DeepSeek è sicuro? Ecco i principali problemi di sicurezza

DeepSeek è sicuro?

La rapida scalata di DeepSeek ha sconvolto gli equilibri del settore minando le posizioni di leadership dei suoi attori principali, giganti come OpenAI, Grok di Elon Musk e Gemini di Google. Si riaccendono così i riflettori sulle conseguenze dell’intelligenza artificiale sulla privacy e sulla sicurezza online dei suoi utenti.

Di recente, il Garante per la protezione dei dati personali in Italia ha adottato un “provvedimento d'urgenza con effetto immediato per limitare il trattamento dei dati degli utenti italiani da parte delle società cinesi responsabili della gestione di DeepSeek.” Questo intervento è stato motivato dalla risposta della società cinese, giudicata lacunosa e insufficiente a garantire il rispetto delle normative europee sulla privacy. 

Secondo le associazioni dei consumatori Altroconsumo ed Euroconsumers, i dati personali degli utenti vengono conservati su server situati in Cina senza le necessarie misure di protezione previste dal GDPR, e senza una chiara informativa riguardo agli usi di questi dati e ai diritti che gli utenti possono esercitare sulle proprie informazioni.

Leggere l'Informativa sulla Privacy di DeepSeek ci aiuta a rispondere alla domanda sulla sua sicurezza e bontà etica. Ogni altro chatbot AI, app, social media raccoglie dati per profilare meglio gli utenti e creare campagne pubblicitarie mirate, con DeepSeek si ha però l’impressione di andare oltre il semplice tracciamento all'interno dell'app, con gli utenti che non hanno alcun controllo su dove finiscono i loro dati né su come vengano utilizzati.

Questa l’opinione di Adrianus Warmenhoven, esperto di cybersecurity di NordVPN: “L’emergere di startup come DeepSeek rappresenta sia opportunità che preoccupazioni per la sicurezza degli utenti. È fondamentale avvicinarsi a queste piattaforme con un certo grado di cautela, soprattutto considerando le leggi sulla privacy dei dati che variano significativamente da una giurisdizione all’altra.”

Come DeepSeek AI gestisce i dati degli utenti

Per comprendere come DeepSeek AI gestisce le informazioni degli utenti occorre consultare la sua Informativa sulla privacy. Ecco i punti principali:

Informazioni fornite dall'utente: vengono raccolti dati sensibili dati sensibili come nome, email, numero di telefono, data di nascita e password. Inoltre, vengono raccolti, si legge, “il tuo input di testo o audio, prompt, file caricati, feedback, cronologia chat o altri contenuti che fornisci al nostro modello e ai nostri Servizi.”

Informazioni raccolte automaticamente: vengono raccolte informazioni tecniche sul dispositivo e sulla connessione di rete quando si accede al servizio, come il modello, il sistema operativo e l’indirizzo IP. Vengono, inoltre, utilizzati cookie, web beacon e altre tecnologie per raccogliere informazioni sull'uso e migliorare i servizi.

Informazioni da altre fonti al di fuori del Servizio: se l’utente si registra o accede tramite un servizio di terze parti come Apple o Google, potrebbero raccogliere informazioni tecniche come il token di accesso. Inoltre, Deepseek può monitorare il comportamento dell’utente anche al di fuori della piattaforma. Si legge nell’Informativa: “gli inserzionisti, i partner di misurazione e altri partner condividono con noi informazioni su di te e sulle azioni che hai intrapreso al di fuori del Servizio, come le tue attività su altri siti Web e app o nei negozi, inclusi i prodotti o servizi che hai acquistato, online o di persona. Questi partner condividono anche informazioni come identificatori mobili per la pubblicità, indirizzi email e numeri di telefono con hash e identificatori di cookie”.

