ChatGPT ha raggiunto una popolarità incredibile e inaspettata poco dopo il suo lancio a novembre 2022.Lo strumento consente agli utenti di digitare prompt per generare risposte simili a quelle umane utilizzando un modello di linguaggio alimentato da grandi quantità di dati. Gli utenti lo hanno usato per scrivere saggi scolastici, testi di canzoni e persino generare righe di codice per il software. A gennaio 2023, a soli due mesi dal suo lancio, ChatGPT aveva registrato 100 milioni di utenti attivi mensili, rendendola l’applicazione consumer in più rapida crescita nella storia. TikTok ha infatti impiegato nove mesi per raggiungere 100 milioni di utenti, con Instagram che ha raggiunto la stessa popolarità dopo due anni e mezzo.

Nelle ultime settimane ci siamo svegliati con una notizia intrigante: il Garante per la Protezione dei Dati Personali (Autorità amministrativa indipendente italiana istituita dalla legge 31 dicembre 1996, n. 675, per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali) ha ordinato a OpenAI di interrompere l’elaborazione dei dati delle persone che si connettono dall’Italia a ChatGPT (il sistema di intelligenza artificiale che interagisce in modo conversazionale con gli utenti) con effetto immediato. Il Garante italiano afferma che ChatGPT sta violando il GDPR (il Regolamento europeo per la Protezione dei Dati Personali) a causa del trattamento illegale dei dati.

Il blocco deciso dal Garante non riguarda un servizio specifico ma solo l’azienda che li eroga. Quindi sono coinvolti tutti i servizi sviluppati da OpenAI, inclusi sia il normale ChatGPT che i piani e le API a pagamento. OpenAI, che è sostenuta da Microsoft, rischia una multa di 20 milioni di euro, o il 4% delle sue entrate annuali globali, se non trova rimedi alla situazione entro 20 giorni.

Cosa significa questo blocco per altre aziende che sviluppano l’intelligenza artificiale, non solo in Italia? C’è la possibilità di uno stop importante anche per altri tipi di Intelligenza Artificiale?

Tutto è iniziato il 20 marzo quando è stata scoperta una violazione dei dati. Quel giorno, durante un problema nella funzionalità del sistema, sono stati esposti i dati personali degli abbonati ChatGPT Plus, comprese le informazioni relative ai pagamenti. La violazione è stata causata da un bug in una libreria open source, che ha consentito ad alcuni utenti di vedere i titoli dalla cronologia chat di un altro utente attivo. In seguito a questo avvenimento il Garante italiano ha avviato le indagini per chiarire alcune questioni dal punto di vista del GDPR. Ecco cosa è stato rilevato e cosa viene contestato:

1. Lacune nel processo di autenticazione: il Garante sostiene che ChatGPT “espone i minori a ricevere risposte inadeguate alla loro età e consapevolezza”. La piattaforma dovrebbe infatti essere utilizzabile da utenti di età superiore ai 13 anni, è stato osservato. Il GDPR afferma che il gestore della piattaforma deve esercitare un controllo rigoroso sulla verifica dell’età dei propri utenti (ad esempio, per proteggere l’accesso dei bambini a contenuti potenzialmente dannosi).
2. Le informazioni sulla piattaforma fornite da ChatGPT agli utenti non corrispondono al servizio effettivo fornito: sono incomplete, se non proprio inesatte. OpenAI dichiara che non viene effettuato alcun trattamento di dati personali tramite ChatGPT, tuttavia le richieste postate da ciascun utente tramite il proprio account (tutte le richieste sono associate a un account, che può contenere informazioni personali e sensibili sull’utente) vengono registrate e archiviate, e non vi è alcuna avvertenza o dichiarazione di non responsabilità in merito.
3. Nessuna base giuridica adeguata per giustificare la raccolta e l’archiviazione di dati personali: non è chiaro se OpenAI raccolga e tratti dati personali e sensibili solo al fine di addestrare l’algoritmo. Inoltre, OpenAI non fornisce un’informativa sulla privacy agli utenti o agli interessati i cui dati sono raccolti ed elaborati attraverso il servizio.

