Quali sono i rischi di perdita di informazioni con ChatGPT? Introduzione a quattro misure preventive da adottare

Il “ChatGPT”, che sta attirando l’attenzione di recente, è un’intelligenza artificiale generativa che sta riscuotendo interesse in vari settori per la sua capacità di creare testi, programmare, generare partiture musicali e disegnare.

Il termine GPT in ChatGPT sta per “Generative Pre-training Transformer”, e grazie all’apprendimento preliminare di una vasta quantità di dati testuali, immagini e audio (con estensioni), è in grado di condurre conversazioni naturali simili a quelle umane.

ChatGPT sta guadagnando notorietà come strumento che può gestire complesse attività lavorative, offrendo efficienza e un ottimo rapporto costo-prestazioni. L’uso di ChatGPT è già avanzato in diversi settori e molte aziende tecnologiche stanno iniziando a sviluppare i propri sistemi AI.

Tuttavia, insieme alle numerose opportunità di business offerte da tecnologie AI come ChatGPT, vengono segnalati anche rischi potenziali quali problemi di diritto d’autore, diffusione di informazioni errate, perdite di informazioni confidenziali, questioni di privacy e il rischio di abuso per attacchi informatici.

In questo articolo, un avvocato discuterà le misure da adottare per mitigare il rischio di perdite di informazioni nell’utilizzo di ChatGPT, focalizzandosi in particolare su questo aspetto.

I rischi di fuga di informazioni legati a ChatGPT

I rischi associati all’adozione di ChatGPT nelle imprese comprendono principalmente i seguenti quattro aspetti:

• Rischi per la sicurezza (fuga di informazioni, accuratezza, vulnerabilità, disponibilità, ecc.)
• Rischi di violazione del diritto d’autore
• Rischi di abuso (attacchi informatici, ecc.)
• Sfide etiche

Il rischio di fuga di informazioni legato a ChatGPT si riferisce alla possibilità che le informazioni confidenziali inserite in ChatGPT possano essere visualizzate dai dipendenti di OpenAI o da altri utenti, o utilizzate come dati per l’apprendimento.

Secondo la politica di utilizzo dei dati di OpenAI, a meno che non si utilizzi l’API di ChatGPT o non si faccia richiesta di “opt-out”, i dati inseriti dagli utenti in ChatGPT possono essere raccolti e utilizzati (appresi) da OpenAI (questo sarà spiegato più dettagliatamente in seguito).

Casi di perdita di informazioni legati all’uso di ChatGPT

Qui presentiamo alcuni casi in cui l’uso di ChatGPT ha portato alla divulgazione di informazioni personali registrate o di informazioni confidenziali inserite.

Casi di fuga di informazioni personali

Il 24 marzo 2023, OpenAI ha annunciato che il 20 marzo ChatGPT è stato temporaneamente disconnesso a causa di un bug che mostrava ad alcuni utenti informazioni personali di altri utenti, inclusi gli ultimi quattro numeri della carta di credito e la data di scadenza della stessa. Si è scoperto che le informazioni personali trapelate appartenevano a una parte degli abbonati al piano a pagamento “ChatGPT Plus” (circa l’1,2% dei membri).

Inoltre, è stato annunciato che c’era anche un bug che mostrava nei registri delle chat le conversazioni di altri utenti.

In risposta a ciò, il 31 marzo 2023, l’autorità italiana per la protezione dei dati ha emesso un ordine di miglioramento che imponeva restrizioni temporanee al trattamento dei dati degli utenti italiani da parte di Open AI, affermando che mancava una base legale per la raccolta e la conservazione di dati personali da parte di ChatGPT per scopi di apprendimento. Di conseguenza, OpenAI ha bloccato l’accesso a ChatGPT dall’Italia. Questo blocco è stato rimosso il 28 aprile dello stesso anno, dopo che OpenAI ha migliorato il trattamento dei dati personali.

Casi di fuga di informazioni confidenziali aziendali

Nel febbraio 2023, la società di cybersecurity statunitense Cyberhaven ha pubblicato un rapporto sull’uso di ChatGPT per i suoi clienti aziendali.

Secondo il rapporto, l’8,2% dei lavoratori del sapere tra i 1,6 milioni di dipendenti delle aziende clienti che utilizzano i prodotti Cyberhaven ha usato ChatGPT almeno una volta sul posto di lavoro, e il 3,1% di questi ha inserito dati aziendali riservati in ChatGPT.

Questo è un caso in Corea del Sud, ma il 30 marzo 2023, il media coreano “Economist” ha riferito che una divisione interna di Samsung Electronics aveva permesso l’uso di ChatGPT, il che ha portato all’inserimento di informazioni riservate.

