Una recente analisi condotta dalla società americana Harmonic Security ha acceso i riflettori su un rischio emergente ma spesso sottovalutato: l’utilizzo di strumenti di intelligenza artificiale generativa (GenAI) sviluppati in Cina da parte di dipendenti britannici e americani. Secondo lo studio, circa 1 lavoratore su 12 nel Regno Unito e negli Stati Uniti utilizza queste piattaforme, esponendo le aziende a gravi rischi di sicurezza, privacy e conformità normativa.
Di cosa stiamo parlando?
Gli strumenti di GenAI, come DeepSeek, Moonshot Kimi, Manus, Baidu Chat e Qwen, permettono di generare testi, codici o risposte intelligenti a domande complesse. Sono spesso gratuiti e molto potenti, ma nascondono insidie che chi lavora in azienda, senza competenze specifiche in cybersecurity, potrebbe non percepire.
Il problema principale? I dati inseriti in questi strumenti vengono conservati su server in Cina, dove le autorità locali possono accedervi. Questo significa che un dipendente che copia un pezzo di codice aziendale o un documento interno all’interno di una chat con uno di questi strumenti potrebbe, anche involontariamente, mettere in mano a soggetti esterni informazioni riservate.
Cosa ha scoperto l’indagine
Nel corso di 30 giorni, Harmonic Security ha analizzato l’attività di 14.000 utenti nel Regno Unito e negli Stati Uniti. Di questi, 1.059 hanno utilizzato strumenti cinesi di GenAI, caricando in totale 17MB di contenuti. Non sembra tanto, ma è bastato per identificare 535 casi di esposizione di dati sensibili.
I contenuti più esposti riguardavano:
Codice informatico, logiche proprietarie e credenziali di accesso (33%)
Documenti su fusioni e acquisizioni (18%)
Dati personali identificabili (come nomi, email, numeri di telefono) (18%)
Informazioni finanziarie riservate (14%)
Il principale “colpevole” è risultato essere DeepSeek, coinvolto nell’85% degli incidenti.
Perché è pericoloso?
Secondo Alastair Paterson, CEO di Harmonic Security, “tutti i dati inviati a queste piattaforme dovrebbero essere considerati potenzialmente accessibili dal governo cinese, a causa della totale mancanza di trasparenza su come vengono conservati, riutilizzati o impiegati per addestrare i modelli di IA”.
Inoltre, molte di queste piattaforme presentano vulnerabilità tecniche. Ad esempio, DeepSeek è stato trovato suscettibile a:
“Jailbreaking” (cioè forzare il modello a generare contenuti non autorizzati),
Allucinazioni (informazioni inventate),
Generazione di codice insicuro,
E problemi di sicurezza nella sua app Android, tra cui una fuga di dati avvenuta a gennaio, con chat e dati utente finiti online per errore.
Cosa possono fare le aziende (e i dipendenti)
Bloccare l’accesso a questi strumenti può sembrare la soluzione più semplice, ma spesso non è sufficiente: i dipendenti possono aggirare i divieti. La strada più efficace, secondo Harmonic Security, è formare il personale e sensibilizzarlo sui rischi.
Inoltre, è fondamentale che le aziende:
Forniscano alternative sicure e autorizzate agli strumenti GenAI,
Applichino regole chiare sull’uso dell’IA,
Vietino il caricamento di dati sensibili su piattaforme esterne non approvate.
L’uso degli strumenti di intelligenza artificiale è in forte crescita, ma non tutti gli strumenti sono uguali. Quando si tratta di sicurezza aziendale, la prudenza non è mai troppa. Se lavori in azienda, evita di usare strumenti non autorizzati, soprattutto se ospitati su server in paesi dove la protezione dei dati non è garantita. E se sei un datore di lavoro, non aspettare che sia troppo tardi: investi nella formazione e nella consapevolezza digitale del tuo team.
Autore: Redazione Sicurezza.it
Fonte: Harmonic Security
