rośnie wraz z liczbą podmiotów przetwarzających dane użytkownika. Im więcej firm ma dostęp do informacji o zdrowiu, tym więcej potencjalnych punktów, w których może dojść do błędu, nadużycia lub incydentu bezpieczeństwa. Sytuację komplikuje również fakt, że wiele konsumenckich narzędzi AI nie podlega tak rygorystycznym regulacjom jak placówki ochrony zdrowia.

Dlatego przed skorzystaniem z chatbota AI w sprawach zdrowotnych warto poświęcić chwilę na sprawdzenie polityki prywatności oraz zasad przetwarzania danych. Użytkownicy powinni zwrócić uwagę przede wszystkim na to, czy przekazywane informacje mogą być wykorzystywane do trenowania modeli oraz czy są udostępniane podmiotom trzecim

Kamil Sadkowski

analityk cyberbezpieczeństwa ESET

Aby ograniczyć ryzyko, warto przede wszystkim zachować ostrożność w udostępnianiu informacji zdrowotnych chatbotom AI. Eksperci ESET wskazują na kilka podstawowych zasad:

• nie przesyłaj pełnej dokumentacji medycznej ani skanów wyników badań bez wcześniejszego zapoznania się z polityką prywatności usługi
• nie podawaj danych identyfikacyjnych (PESEL, adres, pełne imię i nazwisko), które w połączeniu z informacją o chorobie pozwalają podszyć się pod pacjenta i wyłudzić świadczenia
• sprawdź w ustawieniach, czy Twoje rozmowy są wykorzystywane do uczenia sztucznej inteligencji i czy możesz usunąć ich historię
• zwracaj uwagę, czy Twoje dane mogą być przekazywane innym firmom
• pamiętaj, że skany i zdjęcia wyników mogą zawierać dodatkowe informacje, np. datę, lokalizację oraz dane placówki i lekarza
• ograniczaj przekazywane informacje do niezbędnego minimum
• traktuj odpowiedzi chatbota jako źródło informacji pomocniczej, a nie diagnozę medyczną
• zakładaj, że każda informacja wpisana do publicznego narzędzia może zostać ujawniona w razie wycieku danych

Sztuczna inteligencja może być pomocnym narzędziem do zdobywania wiedzy i lepszego zrozumienia informacji medycznych. Nie zastępuje jednak lekarza ani profesjonalnej diagnostyki, a korzystanie z niej wymaga takiej samej ostrożności jak w przypadku każdego innego narzędzia przetwarzającego wrażliwe dane.