
La tua cartella clinica: l'IA del tuo medico scrive messaggi che possono ucciderti — e nessuno te lo dice
Ero al telefono con il CTO di un sistema sanitario l'anno scorso quando disse qualcosa che mi gelò il sangue.
"Adesso abbiamo GPT che redige i messaggi del portale pazienti. I medici lo adorano. Fa risparmiare loro ore ogni settimana. Fondamentalmente abbiamo completato l'adozione dell'IA."
Completato. Quella parola mi rimase nel petto come una pietra. Perché avevo appena finito di leggere uno studio — pubblicato su The Lancet Digital Health nell'aprile 2024, da ricercatori della Harvard Medical School, di Yale e dell'Università del Wisconsin — che raccontava una storia molto diversa. In quello studio, GPT-4 ha redatto 156 messaggi del portale pazienti all'interno di una cartella clinica elettronica simulata. Il 7,1% di quelle bozze rappresentava un rischio di danno grave. Una — lo 0,6% — rappresentava un rischio diretto di morte.
Ed ecco il numero che mi fece posare il caffè e rileggere il paragrafo tre volte: i venti medici di base in attività che hanno esaminato quelle bozze generate dall'IA hanno mancato in media il 66,6% degli errori pericolosi.
Il CTO non era negligente. Stava facendo ciò che stava facendo l'intero settore — avvolgere un modello linguistico generalista in un sottile strato software, puntarlo sui messaggi dei pazienti e confidare che gli occhi di un medico alla fine del processo avrebbero colto qualsiasi cosa andasse storta.
Ho passato gli ultimi anni a costruire in Veriprajna sistemi di IA progettati per essere ancorati — legati a conoscenza verificata, non solo alla probabilità statistica. E questo studio ha cristallizzato qualcosa che sostenevo da tempo in stanze dove la gente non voleva sentirlo: lo "human-in-the-loop" non è un meccanismo di sicurezza. È una preghiera.
Cosa succede quando l'IA scrive la risposta del tuo medico?
Lasciate che vi dipinga il quadro del perché questa tecnologia esiste in primo luogo, perché il bisogno è reale e urgente.
I medici di base negli Stati Uniti trascorrono in media 10 ore al mese solo per rispondere ai messaggi del portale pazienti. È lavoro non retribuito, tra l'altro — storicamente non fatturabile. È uno dei principali fattori scatenanti della crisi da burnout che sta spingendo i medici a lasciare del tutto la professione.
Così, quando sono emersi strumenti di IA capaci di redigere risposte empatiche, dettagliate e grammaticalmente impeccabili alle domande dei pazienti — risposte che spesso ottenevano un punteggio più alto sulla qualità percepita rispetto a ciò che scrivevano medici sovraccarichi di lavoro alle 23 — l'adozione fu rapida. MyChart di Epic ha integrato la redazione tramite IA. Le startup hanno raccolto centinaia di milioni. I sistemi sanitari hanno celebrato i guadagni di efficienza.
E lo capisco. Davvero. Il problema del burnout non è astratto per me. Mi sono seduto di fronte a medici che descrivevano la loro casella di posta come un secondo lavoro a tempo pieno, uno che li portava a provare risentimento verso gli stessi pazienti per aiutare i quali erano entrati in medicina.
Ma l'efficienza senza accuratezza in sanità non è innovazione. È negligenza in attesa di un querelante.
Lo studio del Lancet che avrebbe dovuto essere un allarme antincendio

Lo studio dell'aprile 2024 non era un piccolo progetto pilota o un articolo di opinione. Era una simulazione trasversale con clinici in attività che esaminavano bozze generate dall'IA in un ambiente EHR realistico. I ricercatori hanno deliberatamente inserito in alcune bozze degli errori — il tipo di errori che gli LLM producono realmente — e poi hanno osservato cosa accadeva.
Ciò che è accaduto è stato schiacciante.
Il 90% dei medici esaminatori ha dichiarato di fidarsi delle prestazioni dello strumento di IA. Hanno riscontrato che riduceva il loro carico cognitivo — l'80% era d'accordo su questo punto. Le bozze erano fluide, empatiche, ben strutturate. sembravano giuste.
