Il recentissimo uso diffuso delle tecnologie basate sull’Intelligenza Artificiale ha aperto il dibattito sull'impatto che queste possono avere sulla privacy degli utenti.
In questo contesto si inserisce ChatGPT, il chatbot di OpenAI recentemente bloccato in Italia dal Garante della Privacy1.
Esploriamo dunque le ragioni del blocco di ChatGPT in Italia, raccontando come il Garante della Privacy italiano ha richiesto a OpenAI di adeguarsi alla normativa europea GDPR a tutela della privacy, poiché sembra che l'azienda proprietaria di ChatGPT non stia garantendo la tutela della privacy degli utenti, soprattutto nell'ambito della raccolta e conservazione dei dati personali.
Proseguiamo approfondendo le discussioni in corso tra OpenAI e il Garante della Privacy italiano: OpenAI è stata invitata a garantire il rispetto della privacy degli utenti e i diritti dei minori, prevedendo l'implementazione di un'informativa trasparente e accessibile. Eventuali utenti inoltre, dovranno dichiarare di essere maggiorenni per poter usufruire del servizio ChatGPT.
Infine, indaghiamo le iniziative messe in atto da OpenAI per migliorare la sicurezza del proprio chatbot. L'azienda ha tra le altre cose lanciato il Bug Bounty Program, un programma di collaborazione atto a individuare eventuali bug e falle nei propri sistemi. La ricompensa per i partecipanti al programma va da un minimo di 200 $ fino a ben 20.000 $ per scoperte di particolare gravità.
Andiamo dunque a vedere meglio le connessioni tra Intelligenza Artificiale e Privacy, riassumendo la querelle tra OpenAI e Chat GPT e mettendo in evidenza le iniziative implementate da OpenAI per garantire la sicurezza dei suoi utenti.
ChatGPT (GPT sta per Generative Pre-trained Transformer) è un chatbot di Intelligenza Artificiale sviluppato da OpenAI e lanciato il 30 novembre 20222. È basato su una famiglia di Large Language Models (LLM) – programmi informatici per l'elaborazione del linguaggio naturale (Natural Language Processing) – ed è stato perfezionato utilizzando il Machine Learning.
Questi modelli vengono addestrati su enormi quantità di dati disponibili online, per generare risposte alle domande degli utenti.
Il potenziale di ChatGPT e di strumenti simili che stanno man mano apparendo sul mercato3 è a dir poco enorme: dopo il rilascio di ChatGPT, la valutazione di OpenAI è stata stimata in 29 miliardi $ nel 20234!
Il grande successo di ChatGPT ha però incontrato un primo ostacolo alla sua diffusione in Italia: pochi giorni fa, il Garante per la Protezione dei Dati Personali ha disposto con effetto immediato lo stop a ChatGPT finché non sarà assicurato il rispetto della disciplina della privacy così come è esposta nel GDPR – il Regolamento Generale sulla Protezione dei Dati vigente nell’Unione Europea.
Il Garante ha simultaneamente aperto un’istruttoria nei confronti di OpenAI, la società U.S.A. che ha sviluppato e gestisce la piattaforma, rilevando che manca un’informativa agli utenti e a tutti gli interessati sul modo in cui i cui dati vengono raccolti da OpenAI.
È emersa inoltre l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali.
Inoltre, sebbene OpenAI non consenta di utilizzare il servizio ai minori di 13 anni, secondo il Garante i filtri per verificare l’età non sono sufficienti. Ciò vuol dire che i minori sono esposti a risposte che non sono considerate idonee alla fascia anagrafica. Il Garante ha dunque concesso a OpenAI un breve periodo di tempo per comunicare e implementare le misure che intende intraprendere per adeguarsi alle richieste.
In caso contrario, le verrà comminata una multa di 20 milioni €, o fino al 4% del fatturato globale annuo.
Quando strumenti basati sull’AI funzionano produttivamente, aprono un mondo completamente nuovo di svolgere il proprio lavoro, riducendo drasticamente il tempo dedicato ad attività ripetitive e spostando l’attenzione delle risorse aziendali su attività più creative e a maggior valore aggiunto.
È probabilmente questa una delle ragioni per cui il Garante della Privacy italiano ha sottolineato come non vi sia alcuna intenzione di porre un freno allo sviluppo dell’AI5, a seguito di un ulteriore incontro con OpenAI tenutosi in video conferenza il 5 aprile 2023.
All’incontro, a cui ha preso parte in apertura anche Sam Altman, CEO di OpenAI, erano presenti, oltre al Collegio del Garante (Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza), Che Chang, Deputy General Counsel di OpenAI, Anna Makanju, responsabile Public Policy e Ashley Pantuliano, Associate General Counsel.
OpenAI ha confermato in quella sede la volontà di collaborare con l’Autorità italiana, con l’obiettivo di arrivare a una positiva soluzione delle criticità rilevate dal Garante riguardo a ChatGPT.
La partita dunque sembra ancora aperta: entro il 30 aprile OpenAi dovrà adeguare il trattamento dei dati personali raccolti tramite ChatGPT agli standard richiesti dal Garante.
Le misure che OpenAI dovrà prendere a strettissimo giro sono essenzialmente due.