Nonostante Samsung Electronics avesse sollevato la consapevolezza sulla sicurezza delle informazioni interne, c’erano dipendenti che avevano inserito nel sistema codici sorgente di programmi o contenuti di riunioni.

In questo contesto, mentre alcuni paesi e aziende stanno limitando l’uso di ChatGPT, altri stanno adottando politiche di promozione. Quando si introduce ChatGPT, è essenziale considerare attentamente i rischi di perdita di informazioni.

Quattro misure per prevenire la perdita di informazioni con ChatGPT

Una volta che si verifica una perdita di informazioni, i danni possono essere ingenti, non solo in termini di responsabilità legale, ma anche per quanto riguarda la perdita di fiducia e reputazione. Pertanto, è fondamentale organizzare un sistema di gestione delle informazioni aziendali e fornire la formazione adeguata per prevenire tali perdite.

Di seguito, vorrei presentarvi quattro misure per prevenire la perdita di informazioni utilizzando ChatGPT.

Misura 1: Stabilire regole d’uso

Innanzitutto, è fondamentale decidere la posizione della propria azienda riguardo a ChatGPT e includere nel regolamento interno le disposizioni relative al suo utilizzo. È importante stabilire e attuare regole chiare, come il non inserimento di informazioni personali o confidenziali.

In questo contesto, sarebbe auspicabile sviluppare delle linee guida specifiche per l’uso di ChatGPT all’interno dell’azienda. Inoltre, è necessario integrare le disposizioni relative all’utilizzo di ChatGPT nei contratti esterni.

Il 1° maggio 2023 (Reiwa 5), l’Associazione Giapponese per l’Apprendimento Profondo (Japanese Deep Learning Association, JDLA) ha raccolto i punti di discussione etici, legali e sociali (ELSI) relativi a ChatGPT e ha pubblicato le “Linee guida per l’utilizzo dell’AI generativa”.

Anche nei vari settori accademici e governativi si sta iniziando a considerare lo sviluppo di linee guida. Basandosi su queste, creando linee guida scritte specifiche per l’uso di ChatGPT nella propria azienda, si può aspettarsi di mitigare certi rischi.

Riferimento: Associazione Giapponese per l’Apprendimento Profondo (Japanese Deep Learning Association, JDLA)｜Linee guida per l’utilizzo dell’AI generativa[ja]

Tuttavia, le linee guida stabilite non avranno alcun significato se non saranno ampiamente conosciute e rigorosamente applicate. Da sole, le linee guida non sono sufficienti come misura di protezione.

Misure 2: Stabilire un sistema per prevenire la perdita di informazioni

Per prevenire gli errori umani, è possibile introdurre un sistema chiamato DLP (Data Loss Prevention), che impedisce la trasmissione e la copia di informazioni riservate, evitando così la fuga di dati specifici.

Il DLP è un sistema che monitora costantemente i dati, anziché gli utenti, identificando e proteggendo automaticamente le informazioni riservate e i dati importanti. Utilizzando il DLP, se vengono rilevate informazioni confidenziali, è possibile ricevere notifiche di allarme o bloccare le operazioni.

Questo sistema permette di prevenire con certezza le perdite di informazioni interne mantenendo bassi i costi di gestione. Tuttavia, è necessaria una comprensione avanzata dei sistemi di sicurezza e l’implementazione potrebbe essere difficile per le aziende che non dispongono di un reparto tecnico.

Misure 3: Utilizzare strumenti per prevenire la perdita di informazioni

Come precedentemente menzionato, una misura preventiva diretta consiste nel richiedere l'”opt-out” per rifiutare la raccolta dei dati inseriti in ChatGPT.

È possibile richiedere l'”opt-out” dalle impostazioni di ChatGPT. Tuttavia, molti potrebbero trovare scomodo il fatto che, dopo aver richiesto l'”opt-out”, la cronologia dei prompt non viene più salvata.

Oltre all’impostazione dell'”opt-out”, un’altra soluzione è l’implementazione di strumenti che utilizzano l'”API” di ChatGPT.

L'”API” (Application Programming Interface) è un’interfaccia pubblicata da OpenAI che consente di integrare ChatGPT nei propri servizi aziendali o in strumenti esterni. OpenAI ha dichiarato che le informazioni inviate o ricevute tramite l'”API” di ChatGPT non verranno utilizzate.

Questo è esplicitamente indicato anche nei termini di servizio di ChatGPT. Secondo i termini di servizio:

3. Contenuti

(c) Utilizzo dei contenuti per migliorare il servizio

Non utilizziamo i Contenuti che fornite o ricevete dalla nostra API (“Contenuti API”) per sviluppare o migliorare i nostri Servizi. 

Possiamo utilizzare Contenuti provenienti da Servizi diversi dalla nostra API (“Contenuti non-API”) per aiutare a sviluppare e migliorare i nostri Servizi.