Ma solo un medico su venti ha individuato tutte e quattro le bozze volutamente errate. Uno. E tra il 35% e il 45% delle bozze errate sono state inviate ai pazienti completamente non modificate.
Quando una bozza dell'IA si legge meglio di ciò che scriverebbe un medico stanco al termine di un turno di 12 ore, l'istinto non è quello di esaminarla attentamente. È quello di cliccare invia.
Questo fenomeno ha un nome: bias di automazione — la ben documentata tendenza degli esseri umani a fare eccessivo affidamento sui suggerimenti automatizzati, applicando un vaglio critico minore di quello che riserverebbero al proprio lavoro o a quello di un collega. I ricercatori del Lancet hanno rilevato che la correlazione era statisticamente significativa (p < 0,001): quanto migliore appariva in superficie la bozza dell'IA, tanto più probabile era che un medico mancasse un errore clinico nascosto.
Gli errori non erano refusi. Erano fallimenti del ragionamento clinico. L'IA ha fabbricato informazioni mediche. Ha fatto riferimento a protocolli obsoleti. Nel caso segnalato come rischio di morte, non ha detto a un paziente che manifestava un sintomo potenzialmente letale di recarsi al pronto soccorso — generando invece una risposta calma, rassicurante e fatalmente errata, come se non fosse urgente.
Continuo a tornare su quel caso specifico. Il messaggio probabilmente si leggeva magnificamente. Caloroso. Empatico. Dettagliato. E se un paziente avesse seguito quel consiglio, avrebbe potuto morire a casa aspettando un appuntamento del lunedì.
Perché il "medico nel processo decisionale" continua a fallire?
Ho avuto una discussione su questo con un collega che costruisce strumenti di IA clinica. La sua posizione era semplice: "Il medico esamina tutto. Quella è la rete di sicurezza."
Gli ho posto una domanda: "Se dessi a un medico una pila di 50 messaggi, 48 dei quali perfettamente a posto, e gli dicessi che li ha scritti tutti l'IA — quanto attentamente pensi che leggerebbe il messaggio numero 37?"
Fece una pausa.
Questo è il problema centrale. Il modello human-in-the-loop presuppone che l'attenzione umana sia costante, che la stanchezza non degradi la vigilanza e che la qualità della prosa dell'IA non influenzi la profondità dell'esame. Ognuna di queste ipotesi è sbagliata, e i dati del Lancet lo dimostrano.
Lo "human-in-the-loop" non è un meccanismo di sicurezza quando l'essere umano è stato psicologicamente predisposto a fidarsi della macchina.
C'è anche un problema architetturale più profondo. Gli LLM standard sono auto-regressivi — prevedono la parola successiva sulla base della probabilità statistica, non di un ragionamento medico strutturato. Non "capiscono" che un sintomo è urgente. Non "sanno" che una linea guida è stata aggiornata il mese scorso. Generano testo che suona come un clinico competente perché sono stati addestrati su milioni di esempi di clinici competenti che scrivono. Ma sembrare giusti ed essere giusti sono cose pericolosamente diverse in medicina.
Ho scritto approfonditamente di questa lacuna architetturale nella versione interattiva della nostra ricerca, ma la versione breve è: un LLM non ha un modello del paziente. Ha un modello del linguaggio. E le due cose non sono la stessa cosa.
La California ha appena reso questo un problema di tutti
Mentre la comunità di ricerca lanciava allarmi, il legislatore della California stava redigendo una legge. L'Assembly Bill 3030, firmato nel settembre 2024, entra in vigore il 1° gennaio 2025. Richiede a ogni struttura sanitaria, clinica e studio medico della California di notificare ai pazienti ogni volta che si utilizza l'IA generativa per comunicare informazioni cliniche.
I messaggi scritti necessitano di un'avvertenza in cima. I messaggi audio necessitano di una comunicazione verbale all'inizio e alla fine. Le comunicazioni video e chat necessitano di avvertenze visualizzate per tutta la loro durata.
Ed ecco dove la cosa si fa interessante — e dove penso che la maggior parte dei sistemi sanitari stia interpretando male la legge.
L'AB 3030 include un'esenzione: se un professionista abilitato ha "letto ed esaminato" la comunicazione generata dall'IA, gli obblighi di comunicazione non si applicano. Sulla carta, questo sembra un lasciapassare. Tieni il medico nel processo, salta l'avvertenza, mantieni l'illusione che ogni messaggio sia composto personalmente.