Per prima cosa, la società statunitense dovrà predisporre un’informativa in cui siano illustrate modalità e logica alla base del trattamento dei dati necessari al funzionamento di ChatGPT nonché i diritti attribuiti agli utenti e agli interessati non utenti. L’informativa dovrà essere facilmente accessibile e collocata in una posizione che ne consenta agevolmente la lettura prima di procedere all’uso del servizio per gli utenti che si collegano dall’Italia.
La seconda condizione è relativa alla base giuridica del trattamento dei dati personali degli utenti per l’addestramento degli algoritmi che fanno funzionare ChatGPT: il Garante della Privacy ha ordinato a OpenAI di eliminare ogni riferimento all’esecuzione di un contratto e di indicare il consenso o il legittimo interesse quale presupposto per utilizzare tali dati, fermo restando l’esercizio dei propri poteri di verifica e accertamento. In seguito a questa scelta, chi vorrà utilizzare ChatGPT dovrà dichiarare di essere maggiorenne.
L’autorità ha poi avanzato delle richieste a medio termine: si richiede a OpenAI che gli utenti possano essere messi nelle condizioni di chiedere la rettifica dei dati personali che li riguardano qualora questi fossero generati in modo inesatto da ChatGPT, o che si possa procedere alla cancellazione degli stessi.
Ancora, a chi usufruisce del servizio dovrà essere data la possibilità di escludere i propri dati da quelli che vengono usati per l’addestramento degli algoritmi.
Inoltre, entro il 31 maggio 2023, il Garante ha ordinato l’implementazione di una campagna di informazione su radio, televisione, giornali e web per informare le persone sull’uso dei loro dati personali ai fini dell’addestramento degli algoritmi.
Infine, entro il 30 settembre 2023, dovrà anche essere implementato un sistema che permetta di verificare l’età di chi intende usare il bot6.
Nel frattempo OpenAI ha deciso di lanciare il Bug Bounty Program, per invitare la community a ricercare e individuare i bug presenti nei loro sistemi e prodotti, inclusa ChatGPT.
OpenAI ha annunciato di aver stretto una partnership con la piattaforma di sicurezza informatica di crowdsourcing Bugcrowd.
Le ricompense per quanti parteciperanno al programma e individueranno bug e altre falle nei sistemi partono da un minimo di 200$ per «risultati di bassa gravità», fino a un massimo di 20.000$ per «scoperte eccezionali».
A rimanere esclusi sono però i premi per il jailbreak di ChatGPT o per aver generato codici o testi dannosi: «I problemi relativi al contenuto dei prompt e delle risposte del modello sono rigorosamente al di fuori dell’ambito e non saranno ricompensati», si legge nel comunicato di OpenAI7.
Questa scelta è dovuta al fatto che il jailbreak permetterebbe agli utenti di poter aggirare i filtri di sicurezza e di peggiorare ulteriormente la situazione attuale, inserendo eventuali scenari pericolosi per la sicurezza individuale e sociale.
Il programma bug bounty di OpenAI non è il primo nel suo genere.
Anche altre aziende hanno impiegato esperti per scovare anomalie e bug nei loro sistemi: tra queste ci sono società del calibro di Amazon, Coinbase e Google.
La stagione della caccia è aperta!
L'uso dell'Intelligenza artificiale sta crescendo rapidamente, con l'arrivo di nuovi software come ChatGPT di OpenAI che stanno rivoluzionando il modo in cui le persone interagiscono con la tecnologia per migliorare il proprio lavoro.
Tuttavia, il dibattito sulla privacy degli utenti sta diventando sempre più acceso, e la decisione del Garante della Privacy italiano di bloccare ChatGPT in Italia ha messo in evidenza le criticità legate alla raccolta e alla conservazione dei dati.
È evidente che l'AI ha il potenziale per rivoluzionare il nostro modo di vivere e lavorare, ma lo sviluppo di tali tecnologie deve andare di pari passo con la tutela dei diritti degli utenti e il rispetto della normativa sulla privacy.
1. Vedi l’articolo di Open intitolato Stop a ChatGPT in tutta Italia, il Garante della Privacy blocca l’app d’intelligenza artificiale: «Non tutela i dati personali né i minori»
2. Vedi la pagina di ChatGPT su Wikipedia
3. Vedi l’articolo di Wall Street Italia intitolato Arriva il Chat GPT cinese
4. Vedi l’articolo di Business Insider intitolato ChatGPT creator OpenAI is in talks to sell shares in a tender offer that would double the startup's valuation to $29 billion
5. Vedi il comunicato stampa del Garante della Privacy italiano del 6 aprile 2023 intitolato ChatGPT: OpenAI collabora con il Garante privacy con impegni per tutelare gli utenti italiani
6. Tutte queste informazioni sono reperibili sul comunicato stampa del Garante della Privacy emesso il 12 aprile 2023 e intitolato ChatGPT: Garante privacy, limitazione provvisoria sospesa se OpenAI adotterà le misure richieste. L’Autorità ha dato tempo alla società fino al 30 aprile per mettersi in regola. Questo comunicato riassume il Provvedimento dell’11 aprile 2023 del Garante.
7. Vedi i dettagli del programma di OpenAI