Una delle principali preoccupazioni sollevate da autorità ed esperti di cybersecurity riguarda l'incertezza sulla durata della conservazione dei dati degli utenti. Nell'Informativa di DeepSeek, la piattaforma afferma che i dati vengono conservati solo per il tempo strettamente necessario a erogare i servizi richiesti, nonché per adempiere a obblighi legali e motivi di sicurezza. Tuttavia, la durata effettiva di conservazione dipende dal tipo di dato e dalla sua finalità: ad esempio, le informazioni relative al profilo, agli input e ai pagamenti sono mantenute finché l'account è attivo. Un ulteriore motivo di preoccupazione è il fatto che questi dati vengano archiviati su server situati in Cina, un aspetto che solleva seri dubbi sulla gestione della privacy, considerando che il Paese non è noto per conformarsi agli standard internazionali di protezione dei dati.

I maggiori problemi di sicurezza di DeepSeek

Ma come si traduce tutto questo in termini di cybersecurity? Vediamo quali sono i problemi principali di sicurezza di DeepSeek:

• Vulnerabilità dei dati: la mancanza di adeguate misure di protezione dati degli utenti, come ad esempio l’assenza delle Clausole Contrattuali Standard (SCC), che garantiscono il trasferimento sicuro dei dati al di fuori dell’Unione Europea, può causare più facilmente una violazione delle informazioni sensibili.
• Problemi di privacy: La conservazione dei dati su server situati nella Repubblica Popolare Cinese, lontano dalle normative di protezione dei dati europee, aumenta il rischio di accessi non autorizzati o di utilizzo improprio delle informazioni sensibili, tra cui email, numeri di telefono, cronologia delle chat e indirizzi IP. È bene ricordare anche che i titolari del trattamento dei dati sono le società Hangzhou DeepSeek Artificial Intelligence Co. e Beijing DeepSeek Artificial Intelligence Co., entrambi con sede legale in Cina.

Su questo punto, Adrianus Warmenhoven commenta: “DeepSeek, essendo una startup cinese, opera in un contesto normativo in cui il controllo governativo sui dati è molto rigoroso. Ciò solleva potenziali rischi relativi alla raccolta, all’archiviazione e all’utilizzo dei dati.

Gli utenti devono essere consapevoli che qualsiasi dato condiviso sulla piattaforma potrebbe essere soggetto ad accesso governativo secondo le leggi sulla sicurezza informatica della Cina, che obbligano le aziende a fornire dati alle autorità su richiesta.

• Rischio di disinformazione (allucinazioni da AI): Le AI come DeepSeek, non essendo infallibili, possono generare risposte inaccurate o addirittura completamente false, alimentando bias e stereotipi. Questo può portare gli utenti a ricevere informazioni errate o fuorvianti, con conseguenze potenzialmente dannose, soprattutto se l'intelligenza artificiale viene utilizzata in contesti sensibili.
• Integrazione di terze parti: DeepSeek, lo abbiamo visto, raccoglie dati anche da servizi di terze parti, come Apple o Google, e attraverso pubblicità e altre partnership commerciali e di analisi. Questo può rappresentare un rischio, in quanto i dati raccolti potrebbero essere condivisi o utilizzati senza il pieno consenso degli utenti, aumentando le possibilità di violazioni della privacy.
• Abuso etico: L'uso delle IA generative come DeepSeek può sollevare questioni etiche, soprattutto riguardo all'uso dei dati personali e alle possibili manipolazioni. Se non gestita correttamente, l'intelligenza artificiale potrebbe essere sfruttata per scopi poco etici, come la sorveglianza o l'influenza delle opinioni degli utenti senza il loro consenso.

La violazione del database di DeepSeek AI

Le falle nella sicurezza, nel caso di DeepSeek AI, sembrano non essere solo potenziali, almeno secondo quanto riporta Wiz, società di cloud americana, che con un post su X del 29 gennaio, ha annunciato di aver “scoperto “DeepLeak”, un database ClickHouse pubblicamente accessibile appartenente a DeepSeek, che espone informazioni altamente sensibili, tra cui chiavi segrete, messaggi di chat in testo semplice, dettagli del backend e registri.”

Sempre secondo quanto riportato da Wiz, il database, connesso ai servizi backend di DeepSeek e con oltre un milione di voci di registro, sarebbe risultato totalmente accessibile, consentendo dunque agli utenti non autorizzati di visualizzare dati interni sensibili e di eseguire query SQL. 