Ma abbina quell'esenzione ai dati del Lancet — 66% degli errori mancati, 35-45% delle bozze pericolose inviate senza modifiche — e hai una bomba a orologeria legale. Un sistema sanitario che sostiene che i propri medici hanno "letto ed esaminato" le bozze dell'IA mentre quegli stessi medici mancano dimostrabilmente due terzi degli errori non è conforme. È esposto.
Ho detto al CTO durante quella chiamata: "L'esenzione non è uno scudo. È un acceleratore di responsabilità — a meno che la tecnologia non aiuti attivamente l'esaminatore a cogliere ciò che il suo cervello è programmato per mancare."
Cosa c'è di sbagliato davvero nell'approccio del "wrapper dell'LLM"?
La maggior parte delle startup di IA sanitaria in questo momento sta costruendo quelli che io chiamo wrapper — sottili strati software che trasferiscono i dati dei pazienti a un'API commerciale di un LLM e restituiscono la risposta con qualche formattazione. Sono veloci da costruire, facili da presentare e fondamentalmente inadeguati per l'uso clinico.
Tre problemi rendono i wrapper pericolosi:
I limiti di conoscenza sono killer invisibili. Gli LLM pubblici sono addestrati su dataset statici. Non sanno della linea guida cambiata lo scorso trimestre, dell'interazione farmacologica segnalata il mese scorso o dei risultati di laboratorio del paziente di stamattina. Un wrapper che non integra dati clinici in tempo reale genera risposte nel vuoto — un vuoto di cui il medico che esamina la bozza potrebbe nemmeno rendersi conto.
La previsione dei token non è ragionamento clinico. Quando GPT-4 scrive "dovresti continuare la tua attuale terapia", non sta valutando la tua funzione renale, le tue interazioni farmacologiche o i tuoi ultimi esami del sangue. Sta prevedendo quali parole sono statisticamente probabili dopo le parole precedenti. In radiologia, oncologia, in qualsiasi ambito che richieda un'interpretazione diagnostica sfumata, questo divario tra fluidità linguistica e accuratezza medica è il punto in cui i pazienti si fanno male.
La sicurezza è un ripensamento. Molte interfacce di LLM generalisti non sono intrinsecamente conformi all'HIPAA. Senza un rigoroso mascheramento dei dati e un adeguato Business Associate Agreement, ogni messaggio del paziente instradato attraverso un'API commerciale è una potenziale violazione della privacy. E gli attacchi di prompt injection — in cui input avversari inducono il modello a rivelare il contesto interno o i dati dei pazienti — restano una vulnerabilità in gran parte non affrontata nelle architetture wrapper.
Come si costruisce un'IA che sia davvero sicura per i pazienti?

È qui che passo da critico a costruttore, perché la critica senza alternative è solo rumore.
In Veriprajna, stiamo sviluppando quella che io penso come IA ancorata — sistemi in cui il modello linguistico non è mai l'unica fonte di verità. È sempre legato a conoscenza clinica verificata ed è sempre trasparente su dove provengono le sue risposte.
Lo strato di recupero cambia tutto
La Retrieval-Augmented Generation (RAG) è la base. Prima che l'IA generi una singola parola della risposta a un paziente, recupera innanzitutto documenti pertinenti da un corpus verificato: le note cliniche del paziente, le attuali linee guida istituzionali, la letteratura sottoposta a revisione paritaria. Il modello poi condiziona la sua risposta su questo contesto recuperato, non solo sui suoi dati di addestramento.
Non è una piccola modifica. È un'architettura fondamentalmente diversa. Un sistema basato su RAG può citare le sue fonti — "In base ai tuoi risultati di laboratorio del 12 marzo e alle attuali linee guida ACC/AHA..." — il che trasforma l'esame del medico da "suona giusto?" a "la fonte è corretta?". La seconda domanda è enormemente più facile a cui rispondere, anche alle 23 di un giovedì.
