Una nuova ricerca condotta da team nel Regno Unito e in Italia dimostra che gli assistenti AI integrati nei browser web, tra cui ChatGPT, stanno raccogliendo informazioni personali sensibili da siti che molti ritengono privati.
I ricercatori hanno esaminato dieci browser ed estensioni abilitati all'intelligenza artificiale più diffusi, tra cui ChatGPT di OpenAI, Microsoft Copilot e Merlin AI per Google Chrome, e li hanno sottoposti a test sia su siti web aperti che su portali protetti da password, come il sistema di cartelle cliniche di un'università.
I siti privati hanno esposto informazioni a ChatGPT e strumenti simili
I risultati dello studio sono stati scioccanti. Hanno rivelato che nove dei dieci strumenti hanno raccolto e inviato dati privati, tra cui anamnesi mediche, dati bancari, trascrizioni accademiche e persino numeri di previdenza sociale.
Perplexity AI era l'unico strumento che non sembrava raccogliere tali dati.
"Questi assistenti hanno un livello di accesso alla nostra attività online che non ha eguali in assoluto", ha affermato Anna Maria Mandalari, autrice principale dello studio e professoressa associata presso l'University College di Londra.
"Rendono le cose più veloci e facili, ma le nostre prove dimostrano che a volte ciò avviene a scapito della privacy e, in alcuni casi, può violare la legge".
Mandalari.
Per eseguire i test, il team ha imitato la navigazione quotidiana, lo shopping online, il controllo dei risultati medici, l'accesso ai conti bancari e ha poi posto agli assistenti domande di approfondimento come: qual è stato il motivo dell'ultima visita medica?
Intercettando e decodificando i dati che transitano tra il browser dell'utente, i server dell'azienda di intelligenza artificiale e i tracker di terze parti, i ricercatori hanno scoperto che alcuni assistenti raccoglievano e trasmettevano comunque contenuti a pagina intera da siti presumibilmente sicuri.
Per quanto riguarda Merlin, i ricercatori hanno scoperto un mix di dati sensibili , tra cui cartelle cliniche, dati bancari, risultati di esami e numeri di previdenza sociale dei contribuenti.
L'assistente AI di Peers Sider e TinaMind sono stati visti inviare richieste agli utenti a Google Analytics, oltre a identificare informazioni essenziali come gli indirizzi IP. Questi dati potrebbero essere utilizzati per pubblicità mirate e monitoraggio cross-site.
Secondo i ricercatori, altri assistenti come Copilot e Monica conservavano silenziosamente registri completi delle chat nel browser anche dopo la fine delle sessioni.
Quando si accedeva tramite determinate integrazioni del browser, ChatGPT, creato da OpenAI, profilava gli utenti in base alla loro età percepita, al livello di reddito, al sesso e agli interessi, quindi personalizzava le sue risposte di conseguenza.
"Non esiste un modo chiaro per far sapere agli utenti dove finiscono queste informazioni una volta raccolte", ha avvertito Mandalari.
Di recente, il CEO di OpenAI, Sam Altman, ha messo in guardia gli utenti dai problemi di privacy, affermando che dovrebbero essere cauti quando utilizzano chatbot come ChatGPT per determinati scopi, poiché non offrono alcune garanzie di privacy come quelle offerte, ad esempio, da un vero medico o avvocato.
Gli strumenti di intelligenza artificiale potrebbero violare le leggi?
La ricerca è stata condotta negli Stati Uniti, ma il team ha concluso che alcuni assistenti AI probabilmente violavano le leggi sulla privacy sia americane che europee. Negli Stati Uniti, alcuni casi sembravano violare le norme a tutela delle informazioni mediche, mentre nell'UE i risultati hanno suggerito potenziali violazioni del Regolamento generale sulla protezione dei dati (GDPR), che prevede rigidi limiti all'archiviazione e alla condivisione dei dati personali.
Anche quando le aziende pubblicano informative sulla privacy, i dettagli in piccolo possono essere sorprendenti. La politica di Merlin per l'UE e il Regno Unito, ad esempio, elenca nomi, recapiti, credenziali di accesso, registri delle transazioni, informazioni di pagamento e qualsiasi input digitato come dati che potrebbe raccogliere. Afferma che questi dati potrebbero essere utilizzati per la personalizzazione, l'assistenza clienti o la conformità legale.
Sider fornisce dichiarazioni simili, aggiungendo che i dati degli utenti possono essere analizzati per ottenere "intuizioni" o per contribuire allo sviluppo di nuovi servizi. Indica Google, Cloudflare e Microsoft come possibili destinatari dei dati, assicurando al contempo che i partner sono vincolati da contratti per la tutela delle informazioni personali.
I termini di OpenAI confermano che i dati degli utenti del Regno Unito e dell'UE vengono archiviati al di fuori di tali regioni, sebbene l'azienda affermi che i diritti degli utenti non sono interessati.
"Questi prodotti vengono pubblicizzati come strumenti per rendere l'uso del web più veloce e intelligente", ha affermato. "Ma ciò che accade sotto il cofano è spesso una registrazione dettagliata della tua vita privata online".
Con le autorità di regolamentazione che inaspriscono le norme sulla protezione dei dati e le aziende tecnologiche che si affrettano a integrare l'intelligenza artificiale in ogni angolo di Internet, è probabile che l'attenzione su questi strumenti aumenti.
Per ora, i ricercatori raccomandano cautela. Mentre Perplexity AI ha evitato le insidie della privacy nei suoi test, la maggior parte degli altri non ci è riuscita. "Se permetti a un'IA di vedere tutto ciò che fai online", ha detto Mandalari, "dovresti presumere che da qualche parte, in qualche modo, quelle informazioni vengano archiviate e forse persino condivise".
Fatti notare dove conta. Pubblicizza su Cryptopolitan Research e raggiungi gli investitori e gli sviluppatori di criptovalute più abili.