Ricordate quando, in occasione dell’intervento del Garante della Privacy su OpenAI, evidenziai il rischio che i dati che noi stessi immettevamo in ChatGPT potessero essere divulgati senza il nostro consenso e finire nelle mani sbagliate? Purtroppo la cosa si è verificata. Anzi, si sta verificando da tempo. Tra giugno 2022 e maggio 2023 sono state trovate in vendita nel dark web, la parte nascosta di Internet, oltre 101.100 credenziali di account di ChatGPT, cioè e-mail e password di utenti che, per curiosità, lavoro o divertimento avevano interrogato il chatbot basato sull’intelligenza artificiale. Con questo “bottino”, i criminali informatici possono innanzitutto accedere ai dati presenti nelle nostre conversazioni salvate e quindi apprendere molte cose su di noi, anche quelle più private e intime. Oppure possono tentare la sorte e provare ad accedere, usando le nostre password, ad altre piattaforme e persino ai nostri conti bancari.
La stragrande maggioranza degli account è stata trafugata dal software malevolo Raccoon, seguito da Vidar e RedLine. Lo hanno fatto attraverso strumenti che si chiamano “information stealers”: sempre più popolari tra i cybercriminali, consentono di rubare password, cookies, dati di carte di credito e altre informazioni direttamente dai browser e anche dai portafogli di criptovalute.
L’Italia, secondo l’azienda di sicurezza informatica che ha diffuso la notizia, non sarebbe tra i Paesi più colpiti. Al primo posto c’è l’India, con ben 12.632 credenziali rubate, seguita da Pakistan, Brasile, Vietnam, Egitto, Stati Uniti, Francia, Marocco, Indonesia e Bangladesh. Ma può toccare anche a noi, perciò non dobbiamo assolutamente abbassare la guardia.
L’avevo scritto già ad aprile e lo ripeto: è un problema enorme se ChatGPT raccoglie a strascico dati su chiunque dal web senza seguire una precisa normativa. Bisogna capire che fine fanno i dati che noi stessi inseriamo dialogando con il chatbot. Per esempio, sarebbe utile sapere se nel mucchio ci sono anche le domande che rivolgiamo alla macchina, il cosiddetto prompting. Queste domande possono contenere informazioni molto riservate, che non vogliamo assolutamente rendere pubbliche. In altre parole: può capitare che raccontiamo a ChatGPT i fatti nostri. Il rischio è che, un domani, episodi personali vengano associati automaticamente al nostro nome sul web solo perché abbiamo inconsapevolmente immesso noi stessi quelle informazioni nel mare magnum di OpenAi.
La situazione è allarmante. Servono regole precise e interventi normativi per evitare ulteriori danni.