I knowledge graph danno all'IA qualcosa che i wrapper non potranno mai dare: le relazioni
Lo strato successivo è i Medical Knowledge Graph — reti strutturate che rappresentano la conoscenza clinica non come testo ma come concetti interconnessi. Un knowledge graph non sa soltanto che la metformina è un farmaco per il diabete. Conosce il meccanismo d'azione della metformina, le sue controindicazioni nell'insufficienza renale, le sue interazioni con il mezzo di contrasto e la specifica soglia di eGFR al di sotto della quale dovrebbe essere sospesa.
Sistemi come MediGRAF usano database a grafo come Neo4j per combinare query strutturate precise con il recupero narrativo, raggiungendo il 100% di recall sulle query cliniche fattuali pur mantenendo standard di sicurezza per inferenze complesse. Quando ho visto per la prima volta quei numeri di recall, ero scettico — così abbiamo messo alla prova l'approccio contro i casi limite che avevano fatto inciampare ogni sistema basato su wrapper che avevamo valutato. Il grafo ha retto.
Per l'analisi tecnica completa di questi approcci architetturali — pipeline RAG, integrazione dei knowledge graph, modellazione a livello di concetto — consulta il nostro dettagliato documento di ricerca.
Il problema del testing di cui nessuno vuole parlare
Ricordo una demo di una startup di IA sanitaria — curata, impressionante, il genere di cosa che fa allungare la mano degli investitori verso il libretto degli assegni. L'IA ha redatto un messaggio per un paziente sulla gestione di una nuova diagnosi di diabete. Era caloroso, esauriente, concreto.
Ho chiesto: "Cosa succede se dico al sistema che sono allergico al farmaco che ha appena raccomandato?"
Il fondatore fece una pausa. "Il medico se ne accorgerebbe."
Eccola di nuovo. La preghiera.
Costruire un'IA clinica sicura richiede test avversari — non come un ripensamento, ma come un processo continuo e automatizzato. In Veriprajna, usiamo framework come Med-HALT (Medical Domain Hallucination Test), progettato specificamente per identificare le allucinazioni dell'IA sanitaria attraverso tecniche come il False Confidence Test, in cui il modello è sfidato a valutare una risposta errata suggerita casualmente, e il Fake Questions Test, che determina se il modello è in grado di identificare query mediche fabbricate.
Eseguiamo anche il red teaming automatizzato — attacchi simulati che sondano le vulnerabilità di prompt injection, i tentativi di estrarre dati dei pazienti attraverso domande indirette e i pattern di jailbreak che cercano di aggirare i guardrail clinici. Ogni giorno. Non ogni trimestre. Non prima di un rilascio. Ogni giorno.
Se il tuo sistema di IA non è stato attaccato da un red team questa settimana, non sai se è sicuro. Sai che era sicuro l'ultima volta che hai controllato.
Un risultato di ricerche recenti che mi perseguita: i modelli "specializzati in medicina" come MedGemma hanno raggiunto solo il 28-61% di accuratezza su determinati benchmark, mentre modelli di ragionamento più generali li hanno superati. L'implicazione è controintuitiva ma importante — la sicurezza nell'IA clinica emerge da sofisticate capacità di ragionamento, non solo dal fine-tuning specifico per dominio. Appiccicare un'etichetta medica su un modello non lo rende medicalmente sicuro.
Il panorama della responsabilità professionale sta cambiando sotto i piedi di tutti
Ecco una conversazione che ho avuto con tre diversi direttori legali di ospedali nell'ultimo anno, e va più o meno allo stesso modo ogni volta.
Io: "Se la vostra IA redige un messaggio che danneggia un paziente, e il medico esaminatore ha mancato l'errore, chi è responsabile?"
Loro: "Il medico. L'ha esaminato e approvato."
Io: "E se l'avvocato del querelante dimostrasse che il vostro sistema è stato progettato in modo da predisporre psicologicamente il medico a mancare gli errori — che la fluidità dell'IA ha creato un falso senso di sicurezza — questo cambia la vostra analisi?"
Silenzio.
Lo standard di cura in medicina si sta evolvendo per tenere conto dell'IA. I tribunali stanno iniziando a riconoscere che il mancato utilizzo di uno strumento di IA validato che avrebbe potuto prevenire un errore potrebbe costituire una violazione del dovere. Ma sta emergendo anche l'inverso: usare uno strumento di IA non validato, o usare uno strumento validato in un modo che comprometta la supervisione umana, crea una propria responsabilità.
