Punti chiave
OpenAI ha rivelato che una vulnerabilità di ChatGPT potrebbe aver esposto le informazioni relative ai pagamenti di alcuni clienti dello strumento di intelligenza artificiale, oltre a consentire la visualizzazione dei titoli della cronologia delle chat di alcuni utenti attivi.
“Il 20 marzo abbiamo portato offline ChatGPT a causa di un bug – dice il comunicato – in una libreria open source che consentiva ad alcuni utenti di vedere i titoli dalla cronologia chat di un altro utente attivo. Inoltre, se entrambi gli utenti erano attivi contemporaneamente, era possibile che il primo messaggio di una nuova conversazione fosse visibile nella cronologia chat dell’altro utente.
Il bug è stato corretto e sia il servizio ChatGPT che la sua funzionalità di cronologia chat sono stati ripristinati.
Dopo un’indagine più approfondita, abbiamo scoperto che lo stesso bug potrebbe aver causato la visibilità involontaria delle informazioni relative ai pagamenti dell’1,2% degli abbonati ChatGPT Plus che erano attivi durante un periodo di nove ore. Prima della messa offline di ChatGPT, alcuni utenti potevano vedere il nome e il cognome, l’indirizzo e-mail, l’indirizzo di pagamento, solo le ultime quattro cifre del numero di carta di credito e la scadenza della carta di credito di un altro utente attivo. I numeri completi delle carte di credito non sono mai stati esposti.
Il team di OpenAi, società nata nel 2015 finanziata da tutti i grandi gruppi come Elon Musk, Amazon e Microsoft che da poco ne ha acquisito il 40%, continua a spiegare il problema che si sono trovati a gestire:
“Riteniamo che il numero di utenti i cui dati sono stati effettivamente rivelati a qualcun altro sia estremamente basso. Per accedere a queste informazioni, un abbonato a ChatGPT Plus avrebbe dovuto eseguire una delle seguenti operazioni:
- Aprire un’e-mail di conferma dell’iscrizione inviata lunedì 20 marzo, tra l’1:00 e le 10:00 ora del Pacifico. A causa del bug, alcune email di conferma dell’iscrizione generate durante quella finestra sono state inviate agli utenti sbagliati. Queste e-mail contenevano le ultime quattro cifre del numero di carta di credito di un altro utente, ma i numeri di carta di credito completi non venivano visualizzati. È possibile che un piccolo numero di e-mail di conferma dell’abbonamento sia stato indirizzato in modo errato prima del 20 marzo, anche se non abbiamo confermato alcun caso.
- In ChatGPT, fai clic su “Il mio account”, quindi su “Gestisci il mio abbonamento” tra l’ 1:00 e le 10:00 ora del Pacifico di lunedì 20 marzo. Durante questa finestra, il nome e il cognome, l’indirizzo e-mail, l’indirizzo di pagamento , le ultime quattro cifre (solo) di un numero di carta di credito e la data di scadenza della carta di credito potrebbero essere visibili. È possibile che ciò si sia verificato anche prima del 20 marzo, anche se non abbiamo conferma di alcun caso al riguardo.
Abbiamo contattato gli utenti interessati che le loro informazioni di pagamento potrebbero essere state esposte. Siamo fiduciosi che non vi siano rischi continui per i dati degli utenti.
Tutti in OpenAI si impegnano a proteggere la privacy dei nostri utenti e a mantenere i loro dati al sicuro. È una responsabilità che prendiamo incredibilmente sul serio. Sfortunatamente, questa settimana non siamo stati all’altezza di tale impegno e delle aspettative dei nostri utenti. Ci scusiamo ancora con i nostri utenti e con l’intera comunità di ChatGPT e lavoreremo diligentemente per ricostruire la fiducia.
Nel testo pubblicato continuano con alcuni dettagli tecnici, che in realtà non spiegano nulla di particolare o che non fosse già noto, in ogni caso per chi volesse approfondire questo è il link al comunicato.
Altro problema Privacy per ChatGpt
Ma i problemi, molto rilevanti non sono finiti.
In primo luogo, il metodo utilizzato da OpenAI per raccogliere i dati ChatGPT è sbagliato. Secondo Alexander Hanff, membro del pool di esperti di supporto del Comitato europeo per la protezione dei dati (EDPB):
“Se OpenAI ha ottenuto i suoi dati di addestramento attraverso Internet, è illegale”.
“Solo perché qualcosa è online non significa che sia legale prenderlo. Lo scraping (web data extraction) di miliardi o trilioni di dati da siti con termini e condizioni che, di per sé, affermano che i dati non possono essere estratti da terzi, è un violazione del contratto. Quindi, è necessario considerare anche i diritti delle persone alla protezione dei propri dati ai sensi del GDPR dell’UE, della direttiva ePrivacy e della Carta dei diritti fondamentali “, ha aggiunto.
Dennis Hillemann, partner dello studio legale Fieldfisher, ha aggiunto che da un punto di vista legale ci sono molte cose che stridono tra GDPR e modelli fondazionali, i grandi modelli di intelligenza artificiale addestrati utilizzando l’apprendimento auto-supervisionato, come ChatGPT.
“Il modo in cui funzionano, usando molti dati senza etichetta e quindi definendo i casi d’uso, contraddice il principio di minimizzazione dei dati del GDPR dell’UE, che afferma che un’organizzazione dovrebbe utilizzare una quantità minima di informazioni utili per uno scopo predefinito“.
Utilizzo non conforme alle norme
In molti Stati, l’utilizzo delle informazioni senza il consenso del proprietario o il copyright è consentito in base al principio del fair use solo in determinate circostanze, tra cui ricerca, citazioni, notizie o scopi di critica.
Hillemann ha affermato che è probabile che OpenAI abbia pensato di utilizzare questa motivazione per quanto riguarda i dati utilizzati per costruire il proprio modello ChatGPT.
Secondo Hanff, tuttavia, nessuna delle condizioni di fair use si applica ai loro modelli di intelligenza artificiale. “Il fair use ti dà accesso solo a informazioni limitate, come un estratto di un articolo. Non puoi semplicemente prendere informazioni da un intero sito in base al fair use, questo non sarebbe considerato corretto. Nemmeno la satira sarebbe valida: sebbene sia possibile utilizzare ChatGPT per parodia e satira, OpenAI non ha creato il modello per questi scopi specifici“.
Inoltre, sebbene OpenAI affermi nella sua pagina della politica sulla privacy che “[non] vende e non venderà le tue informazioni personali”, Hanff considera ChatGPT un prodotto commerciale.
“C’è un grande dibattito sulla definizione di ‘vendita’, ma ChatGPT è senza dubbio un’attività commerciale – la società potrebbe essere valutata 29 miliardi di dollari – quindi non possono farla franca con il fair use. Questo modello di intelligenza artificiale creerà enormi entrate e ricchezza per un piccolo numero di individui grazie ai contenuti e al lavoro di tutti gli altri“, ha affermato.
I problemi nascono anche dal fatto che OpenAi non gestisce i tipi di dati, per quanto ne sappiamo, e quindi potrebbe “insegnare” qualcosa all’Intelligenza Artificiale su basi errate. Se ChatGpt apprende da ciò che ha “estratto” da internet potrebbe prendere dati sbagliati per reali e farsi così un’opinione errata su milioni di persone, fatti e ambienti, creando così un modello completamente sbagliato.
Sicuramente l’aspetto di Privacy e gestione dati andrà riformato alla luce di queste nuove tecnologie applicative.