Il GPDP (Garante per la Protezione dei Dati Personali) ha disposto un blocco immediato per l’intelligenza artificiale cinese DeepSeek. Questa decisione interessa le aziende Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence, responsabili dello sviluppo del chatbot, e si applica al trattamento dei dati degli utenti italiani, in risposta a comunicazioni ritenute insufficienti da parte delle società coinvolte. Il Garante ha comunicato la propria decisione tramite una nota ufficiale, a seguito della rimozione dell’app dalle versioni italiane del Play Store e dell’App Store. È emersa anche una grave vulnerabilità nei database di DeepSeek, con oltre un milione di chat e informazioni sensibili potenzialmente esposte online.
Provvedimento del Garante e contesto
Il provvedimento adottato dal Garante si inserisce in un contesto di crescente attenzione verso il trattamento dei dati personali da parte di aziende extraeuropee. Le società cinesi coinvolte hanno dichiarato di non operare in Italia e di non essere soggette alla normativa europea, posizione giudicata inaccettabile dall’Autorità. Il blocco, attuato in via d’urgenza, è volto a proteggere i dati degli utenti italiani da possibili violazioni e utilizzi impropri. Nel comunicato del Garante si evidenzia che la comunicazione ricevuta dalle società è stata ritenuta del tutto insufficiente.
Vulnerabilità nei sistemi di DeepSeek
Una ricerca condotta da Wiz Research, startup americana specializzata in cybersecurity, ha evidenziato falle critiche nella sicurezza dell’infrastruttura di DeepSeek. Gli esperti hanno scoperto istanze del database ClickHouse non adeguatamente protette, permettendo l’accesso pubblico a informazioni estremamente sensibili. Tra i dati esposti figuravano oltre un milione di registri delle conversazioni degli utenti non criptati, chiavi API e dettagli sul backend della piattaforma. La configurazione di accesso consentiva a chiunque di accedere a queste informazioni tramite semplici query SQL, senza alcuna forma di autenticazione.
La portata della vulnerabilità ha sollevato preoccupazioni tra gli esperti di sicurezza informatica, dato che il database conteneva log interni registrati a partire dal 6 gennaio 2025. La configurazione rischiava di consentire a malintenzionati di estrarre dati sensibili, tra cui messaggi privati e credenziali di accesso. Pur avendo DeepSeek reagito rapidamente chiudendo l’accesso ai database vulnerabili, rimane ancora il dubbio su eventuali accessi non autorizzati prima della scoperta della falla di sicurezza.
La vicenda di DeepSeek evidenzia questioni significative riguardo alla sicurezza dei dati nell’ambito dell’intelligenza artificiale e la necessità di un controllo rigoroso da parte delle autorità sui vari attori del settore.
