Open AI, la società che sviluppa il chatbot ChatGpt, al momento sospeso in Italia a seguito del provvedimento del Garante privacy, lancia il Bug Bounty Program: sviluppatori e appassionati di codice saranno chiamati a cercare, dietro lauta ricompensa, falle e problematiche di sicurezza nei prodotti del gruppo come lo stesso ChatGpt. In “palio” ci sono premi di varia entità, in base alla gravità e all’impatto dei problemi segnalati: si va da 200 dollari per difetti di sicurezza di livello basso fino ai 20.000 massimi per “scoperte eccezionali” e vulnerabilità importanti. Le segnalazioni potranno avvenire attraverso la piattaforma Bugcrowd, già utilizzata per altre iniziative del genere.
Un'”arma” in più contro gli hacker
“Il programma OpenAI Bug Bounty è un modo per noi di riconoscere e premiare le preziose intuizioni dei ricercatori di sicurezza che contribuiscono a proteggere la nostra tecnologia e la nostra azienda”, ha affermato OpenAI. Tra le possibile criticità di ChatGpt, possono esservi le tecniche che gli hacker usano per aggirare le misure di sicurezza di Open AI, ad esempio nel merito della creazione di contenuti inappropriati, come ricerche di studio ma anche codice malevolo ai fini di hacking.
Il mese scorso, Open AI ha rivelato una fuga dei dati di pagamento degli utenti di ChatGpt Plus, attribuita ad un bug della libreria open source del client Redis utilizzato dalla piattaforma. A causa di tale bug, gli abbonati a ChatGpt Plus hanno iniziato a vedere gli indirizzi e-mail di altri utenti sulle pagine di acquisto del servizio. Per risolvere il problema, il chatbot è divenuto inaccessibile per diverse ore.
L’intervento del Garante Privacy italiano
Intanto il Garante italiano per la privacy da dato a OpenAI tempo fino al 30 aprile per adempiere alle prescrizioni imposte dal Garante per la protezione dei dati personali riguardo a informativa, diritti degli interessati, utenti e non utenti, base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi con i dati degli utenti. Solo allora, venendo meno le ragioni di urgenza, l’Autorità sospenderà il provvedimento di limitazione provvisoria del trattamento dei dati degli utenti italiani preso nei confronti della società statunitense e ChatGpt potrà tornare accessibile dall’Italia.
L’Autorità, entro fine aprile la società dovrà dunque adottare una serie di misure concrete.
- Informativa. OpenAI dovrà predisporre e rendere disponibile sul proprio sito un’informativa trasparente, in cui siano illustrate modalità e logica alla base del trattamento dei dati necessari al funzionamento di ChatGPT nonché i diritti attribuiti agli utenti e agli interessati non utenti. L’informativa dovrà essere facilmente accessibile e collocata in una posizione che ne consenta la lettura prima di procedere all’eventuale registrazione al servizio. Per gli utenti che si collegano dall’Italia, l’informativa dovrà essere presentata prima del completamento della registrazione e, sempre prima del completamento della registrazione dovrà essere loro richiesto di dichiarare di essere maggiorenni. Agli utenti già registrati, l’informativa dovrà essere presentata al momento del primo accesso successivo alla riattivazione del servizio e, nella stessa occasione, dovrà essere loro richiesto di superare un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni.
- Base giuridica. Quanto alla base giuridica del trattamento dei dati personali degli utenti per l’addestramento degli algoritmi, il Garante privacy ha ordinato a OpenAI di eliminare ogni riferimento all’esecuzione di un contratto e di indicare, invece, in base al principio di accountability, il consenso o il legittimo interesse quale presupposto per utilizzare tali dati, fermo restando l’esercizio dei propri poteri di verifica e accertamento successivi a tale scelta.
- Esercizio dei diritti. Ulteriori prescrizioni riguardano la messa a disposizione di strumenti utili per permettere agli interessati, anche non utenti, di chiedere la rettifica dei dati personali che li riguardano generati in modo inesatto dal servizio o la cancellazione degli stessi, nel caso la rettifica non fosse tecnicamente possibile. OpenAI, inoltre, dovrà consentire agli interessati non utenti di esercitare, in modo semplice e accessibile, il diritto di opposizione rispetto al trattamento dei loro dati personali utilizzati per l’esercizio degli algoritmi e riconoscere analogo diritto agli utenti, qualora individui il legittimo interesse quale base giuridica del trattamento.
- Tutela dei minori. Per quanto riguarda la verifica dell’età dei minori, oltre all’immediata implementazione di un sistema di richiesta dell’età ai fini della registrazione al servizio, l’Autorità ha ordinato a OpenAI di sottoporle entro il 31 maggio un piano di azione che preveda, al più tardi entro il 30 settembre 2023, l’implementazione di un sistema di age verification, in grado di escludere l’accesso agli utenti infratredicenni e ai minorenni per i quali manchi il consenso dei genitori.
- Campagna di informazione. Di concerto col Garante, entro il 15 maggio, OpenAI dovrà infine promuovere una campagna di informazione su radio, televisione, giornali e web per informare le persone sull’uso dei loro dati personali ai fini dell’addestramento degli algoritmi. L’Autorità proseguirà nell’accertamento delle violazioni della disciplina vigente eventualmente poste in essere dalla società e si riserva l’adozione di ogni ulteriore o diversa misura che si rendesse necessaria a conclusione della formale istruttoria tuttora in corso.