La società cinese, tuttavia, non ha mai rilasciato dichiarazioni in merito.

Consigli per proteggerti quando usi DeepSeek

Evita di condividere informazioni sensibili 

Ricorda che ogni input o prompt viene registrato in tempo reale, anche se lo elimini viene comunque archiviato per un tempo illimitato. Quindi, non digitare dati personali, come password, dati bancari o altre informazioni sensibili.

“Esiste sempre il rischio di attacchi informatici. Man mano che le piattaforme di intelligenza artificiale diventano più sofisticate, diventano anche un obiettivo privilegiato per gli hacker, che potrebbero cercare di sfruttare i dati degli utenti o la stessa intelligenza artificiale. Con l’aumento dei deep fake e di altri strumenti basati sull’IA, i rischi sono più elevati che mai. Per mitigare questi rischi, gli utenti dovrebbero adottare un approccio proattivo alla propria sicurezza informatica. Ciò include un’attenta lettura dei termini e condizioni di ogni piattaforma, la comprensione di dove vengono archiviati i dati e chi vi ha accesso, e l’uso di strumenti come i VPN per migliorare la privacy e la sicurezza online”, ha dichiarato Warmenhoven.

1. 1.Usa una VPN per proteggere la tua identità: per cambiare la tua posizione virtuale, crittografare il tuo traffico e avere maggiore privacy usa una VPN. Anche se il chatbot AI può comunque tracciare ciò che scrivi e analizzare la tua attività, rende più arduo associare ciò che fai a chi sei.
2. 2.Verifica sempre le risposte dell’AI: prima di fidarti di un’informazione fornita da DeepSeek, confrontala con fonti affidabili, soprattutto se riguarda argomenti delicati come la salute, la sicurezza o le notizie di attualità. Inoltre, fai attenzione ai suggerimenti che potrebbero essere basati su bias algoritmici o dati incompleti. Un approccio critico è essenziale per evitare di diffondere involontariamente disinformazione o cadere vittima di allucinazioni AI.
3. 3.Modifica le impostazioni sulla privacy, se possibile: anche se DeepSeek potrebbe non offrire molte opzioni per limitare la raccolta dati, è sempre utile controllare le impostazioni dell’account e attivare qualsiasi funzione che possa ridurre la tua esposizione. Alcune piattaforme AI consentono di disattivare la condivisione dei dati per l’addestramento del modello o di limitare il tracciamento delle attività. Se possibile, evita di collegare il tuo account a servizi di terze parti come Google o Apple, poiché questo potrebbe aumentare la quantità di dati condivisi.
4. 4.Utilizza email e credenziali temporanee: se DeepSeek richiede la registrazione, evita di usare il tuo indirizzo email principale o le credenziali di altri account e non usare mai i tuoi account di lavoro, perché, in caso di violazione, questo potrebbe esporre la tua azienda a gravi rischi. Puoi creare un'email temporanea o utilizzare un gestore di password per generare credenziali uniche, riducendo il rischio di esposizione in caso di violazioni dei dati.
5. 5.Utilizza strumenti di sicurezza aggiuntivi: oltre alla già citata VPN, considera altri strumenti di sicurezza come estensioni per il browser che bloccano il tracciamento, gestori di password per evitare riutilizzi rischiosi e strumenti di protezione contro phishing e malware.
6. 6.Considera alternative più sicure: valuta l’uso di chatbot AI con politiche di privacy più trasparenti e conformi alle normative sulla protezione dei dati, come il GDPR, che offrono maggiori controlli sulla raccolta e conservazione delle informazioni. Prima di utilizzare una piattaforma o strumento AI (ma questo è un consiglio valido sempre per ogni app o sito web) verifica sempre dove vengono archiviati i tuoi dati e quali garanzie di protezione offrono.

Come ci ricorda il nostro esperto Adrianus Warmenhoven: “Gli utenti dovrebbero valutare se le loro interazioni o i dati caricati potrebbero contribuire inavvertitamente a processi di apprendimento automatico, con il rischio di un utilizzo improprio dei dati o dello sviluppo di strumenti che potrebbero essere sfruttati in modo dannoso.”