Attenzione alle estensioni basate sull'intelligenza artificiale: qual è l'unica che non raccoglie dati personali?

Uno studio dell'University College di Londra ha rivelato che i componenti aggiuntivi per browser basati sull'intelligenza artificiale (IA) più diffusi memorizzano informazioni personali, dalla cronologia di navigazione ai dati medici o bancari . Ma c'è un'eccezione.

I ricercatori hanno sottolineato che queste pratiche avvengono silenziosamente, senza che l'utente abbia modo di accorgersene durante l'installazione delle estensioni . Sebbene spesso esistano termini e condizioni, questi sono spesso formulati in modo poco chiaro e non riflettono chiaramente l'ambito della raccolta dati.

Il rapporto si aggiunge a una serie di avvertimenti da parte di specialisti della sicurezza informatica e della protezione dei dati in Europa e negli Stati Uniti: l'intelligenza artificiale, nel suo tentativo di offrire più "intelligence contestuale", finisce per dover assorbire informazioni sulle attività online degli utenti, il che apre la porta a usi poco trasparenti .

Le estensioni basate sull'intelligenza artificiale per Chrome, Edge e altri browser sono diventate sempre più popolari negli ultimi mesi. Strumenti come ChatGPT, Copilot, Merlin e Monica promettono assistenza nella ricerca, riepiloghi automatici e risposte immediate.

Vale la pena ricordare che le estensioni sono piccoli programmi installati nel browser per aggiungere funzionalità extra: dal blocco degli annunci alla traduzione delle pagine o, in questo caso, all'integrazione dell'intelligenza artificiale direttamente nella tua esperienza di navigazione .

Per funzionare, spesso richiedono ampi permessi di accesso ai contenuti visualizzati sullo schermo, ed è proprio in questo ambito che sorgono i maggiori problemi di privacy.

Tuttavia, ciò che viene pubblicizzato come un vantaggio in termini di produttività ha un costo invisibile: la perdita di controllo sulla privacy. Per funzionare, molte di queste estensioni richiedono ampie autorizzazioni al browser e poi ne fanno un uso estensivo, accedendo a più informazioni del necessario per svolgere la loro funzione principale.

Secondo gli esperti, questo significa che chiunque provi semplicemente a riassumere un testo accademico o a tradurre un documento potrebbe inconsapevolmente esporre tutto ciò che ha aperto nel browser: dalle e-mail personali alle sessioni bancarie, fino alle cartelle cliniche.

Anche la facilità di installazione di queste estensioni contribuisce al problema. A differenza delle app tradizionali, i componenti aggiuntivi del browser non sempre vengono sottoposti a rigidi processi di verifica negli store ufficiali, lasciando spazio a pratiche illecite di trattamento dei dati.

Tra i casi più eclatanti, l'estensione Merlin ha persino acquisito dati da moduli online, come credenziali finanziarie o sanitarie. Sider e TinaMind, nel frattempo, hanno condiviso query e indirizzi IP degli utenti con piattaforme esterne come Google Analytics, consentendo il monitoraggio degli annunci cross-site.

L'indagine ha inoltre rivelato che alcuni di questi componenti aggiuntivi combinavano informazioni sensibili con identificatori persistenti. Ciò significa che i dati potevano essere associati allo stesso profilo utente nel tempo, moltiplicando il rischio di esposizione in caso di fuga di notizie o vendita a terzi.

ChatGPT per Chrome, Copilot di Microsoft e Monica sono stati segnalati per aver registrato attributi come età, sesso, reddito e interessi, dati che poi hanno utilizzato per personalizzare le risposte nelle diverse sessioni di navigazione. Secondo i ricercatori, questa pratica dimostra come la logica della pubblicità mirata stia iniziando a infiltrarsi nell'ecosistema dell'intelligenza artificiale.

"Questi assistenti offrono un accesso senza precedenti al comportamento online degli utenti in ambiti della loro vita che dovrebbero rimanere privati", ha spiegato Anna Maria Mandalari, ricercatrice senior presso l'UCL.

Lo specialista ha avvertito che la normalizzazione di queste pratiche potrebbe finire per erodere la fiducia del pubblico negli strumenti di intelligenza artificiale, anche quelli conformi alle normative sulla privacy.

La revisione ha identificato un solo caso senza prove di raccolta abusiva di dati: l'estensione Perplexity AI . Secondo il rapporto, questo servizio non ha evidenziato alcuna pratica che comportasse la trasmissione di informazioni sensibili o il tracciamento nascosto degli utenti.

I ricercatori hanno notato che, almeno nei loro test, Perplexity si è limitato a fornire risultati di ricerca senza acquisire più informazioni di quelle strettamente necessarie.

Ciò non significa, tuttavia, che Perplexity sia immune alle critiche. Alcuni esperti sottolineano che il fatto che pratiche abusive non siano state rilevate in questo specifico studio non garantisce che non si ripresentino in futuro, dato che le policy sulla privacy e i modelli di business delle aziende tecnologiche tendono a cambiare rapidamente.

Per Mandalari, il problema va oltre la pubblicità mirata: "Una volta raccolte le informazioni, non sappiamo dove finiranno o se finiranno nelle mani di reti illecite che useranno le nostre credenziali per commettere crimini".

A suo parere, la mancanza di trasparenza e la complessità tecnica rendono quasi impossibile per un utente medio comprendere cosa succede ai propri dati in questi ambienti.

Lo studio riporta in primo piano il dibattito sulla privacy e la trasparenza digitale, in un contesto in cui sempre più strumenti di intelligenza artificiale vengono integrati nella vita quotidiana a un prezzo difficile da misurare: i nostri dati personali.

Per i ricercatori, la soluzione risiede in normative più severe, audit indipendenti e, soprattutto, informare chiaramente gli utenti sui rischi delle tecnologie che adottano.