Provvedimento d’urgenza dopo la scoperta di una falla che ha esposto milioni di dati sensibili
Il Garante per la protezione dei dati personali ha disposto, con effetto immediato, la limitazione del trattamento dei dati degli utenti italiani da parte di Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence, le società cinesi che forniscono il chatbot DeepSeek. Il provvedimento, adottato in via d’urgenza, arriva all’indomani della rimozione dell’applicazione dagli store digitali di Google e Apple in Italia e fa seguito a una comunicazione ricevuta dalle due aziende, ritenuta “del tutto insufficiente” dall’autorità italiana.
Secondo quanto dichiarato dal Garante, le società coinvolte hanno negato di operare in Italia e di essere soggette alla normativa europea sulla protezione dei dati. Tuttavia, il software DeepSeek – una piattaforma di intelligenza artificiale progettata per comprendere ed elaborare le conversazioni umane – ha rapidamente guadagnato popolarità a livello globale, registrando milioni di download in pochi giorni.
Una falla nella sicurezza espone milioni di dati
Parallelamente al blocco imposto dal Garante, un team di ricercatori di Wiz ha scoperto una grave vulnerabilità nel sistema DeepSeek, che ha esposto milioni di dati sensibili degli utenti. Il bug, individuato all’interno di un database ClickHouse collegato alla piattaforma, consentiva l’accesso remoto senza autenticazione, mettendo a rischio la cronologia delle chat, credenziali di accesso e informazioni sulle API utilizzate dagli sviluppatori.
Sebbene l’azienda cinese abbia corretto la falla dopo la segnalazione, resta il dubbio su un possibile utilizzo illecito dei dati da parte di cybercriminali. Gli esperti hanno evidenziato come la vulnerabilità potesse permettere a soggetti non autorizzati di ottenere privilegi all’interno dell’infrastruttura di DeepSeek, con la possibilità di esfiltrare password e file direttamente dal server.
Il Garante della Privacy ha anche avviato un’istruttoria per verificare le responsabilità delle società coinvolte e la reale portata della violazione. Il caso DeepSeek si inserisce in un quadro più ampio di crescente attenzione nei confronti delle piattaforme di intelligenza artificiale, che raccolgono e processano enormi quantità di dati personali.
L’episodio solleva nuovi interrogativi sulla sicurezza e la trasparenza dei sistemi di IA, soprattutto in un contesto in cui la protezione dei dati rappresenta una priorità per le autorità europee. Resta da vedere quali saranno le conseguenze per DeepSeek e se altre nazioni seguiranno l’esempio italiano nel bloccare l’accesso alla piattaforma.