Le criticità di security e privacy di DeepSeek in un contesto in crescita

Nelle ultime settimane è salita alla ribalta DeepSeek, la startup cinese di AI che ha messo in allarme i leader tecnologici, ma su cui serve attenzione viste le molteplici vulnerabilità cui vengono esposti i dati sensibili degli utenti. C’è forte preoccupazione per il settore dell’AI e DeepSeek potrebbe essere solo l’inizio di una quantità maggiore di vulnerabilità man mano che aumenta la domanda di capacità di AI

A cura di Alex Stamos, Chief Information Security Officer di SentinelOne

DeepSeek, la startup cinese di AI, sta vivendo un intenso dibattito a causa di significative vulnerabilità di sicurezza e di incidenti di esposizione dei dati, proprio quando ha acquisito una posizione di rilievo nell’innovativo settore dell’AI. I modelli linguistici di grandi dimensioni della società, in particolare DeepSeek-R1, sono stati acclamati come promettenti alternative alle principali tecnologie di AI. Tuttavia, le preoccupazioni sulla privacy e sulla cybersicurezza ne hanno offuscato il debutto.

In Italia, l’app DeepSeek non è più disponibile sugli store di Android e iPhone in quanto il Garante ne ha bloccato l’utilizzo per problemi legati alla Privacy.  In una nota di fine gennaio, il Garante per la protezione dei dati personali comunica di aver “disposto, in via d’urgenza e con effetto immediato, la limitazione del trattamento dei dati degli utenti italiani nei confronti di DeepSeek ed è stato chiesto di comunicare quali siano i dati personali raccolti, da quali fonti, per quali finalità, quale sia la base giuridica del trattamento, e su quali server sono conservati i dati stessi”.

La criticità sull’utilizzo di DeepSeek si sta diffondendo anche in altri paesi europei visto che la Commissione Irlandese per la protezione dei dati ha chiesto a DeepSeek dettagli sul trattamento dei dati dei propri cittadini. Lo stesso vale per il Belgio, dove l’organizzazione per la tutela dei consumatori ha annunciato che l’autorità di regolamentazione per la protezione dei dati del Paese ha aperto un’indagine su DeepSeek in seguito a un reclamo presentato per il “trasferimento illegale di dati”.

Contestualmente, alcune ricerche hanno indicato allarmanti vulnerabilità insite nei modelli di AI di DeepSeek e, pochi giorni dopo il lancio del modello di prima generazione DeepSeek, DeepSeek-R1-Zero, l’azienda ha annunciato restrizioni temporanee alla registrazione di nuovi account a causa di attacchi malevoli su larga scala ai propri servizi.

Il principale aspetto che si rileva è la mancanza di trasparenza immediata da parte di DeepSeek e sono molteplici i rischi legati alla proprietà intellettuale e alla sicurezza dei dati, unitamente ai processi di raccolta dati e all’utilizzo dei modelli di AI.  DeepSeek non è certo l’ultimo laboratorio di AI che uscirà dalla Cina, e le università e le aziende tecnologiche a livello globale dovrebbero rimanere vigili in materia di sicurezza per assicurarsi di non perdere il proprio vantaggio in termini di innovazione.

L’AI sta accelerando e, con il miglioramento dell’efficienza, l’adozione aumenterà e i casi d’uso esploderanno. E per ogni caso d’uso legittimo, ci sarà un caso d’uso maligno corrispondente. I consumatori e le imprese dovrebbero, quando si tratta di AI di provenienza cinese, adottare un approccio prudente di tipo “buyer beware”. I prezzi bassi e la tecnologia veloce possono essere allettanti, ma i rischi per la sicurezza sono reali per individui e imprese. Con i vantaggi a basso costo, molti potrebbero trascurare i principi fondamentali di sicurezza, mettendo a rischio i dati sensibili.

In particolare, i CIO e CISO delle principali aziende che si trovano al bivio tra innovazione e sicurezza devono assolutamente sviluppare protocolli rigorosi per il monitoraggio delle applicazioni di intelligenza artificiale, applicando al tempo stesso misure di conformità e avviando modelli di risposta automatica alle violazioni per salvaguardarsi dalle invasioni.

La rapida evoluzione della tecnologia AI deve essere accompagnata da procedure di sicurezza altrettanto mature per evitare esiti catastrofici. Il dialogo tra i team di sviluppo dell’AI e gli esperti di cybersecurity aiuta a colmare il divario tra innovazione e sicurezza ed è indispensabile adottare misure proattive per evitare il caos dell’impreparazione.

Nel complesso, la storia di DeepSeek rispecchia le sfide che molte startup IT stanno affrontando: una crescita vertiginosa associata a importanti rischi. L’impatto di una gestione poco attenta a dati e protocolli di security può persistere a lungo dopo il tramonto dei titoli sui giornali. Per far sì che l’entusiasmo legato ai modelli della nuova AI si realizzi in modo duraturo, occorre riconoscere i rischi intrinseci e affrontarli direttamente.

Di certo, con la continua evoluzione dell’AI, è necessario adottare misure di sicurezza rigorose per proteggere i dati sensibili e mantenere la fiducia degli utenti. L’approccio proattivo deve iniziare oggi o si rischia di ripetere gli errori del passato.