È di pochi giorni fa la notizia del boom di un nuovo applicativo di AI generativa di sviluppo cinese chiamato DeepSeek, che ha generato una quantità enorme di utenti in tutto il mondo dimostrandosi una validissima alternativa al già noto strumento ChatGPT, che pochi mesi fa sbancò letteralmente il mercato. Per qualche giorno, tutti i principali quotidiani online non hanno fatto altro che parlare di questo strepitoso successo, del grande successo economico che ha portato i titoli delle società produttrici a salire vertiginosamente in borsa facendo addirittura “tremare”, per dirla coi giornalisti, le grandi società tecnologiche di tutto il mondo.
Nonostante questo, sembra che non sia proprio tutto oro ciò che nei primissimi giorni luccicava, questo perché sono emerse grossissime problematiche legate a vari aspetti della sicurezza dell’applicazione, visto che già dal 29 gennaio si è resa necessaria una investigazione approfondita da parte delle autorità di protezione dei dati. Iniziamo dicendo che al momento l’app DeepSeek è già sparita dai principali store online e questo è successo perché, quantomeno in Italia, il garante per la privacy ha deciso di bloccarla. Nello specifico, sono state notate diverse trasgressioni delle principali policy per la sicurezza dei dati. Innanzitutto, DeepSeek è prodotto, come già anticipato, in Cina, dalle società Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence, alle quali il garante ha chiesto di fornire, senza alcuna risposta convincente, maggiori informazioni sul trattamento dei dati raccolti. Tra le richieste avanzate, il Garante italiano voleva sapere quali dati venissero raccolti agli utenti, la fonte di essi (se provenissero quindi da social o tramite ricerche online), la finalità del trattamento, la collocazione dei server (verosimilmente in Cina) e quale fosse il livello di informazione data agli utenti iscritti e non sull’utilizzo.
Tornando alle risposte insufficienti, i proprietari di DeepSeek non avrebbero tolto moltissimi dubbi all’Authority, dichiarando comunque di non trovarsi in Italia e di non dover sottostare al GDPR, confermando le perplessità avanzate, pertanto l’azione di blocco voluta dal Garante è stata del tutto commisurata, visti i rischi per la privacy di coloro che usano l’applicazione in Italia, e durerà fino a quando non verranno tolti i dubbi. Sicuramente, però, l’impresa si fa ardua, dato che a questi problemi di compliance al GDPR si è aggiunto un altro problema evidentemente più grande in data 30 gennaio è stato anche scoperto un database di importanti dimensioni completamente esposto in rete, dando modo ad utenti anche non autenticati di venire in possesso di tutte le informazioni al suo interno, una vulnerabilità che in questo campo può avere effetti devastanti. Con poche semplici operazioni un malintenzionato avrebbe potuto infatti venire in possesso delle registrazioni all’app dal 6 gennaio in poi, informazioni sugli endpoint API interni dell’app, log e cronologia delle chat e molto altro ancora, tutto materiale che danneggia anche gli utilizzatori, dei quali si potevano recuperare intere chat, password e file.
Dopo questi pochi dettagli è ancora più evidente l’assunto dell’inizio di questo breve approfondimento, ovvero che tutto ciò che in questi giorni sembrava luccicare in realtà non era oro. Ad ulteriore suffragio di questa idea ci sono anche gli attacchi a larga scala subiti dall’app cinese di AI generativa e l’avvio di un’inchiesta riguardante il potenziale utilizzo illegale delle API di ChatGPT e Microsoft per addestrare la propria piattaforma, concludendo anche con l’eventuale coinvolgimento del governo cinese in tutta l’operazione di sviluppo e lancio. Vedremo a cosa porterà questo braccio di ferro che, visto il susseguirsi di informazioni, sembra appena cominciato.