ChatGPT bloccato dal Garante della privacy: raccolta illecita di dati personali

ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane, lo scorso 20 marzo aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento.

Nel provvedimento, il Garante privacy rileva in ChatGPT la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma.

Secondo le verifiche effettuate dal Garante Privacy, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto.

Nonostante, secondo i termini pubblicati da OpenAI, il servizio sia rivolto ai maggiori di 13 anni, l’Autorità evidenzia come l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti esponga i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

OpenAI non ha una sede nell’Unione Europea ma ha designato un rappresentante nello Spazio economico europeo, in Irlanda; ora avrà 20 giorni di tempo per comunicare le misure intraprese in attuazione di quanto richiesto dal Garante, altrimenti scatterà una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.

Il Garante per la privacy italiano è il primo al mondo ad avere intrapreso una azione contro ChatGPT. Ora si attende la fine di aprile, quando ci sarà l’incontro di tutti i garanti privacy dell’Unione europea e il tema del provvedimento italiano sarà sicuramente dibattuto. Nel frattempo, però, sarà scaduto il termine di 20 giorni imposto dall’autorità e bisognerà vedere quali iniziative avrà preso OpenAI.

La reazione di OpenAI

Nella stessa sera del 31 marzo, OpenAI ha comunicato di avere sospeso il servizio per l’Italia. Inutile provare a cercare delle scorciatoie, non è possibile  connettersi al chatbot mediante VPN (virtual private network), reti che consentono la connessione passando su altre reti fuori dall’Italia, bypassando così il blocco.

Era stata l’azienda stessa, sul suo blog lo scorso 24 marzo, a denunciare la perdita di dati degli utenti.

“Abbiamo portato ChatGPT offline all’inizio di questa settimana (20 marzo, ndr) a causa di un bug in una libreria open source che ha permesso ad alcuni utenti di vedere i titoli dalla cronologia chat di un altro utente attivo. È anche possibile che il primo messaggio di una conversazione appena creata fosse visibile nella cronologia chat di qualcun altro se entrambi gli utenti erano attivi nello stesso momento. Il bug è ora corretto. Siamo stati in grado di ripristinare sia il servizio ChatGPT che, successivamente, la sua funzione di cronologia chat, ad eccezione di alcune ore di cronologia. Come promesso, stiamo pubblicando di più Dettagli tecnici di questo problema di seguito“, si legge sul blog.

OpenAI ammetteva anche la perdita di dati degli abbonati al servizio a pagamento.

“Dopo un’indagine più approfondita, abbiamo anche scoperto che lo stesso bug potrebbe aver causato la visibilità involontaria delle informazioni relative al pagamento dell’1,2% degli abbonati ChatGPT Plus che erano attivi durante una specifica finestra di nove ore. Nelle ore precedenti alla messa offline di ChatGPT lunedì, è stato possibile per alcuni utenti vedere il nome e il cognome di un altro utente attivo, l’indirizzo e-mail, l’indirizzo di pagamento, le ultime quattro cifre (solo) di un numero di carta di credito e la data di scadenza della carta di credito. I numeri completi delle carte di credito non sono stati esposti in nessun momento. Riteniamo che il numero di utenti i cui dati sono stati effettivamente rivelati a qualcun altro sia estremamente basso”, affermava OpenAI sul proprio blog.

Infine, l’appello ad avere fiducia.

“Tutti in OpenAI si impegnano a proteggere la privacy degli utenti e a mantenere i loro dati al sicuro. È una responsabilità che prendiamo incredibilmente sul serio. Sfortunatamente, questa settimana non abbiamo rispettato questo impegno e le aspettative dei nostri utenti. Ci scusiamo ancora con i nostri utenti e con l’intera comunità ChatGPT e lavoreremo diligentemente per ricostruire la fiducia”, conclude OpenAI nel blog.

Rassicurazioni che, evidentemente, non sono bastate al Garante per la privacy italiano, che ha disposto il blocco temporaneo degli accessi al chatbot dall’Italia. Provvedimento al quale OpenAI si è subito adeguata. “Abbiamo disabilitato ChatGPT per gli utenti in Italia secondo la richiesta del Garante italiano. Siamo impegnati a proteggere la privacy delle persone e riteniamo di aver rispettato il Gdpr e altre leggi sulla privacy”, ha risposto l’azienda.

Il Garante blocca ChatGPT in Italia: il commento del MOIGE

“Sono moltissimi gli utenti che negli ultimi mesi stanno usando questa tecnologia, molti dei quali sono minori, incuriositi dall’intelligenza artificiale e dalla possibilità di creare testi ed immagini con pochi clic2, commenta Antonio Affinita, Direttore Generale del MOIGE – Movimento Italiano Genitori. “La mancanza di chiarezza, però, ci impone una maggiore cautela, soprattutto nel caso di minori. Siamo pienamente d’accordo con la posizione del garante per la protezione dei dati personali, e l’auspicio è che le istituzioni e tutti gli organi competenti accolgano l’appello e avviino le dovute verifiche, affinché chi scelga di utilizzare queste tecnologie possa farlo con consapevolezza, senza veder violati i propri diritti o veder utilizzati i propri dati personali in modo poco chiaro. Servono subito regole, norme ed un’informazione più chiara”.