L’utilizzo dell’intelligenza artificiale nei servizi di assistenza clienti promette maggiore efficienza e tempi di risposta più rapidi (per saperne di più su questi servizi clicca qui), ma può introdurre nuove vulnerabilità quando viene impiegato in processi particolarmente delicati. È quanto emerso dal recente incidente che ha coinvolto Instagram e il sistema automatizzato di recupero degli account sviluppato da Meta.
▶” frameborder=”0″ allow=”accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture” allowfullscreen title=”Vedi il video”>
Secondo quanto riconosciuto dall’azienda, un bug presente nel sistema di supporto basato su IA consentiva di inviare il link per il reset della password a un indirizzo e-mail anche se non associato a quello specifico account.
In pratica, un soggetto malintenzionato poteva dichiarare di aver perso l’accesso al proprio profilo, indicare un nuovo indirizzo e-mail e ricevere il collegamento per reimpostare la password senza che venisse effettuata una verifica adeguata dell’identità.
La vulnerabilità rientra nei classici casi di broken authentication e improper authorization, poiché il sistema eseguiva un’operazione critica senza accertare che il richiedente fosse realmente il titolare dell’account.
Meta ha successivamente corretto il problema e notificato l’accaduto a oltre 20.000 profili potenzialmente coinvolti.
Tra i dati personali che avrebbero potuto essere esposti figuravano informazioni del profilo, indirizzi e-mail, numeri di telefono e, nei casi più gravi, l’accesso ai messaggi privati.
I profili normativi: GDPR e protezione dei dati
L’incidente solleva importanti questioni sotto il profilo della protezione dei dati personali e della sicurezza dei sistemi informatici. In primo luogo, si configura una violazione del principio di integrità e riservatezza previsto dall’articolo 5 del GDPR, secondo cui i dati personali devono essere protetti da accessi non autorizzati mediante adeguate misure tecniche e organizzative.
Particolarmente rilevante è poi l’articolo 32 del Regolamento UE 2016/679, che impone ai titolari del trattamento di adottare misure di sicurezza adeguate ai rischi connessi alle attività svolte. La norma richiede di garantire la riservatezza, l’integrità e la disponibilità dei dati trattati (per un approfondimento sul trattamento dei dati in azienda clicca qui).
Come si evince nel caso concreto, la possibilità di reimpostare le credenziali del profilo Instagram senza un’effettiva verifica dell’identità del richiedente, espone gli utenti al rischio di accessi non autorizzati ai propri dati personali.
L’episodio richiama, inoltre, il principio di privacy by design sancito dall’articolo 25 GDPR.
Tale disposizione impone che la protezione dei dati venga incorporata sin dalla fase di progettazione di un sistema e non introdotta soltanto in un momento successivo. In altre parole, il titolare del trattamento deve valutare attentamente le possibili vulnerabilità e implementare adeguati meccanismi di prevenzione.
Per cui, il problema non riguarda soltanto il malfunzionamento tecnico del sistema, ma anche il modo in cui il ripristino della password è stato progettato e messo in produzione. L’episodio dimostra come sicurezza informatica e protezione dei dati siano aspetti strettamente connessi, soprattutto quando l’intelligenza artificiale viene impiegata nella gestione di procedure che incidono direttamente sull’identità digitale degli utenti.
Come prevenire casi simili
L’automazione non può sostituire completamente i controlli di sicurezza tradizionali.
Tra le misure più efficaci rientra l’autenticazione multifattore (MFA), che richiede una verifica aggiuntiva prima di modificare password, indirizzi e-mail o numeri di telefono associati all’account. Inoltre, è fondamentale verificare l’identità dell’utente attraverso canali già registrati, evitando di basarsi esclusivamente sulle informazioni fornite durante la conversazione con il chatbot.
Un altro principio chiave è quello del minimo privilegio: i sistemi di IA dovrebbero avere accesso soltanto alle funzionalità strettamente necessarie e non poter eseguire autonomamente operazioni ad alto impatto. In questo contesto assume particolare importanza il modello cd human-in-the-loop, nel quale l’intelligenza artificiale supporta il processo ma le decisioni più critiche restano sotto il controllo di un operatore umano.
Completano il quadro di sicurezza periodici, attività di red teaming per simulare possibili attacchi e sistemi di monitoraggio capaci di individuare comportamenti anomali, come richieste ripetute di recupero account o modifiche delle credenziali provenienti da località insolite.
Privacy by design e sicurezza: requisiti imprescindibili
Il caso Instagram dimostra come l’intelligenza artificiale può offrire un supporto prezioso nell’automazione dei servizi di assistenza, ma non può sostituire adeguati meccanismi di sicurezza nei processi più delicati. La vulnerabilità non è infatti derivata dall’IA in sé, bensì dall’aver affidato a un sistema automatizzato una procedura delicata come il recupero degli account senza sufficienti controlli di verifica dell’identità.
L’episodio evidenzia inoltre che la protezione dei dati personali non dipende esclusivamente dall’assenza di vulnerabilità tecniche, ma anche dalle scelte effettuate durante la progettazione e la gestione dei sistemi.
Quando sono coinvolti dati personali e credenziali di accesso, principi come privacy by design, autenticazione forte e supervisione umana diventano elementi essenziali per ridurre i rischi e garantire la conformità alle prescrizioni del GDPR.
In un contesto in cui l’intelligenza artificiale viene sempre più integrata nei servizi digitali, il vero obiettivo non è sostituire l’intervento umano, ma utilizzare l’automazione in modo sicuro, mantenendo un adeguato equilibrio tra innovazione, tutela degli utenti e protezione dei dati personali.
Se sei un’azienda e necessiti di supporto in tema di privacy, rivolgiti ai nostri partner dello Studio Legale FCLEX esperti di diritto dell’informatica e delle nuove tecnologie.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Avv. Giuseppe Croari
Source link