Il model drift aggrava tutto questo. I sistemi di IA si degradano nel tempo man mano che vengono riaddestrati su nuovi dati. Il modello che ha superato la tua valutazione di sicurezza sei mesi fa potrebbe non essere il modello che genera i messaggi ai pazienti oggi. Senza registri di audit versionati che mostrino esattamente quale modello ha prodotto quale output e quali passaggi di ragionamento ha seguito, un sistema sanitario non ha alcuna posizione difendibile in tribunale.
Alcuni prodotti assicurativi più recenti per la responsabilità professionale stanno iniziando a coprire le rivendicazioni legate all'IA, ma di solito hanno massimali bassi e richiedono una prova documentata della supervisione umana — la stessa supervisione che lo studio del Lancet ha mostrato essere inaffidabile.
"Ma ai pazienti piacciono di più i messaggi dell'IA"
Le persone mi obiettano questo, e voglio affrontarlo onestamente perché i dati sono reali. Studi hanno dimostrato che i pazienti valutano i messaggi redatti dall'IA più in alto per empatia e dettaglio rispetto a quelli scritti dai medici. Non è cosa da poco. In un sistema sanitario in cui i pazienti si sentono inascoltati, un'IA che si prende il tempo di spiegare, di riconoscere, di rassicurare — questo ha un valore autentico.
Ma ecco cosa mostra anche la ricerca: i punteggi di soddisfazione dei pazienti diminuiscono quando i pazienti scoprono che c'era di mezzo l'IA. C'è un bias di automazione inverso in gioco — i pazienti danno valore alla convinzione che il loro medico sia personalmente coinvolto nella loro cura. La relazione clinica conta per loro, e si accorgono quando è stata mediata, anche se la mediazione ha prodotto un messaggio "migliore".
Questo mi dice qualcosa di importante su dove l'IA appartiene in questo flusso di lavoro. Non dovrebbe fare da ghostwriter al medico. Dovrebbe svolgere il lavoro strutturato, recuperabile e verificabile — estrarre i risultati di laboratorio, controllare le linee guida, segnalare le interazioni — così che il medico abbia la disponibilità di tempo per scrivere una risposta genuinamente personale al paziente che ne ha bisogno.
L'obiettivo dell'IA clinica non è sostituire la voce del medico. È restituire al medico il tempo per usarla.
Dove porta tutto questo
Non intendo concludere con un prudente "il tempo lo dirà" o con una velata promozione della mia azienda. Vi dirò ciò in cui credo.
L'attuale generazione di strumenti di messaggistica ai pazienti basati sull'IA causerà danni. Non potrebbe — causerà. La matematica è semplice: 7,1% di tasso di danno grave nelle bozze dell'IA, 66% di tasso di errori mancati dai medici esaminatori, moltiplicato per milioni di messaggi del portale pazienti al mese in tutto il sistema sanitario statunitense. Gli incidenti si accumuleranno. Le cause legali seguiranno. E la risposta normativa sarà brusca e punitiva, perché la prova che tutto ciò era prevedibile è già stata pubblicata su The Lancet.
I sistemi sanitari che eviteranno tutto questo non sono quelli che si muovono lentamente. Sono quelli che si muovono diversamente. Ciò significa architetture RAG ancorate a conoscenza medica verificata. Knowledge graph che danno all'IA un ragionamento clinico strutturato invece della previsione statistica delle parole. Test avversari che vengono eseguiti in modo continuativo, non cerimoniale. E interfacce di revisione progettate per contrastare il bias di automazione, non per sfruttarlo.
Abbiamo costruito Veriprajna per svolgere questo lavoro — non perché abbiamo visto un'opportunità di mercato, ma perché ho osservato persone intelligenti e ben intenzionate mettere in campo sistemi che potevano danneggiare i pazienti, e il divario tra ciò che stavano costruendo e ciò che le prove esigevano era inammissibile.
La prima regola della medicina è primum non nocere — anzitutto, non nuocere. Abbiamo passato gli ultimi due anni a costruire un'IA che assume quella regola come vincolo ingegneristico, non come slogan di marketing. La tecnologia per fare questo nel modo giusto esiste. La ricerca che dimostra che l'approccio attuale è pericoloso esiste. L'unica domanda che resta è se il settore agirà sulla base delle prove prima che le prove agiscano sul settore.