Qual è l’impatto dell’essere bloccati da un’autorità per la protezione dei dati di un Paese europeo?

1. Gli utenti B2C possono ancora utilizzare il servizio bloccato?
   Sì, possono connettersi tramite VPN da un altro paese, il che non è illegale per l’utente. Per quanto riguarda il caso di ChatGPT, la restrizione riguarda OpenAI. Pertanto, non è illegale accedervi dal lato utente. In pratica, è illegale per OpenAI fornire il servizio agli utenti italiani, non agli utenti italiani di utilizzarlo (e difatti il servizio è stato disabilitato per chi si collega dall’Italia).
2. Le aziende possono utilizzare il servizio?
   Si apre qui uno scenario molto più complesso. Tecnicamente, le aziende possono usarlo, ma se lo fanno condividendolo con più persone (dipendenti o clienti) si esporranno alle stesse sanzioni. L’utilizzo di un servizio oggetto di indagine da parte di un’Autorità per la protezione dei dati significa che la sanzione è applicabile se non si risolvono i problemi evidenziati entro il periodo di tempo richiesto.

Quali sono le potenziali conseguenze? Oggi, il Garante della Privacy italiano è l’unica Autorità che ha bloccato ChatGPT in Europa, ma il caso italiano potrebbe essere il primo di una serie di azioni di Autorità di altri Paesi europei per bloccare e prevenire problemi di privacy (come è successo per Google Analytics lo scorso anno). Dopo la decisione dell’Italia di bloccare l’accesso al chatbot, l’Organizzazione europea dei consumatori (BEUC) ha infatti invitato tutte le Autorità europee a indagare sui principali chatbot di intelligenza artificiale, non solo su ChatGPT. Ursula Pachl, vicedirettore generale del BEUC, ha dichiarato “ci sono serie preoccupazioni su come ChatGPT e chatbot simili possano ingannare e manipolare le persone”. “Questi sistemi di intelligenza artificiale necessitano di un maggiore controllo pubblico e le autorità pubbliche devono riaffermare il controllo su di essi”, ha affermato Pachl. Potrebbe quindi accadere che altre Autorità della Privacy dell’UE blocchino ChatGPT e altri servizi basati sull’intelligenza artificiale.

Da tempo  e da molte parti si parla di affrontare il problema della regolamentazione dell’AI. Ma il ritmo con cui la tecnologia è progredita è tale che si sta rivelando difficile per i governi tenere il passo. I computer ora possono creare opere d’arte realistiche, scrivere interi saggi o persino generare righe di codice, in pochi secondi. “Dobbiamo stare molto attenti a non creare un mondo in cui gli esseri umani siano in qualche modo sottomessi a un futuro gestito dalle macchine”, ha dichiarato Sophie Hackford, futurista e consulente per l’innovazione tecnologica globale per il produttore americano di attrezzature agricole John Deere, al programma “Squawk” della CNBC, aggiungendo che “la tecnologia è qui per servirci, per rendere più rapida la diagnosi di un cancro o per impedire agli esseri umani di svolgere lavori che non vogliamo fare”, ma è necessario “agire ora dal punto di vista della regolamentazione“. Sono quindi molte le Autorità di regolamentazione preoccupate per le sfide che l’IA pone per la sicurezza del lavoro, la privacy dei dati e l’uguaglianza. Ci sono anche preoccupazioni per l’intelligenza artificiale avanzata che manipola il discorso politico attraverso la generazione di false informazioni.

Mentre l’Autorità italiana finora ha bloccato solo ChatGPT, altre piattaforme di intelligenza artificiale come Bard di Google potrebbero dover affrontare simili problemi sul controllo della privacy. A differenza di OpenAI, è più probabile che Google ne tenga conto, trovando soluzioni opportune, a causa della sua storia in Europa, delle dimensioni dell’azienda e delle precedenti violazioni del GDPR, a cui sono seguite multe.

E.P.

Fonti: cnbc.com, beuc.eu, bbc.com