 Se non desiderate che i vostri Contenuti non-API siano utilizzati per migliorare i Servizi, potete optare per l’esclusione compilando questo modulo. Si prega di notare che in alcuni casi ciò potrebbe limitare la capacità dei nostri Servizi di affrontare meglio il vostro caso d’uso specifico.

Citazione: Sito ufficiale OpenAI | Termini di servizio di ChatGPT

Misure 4: Implementare la formazione interna sull’alfabetizzazione informatica

Oltre alle misure che abbiamo presentato finora, è importante aumentare l’alfabetizzazione informatica dei dipendenti della propria azienda attraverso la formazione interna.

Nel caso di Samsung Electronics, nonostante fossero state effettuate campagne di sensibilizzazione sulla sicurezza delle informazioni all’interno dell’azienda, l’inserimento di informazioni confidenziali ha portato a una fuga di notizie. Non solo è necessario prevenire la perdita di informazioni dal lato del sistema, ma è anche auspicabile implementare la formazione interna sulla conoscenza di ChatGPT e sull’alfabetizzazione informatica.

Come rispondere a una violazione dei dati su ChatGPT

In caso di una violazione dei dati, è fondamentale condurre rapidamente un’indagine sui fatti e adottare le misure appropriate.

Se si verifica una fuga di informazioni personali, è obbligatorio segnalarlo alla Commissione per la Protezione delle Informazioni Personali in base alla Legge sulla Protezione delle Informazioni Personali giapponese. È inoltre necessario notificare l’accaduto alla persona interessata. Se la fuga di informazioni personali viola i diritti o gli interessi di un individuo, si può incorrere in una responsabilità per danni civili. Inoltre, se le informazioni personali sono state rubate o fornite con intenti illeciti, si può anche essere soggetti a responsabilità penali.

In caso di fuga di segreti commerciali o informazioni tecniche, è possibile richiedere l’eliminazione delle informazioni trapelate o altre misure in base alla Legge giapponese sulla Prevenzione della Concorrenza Sleale. Se la fuga di segreti commerciali o informazioni tecniche ha procurato un vantaggio ingiusto a terzi, si può incorrere in una responsabilità per danni civili. Inoltre, se i segreti commerciali o le informazioni tecniche sono stati acquisiti o utilizzati con mezzi illeciti, si può anche essere soggetti a responsabilità penali.

Se si viola il dovere di riservatezza professionale causando una fuga di informazioni, si può essere soggetti a responsabilità penali in base al Codice Penale giapponese o ad altre leggi. Inoltre, se la violazione del dovere di riservatezza professionale ha causato danni a terzi, si può incorrere in una responsabilità per danni civili.

Di conseguenza, è necessario rispondere rapidamente in base al contenuto delle informazioni divulgate e avere un sistema preventivo già in atto diventa cruciale.

Articolo correlato: Che cosa dovrebbe fare un’azienda in caso di violazione dei dati[ja]

Articolo correlato: Cosa fare in caso di violazione dei dati personali? Spiegazione delle misure amministrative che un’azienda dovrebbe adottare[ja]

Riassunto: Preparazione per affrontare il rischio di perdita di informazioni di ChatGPT

In questo articolo, abbiamo spiegato i rischi di perdita di informazioni associati a ChatGPT e le misure preventive da adottare. Nell’ambito degli affari AI che sfruttano ChatGPT e simili, che continuano a evolversi rapidamente, è consigliabile consultare avvocati esperti e ben informati sui rischi legali per predisporre in anticipo un’adeguata struttura interna in risposta a tali rischi.

Non solo per la perdita di informazioni, ma anche per valutare la legalità dei modelli di business basati sull’AI, per la redazione di contratti e termini di servizio, per la protezione dei diritti di proprietà intellettuale e per la gestione della privacy, collaborare con avvocati che possiedono conoscenze ed esperienza sia in AI che in diritto offre tranquillità.

Guida alle misure adottate dal nostro studio legale

Lo studio legale Monolith è specializzato in IT, con particolare esperienza nel settore di Internet e del diritto. Il business legato all’intelligenza artificiale comporta numerosi rischi legali, rendendo indispensabile il supporto di avvocati esperti nelle questioni legali relative all’AI. Il nostro studio offre un supporto legale avanzato per il business dell’AI, incluso ChatGPT, attraverso un team di avvocati e ingegneri esperti in AI. Forniamo servizi quali la redazione di contratti, la valutazione della legalità dei modelli di business, la protezione dei diritti di proprietà intellettuale e la gestione della privacy. Troverete maggiori dettagli nell’articolo sottostante.

Aree di competenza dello studio legale Monolith: Diritto dell’AI (incluso ChatGPT e simili)[ja]