Tavolo di lavoro Garante-Agcom per la tutela dei minori
Garante privacy e Agcom si alleano per rafforzare la tutela dei minori online. Le due Autorità hanno istituito un tavolo congiunto, finalizzato alla promozione di un codice di condotta che conduca le piattaforme digitali ad adottare sistemi per la verifica dell’età dei piccoli utenti che accedono ai servizi online.
“I rischi per i giovanissimi che usano servizi digitali sono enormi e noti da tempo; è difficile, peraltro, individuare soluzioni affidabili per l’age verification. L’istituzione del tavolo, oltre a consentire auspicabilmente di pervenire alla soluzione del problema, ormai improcrastinabile, permetterà alle due Autorità di iniziare a sperimentare forme di cooperazione nella tutela degli utenti di servizi digitali”.
L’istituzione del tavolo è stata ufficializzata in occasione della firma del protocollo d’intesa, con cui il Garante e l’Agcom si impegnano a dare vita ad una serie di iniziative utili allo svolgimento dei rispettivi compiti, mediante lo scambio di dati e informazioni, la creazione di gruppi di studio e il lancio di consultazioni pubbliche congiunte.
Il protocollo, che avrà durata annuale, prevede la cooperazione su temi di interesse comune per l’applicazione della normativa europea e nazionale vigente o di prossima attuazione. Tra essi, è già in programma un’indagine conoscitiva sul fenomeno della pubblicità politica mirata attraverso tecniche di profilazione.
Una questione ormai di livello globale: ora gli Usa in prima fila
Intanto la questione di ChatGpt, con le sue possibili ripercussioni sul fronte privacy, continua a tenere banco a livello globale. L’amministrazione Biden ha fatto sapere di essere alla ricerca di commenti pubblici su potenziali misure di responsabilità per i sistemi di intelligenza artificiale (AI) mentre incombono le domande sul suo impatto sulla sicurezza nazionale e sull’istruzione. Ad attirare in particolare l’attenzione dei legislatori statunitensi è proprio ChatGpt, diventata l’applicazione consumer in più rapida crescita nella storia con più di 100 milioni di utenti attivi mensili.
Indagine della Ntia sulla sicurezza dell’AI
La National Telecommunications and Information Administration (Ntia), un’agenzia del Dipartimento del Commercio che fornisce consulenza alla Casa Bianca in materia di telecomunicazioni e politica dell’informazione, ha chiesto maggiori informazioni a proposito, in quanto vi è “un crescente interesse normativo” in un “meccanismo di responsabilità” dell’IA. L’agenzia vuole sapere se ci sono misure che potrebbero essere messe in atto per garantire “che i sistemi di intelligenza artificiale siano legali, efficaci, etici, sicuri e altrimenti affidabili”.
Il presidente Joe Biden, dal canto suo, ha affermato che resta da vedere se l’IA sia pericolosa. “Le aziende tecnologiche hanno la responsabilità, a mio avviso, di assicurarsi che i loro prodotti siano sicuri prima di renderli pubblici”, ha affermato.
La Ntia prevede di redigere un rapporto in cui esamini “gli sforzi per garantire che i sistemi di intelligenza artificiale funzionino come affermato e senza causare danni” e ha affermato che i riscontri saranno forniti all’amministrazione Biden.
Nuova “crociata” contro Gtp-4 negli Usa
Nel frattempo un gruppo di etica tecnologica, il Center for Artificial Intelligence and Digital Policy, ha chiesto alla Federal Trade Commission degli Stati Uniti di impedire a OpenAI di rilasciare nuove versioni commerciali di Gpt-4 affermando che era “di parte, ingannevole e un rischio per la privacy e la sicurezza pubblica”.
E la Cina impone una regolamentazione dell’AI
Il tutto avviene mentre i regolatori cinesi hanno rilasciato una bozza di regole progettate per gestire il modo in cui le aziende debbano sviluppare prodotti di intelligenza artificiale generativa come ChatGpt. Le bozze di regole della potente Amministrazione del cyberspazio cinese (Cac) sono le prime nel loro genere nel paese e prendono di mira l’intelligenza artificiale in rapido sviluppo mentre i giganti della tecnologia domestica iniziano a lanciare prodotti in stile ChatGpt.
La bozza di misure del Cac stabilisce le regole di base che i servizi di intelligenza artificiale generativa devono seguire, compreso il tipo di contenuto che questi prodotti possono generare. Il contenuto deve riflettere i valori fondamentali del socialismo e non deve sovvertire il potere statale, secondo la bozza di linee guida. Inoltre le aziende dovrebbero garantire che i dati utilizzati per addestrare questi modelli di intelligenza artificiale non discriminino le persone in base a fattori come etnia, razza e genere. Inoltre, non dovrebbero generare informazioni false.
Le regole del Cac evidenziano una certa preoccupazione e delineano un quadro su come le aziende cinesi dovranno affrontare lo sviluppo della tecnologia. Ma le misure, che dovrebbero entrare in vigore entro la fine dell’anno, funzioneranno in tandem con le varie altre normative cinesi in materia di protezione dei dati e sviluppo di algoritmi .
