Usare un chatbot significa muoversi in un campo minato per la privacy e la censura.

Le app di chat basate su AI come ChatGPT raccolgono dati degli utenti, filtrano le risposte e prendono decisioni sulla moderazione dei contenuti che non sono sempre trasparenti. Ma DeepSeek — un nuovo chatbot basato su AI sviluppato in Cina che sta attirando un’attenzione senza precedenti come una grave minaccia per (nuova finestra)le(nuova finestra) aziende tecnologiche occidentali(nuova finestra) — fa tutto questo e molto altro.

Di fatto, questo chatbot comporta un rischio ancora maggiore: DeepSeek è legalmente tenuto a conformarsi alle richieste del governo cinese per l’accesso ai dati e il controllo dei contenuti, senza alcuna possibilità legale di opporsi.

Mentre i governi di tutto il mondo — inclusi quelli di Stati Uniti e UE — possono richiedere dati alle aziende tecnologiche tramite mandato di comparizione, le aziende occidentali dispongono di vie legali per contestare tali richieste in tribunale. OpenAI, Google e Meta, ad esempio, possono opporsi alla maggior parte delle richieste governative eccessive, presentare ricorso presso tribunali indipendenti o rifiutare richieste che violano le leggi sulla privacy come il GDPR. DeepSeek, tuttavia, opera in conformità alla Legge sull’intelligence nazionale cinese(nuova finestra), che costringe le aziende a collaborare con le attività di intelligence governativa senza alcuna trasparenza o possibilità di rifiuto legale. Ciò significa che, se il governo cinese desidera accedere ai dati degli utenti o manipolare le risposte generate dall’IA, DeepSeek non ha altra scelta se non quella di conformarsi.

Questo articolo analizza cosa raccoglie esattamente DeepSeek e perché è importante per la tua privacy, la censura e il controllo governativo.

Cos’è DeepSeek?

DeepSeek è una startup di IA di proprietà di High-Flyer, un hedge fund con sede in Cina(nuova finestra). È stata promossa come un’alternativa open source a ChatGPT, in grado di generare risposte simili a quelle umane, fornire assistenza nella programmazione e risolvere problemi complessi, il tutto a basso costo(nuova finestra).

Il modello ha ottenuto attenzione internazionale(nuova finestra) per aver presumibilmente eguagliato le prestazioni dei principali modelli di IA occidentali a una frazione del costo. A gennaio 2025, DeepSeek aveva superato ChatGPT per download sull’App Store di Apple(nuova finestra), scatenando una svendita globale delle azioni tecnologiche e sollevando preoccupazioni per i miliardi di dollari che le aziende tecnologiche statunitensi stanno investendo nell’espansione di data center energivori, una spesa che sostengono essere vitale per la prossima svolta nell’IA.

Ma man mano che le persone hanno iniziato a scaricare DeepSeek e a condividere le proprie esperienze con il chatbot, è emerso chiaramente che l’utilizzo di DeepSeek comporta un compromesso familiare per questa categoria di tecnologia: la tua privacy e la sicurezza delle tue informazioni più sensibili.

Gravi falle di sicurezza

Nuove ricerche hanno rivelato che le pratiche di sicurezza di DeepSeek potrebbero essere preoccupanti tanto quanto le sue Policy sui dati, che approfondiremo più avanti.

Il 29 gennaio 2025, l’azienda di cybersecurity Wiz ha riferito(nuova finestra) che DeepSeek aveva accidentalmente lasciato esposte su Internet oltre un milione di righe di dati sensibili. La perdita includeva chiavi software digitali, che avrebbero potuto potenzialmente consentire l’accesso non autorizzato ai sistemi di DeepSeek, e log di chat di utenti reali, che mostravano i prompt effettivi forniti al chatbot.

I ricercatori di Wiz hanno affermato di aver trovato il database quasi immediatamente con una scansione minima. Entro 30 minuti dal contatto di Wiz con DeepSeek, il database è stato bloccato, ma non è chiaro se malintenzionati abbiano avuto modo di accedere o scaricare i dati prima che venissero messi in sicurezza. Data la facilità con cui è stato trovato, lo scenario è decisamente possibile.

Ami Luttwak, chief technology officer di Wiz, ha dichiarato a Wired(nuova finestra) che la perdita è stata un “errore drammatico”, avvertendo che i sistemi di DeepSeek non sono abbastanza maturi “per essere utilizzati con dati sensibili di alcun tipo”.

Questa perdita, tuttavia, ha chiarito almeno una cosa: DeepSeek non solo raccoglie e archivia enormi quantità di dati degli utenti, ma sembra anche mancare delle misure di sicurezza necessarie per proteggerli.

Quali dati raccoglie DeepSeek?

Secondo la sua Informativa sulla privacy(nuova finestra), DeepSeek raccoglie un’ampia gamma di dati personali, tra cui:

  • Informazioni sul profilo: nome utente, email, numero di telefono, password e data di nascita.
  • Input dell’Utente: tutto ciò che scrivi o carichi, inclusa la cronologia delle chat, i prompt e l’input audio.
  • Dati del dispositivo e di rete: indirizzo IP, modello del dispositivo, sistema operativo, lingua di sistema e pattern di digitazione.
  • Dati di utilizzo: funzionalità che utilizzi, azioni che intraprendi e log delle prestazioni del sistema.
  • Cookie e tracker: web beacon e altre tecnologie di tracciamento per monitorare il comportamento dell’Utente.
  • Dati di terze parti: informazioni da account collegati e partner pubblicitari che tracciano la tua attività su siti web, app e store.

La gestione e l’archiviazione di questi dati da parte di DeepSeek su server in Cina, dove sono soggetti ad accesso governativo, ha sollevato allarmi tra i regolatori europei.

DeepSeek è sotto indagine in Europa

Sia la Data Protection Commission (DPC) irlandese(nuova finestra) che l’ Autorità Garante per la protezione dei dati personali (DPA) italiana(nuova finestra) hanno avviato indagini(nuova finestra) su come l’azienda raccoglie, archivia e tratta i dati degli utenti.

Il DPA italiano ha bloccato l’accesso a DeepSeek nel paese dopo che l’azienda non ha fornito informazioni sufficienti sulla gestione dei dati personali. I regolatori vogliono sapere quali dati raccoglie DeepSeek, dove vengono archiviati e se è conforme alle leggi sulla privacy dell’UE come il GDPR.

Anche il DPC irlandese ha richiesto dettagli su come DeepSeek elabora i dati degli utenti irlandesi. Nel frattempo, l’app di DeepSeek è stata rimossa dagli app store di Apple e Google in Italia, sebbene non sia chiaro se la rimozione sia stata volontaria o imposta.

Se DeepSeek non dovesse rispettare le leggi europee sulla privacy, potrebbe affrontare multe, divieti o ulteriori restrizioni nell’UE.

DeepSeek è open source, ma è sicuro?

DeepSeek è open source, il che significa che puoi modificare il codice(nuova finestra) sulla tua app per creare una versione indipendente, e più sicura. Ciò ha portato alcuni a sperare che possa essere sviluppata una versione di DeepSeek più rispettosa della privacy. Tuttavia, utilizzare DeepSeek nella sua forma attuale, così come esiste oggi, ospitato in Cina, comporta seri rischi per chiunque sia preoccupato per le proprie informazioni sensibili e private.

Qualsiasi modello addestrato o gestito sui server di DeepSeek è comunque soggetto alle leggi cinesi sui dati, il che significa che il governo cinese può richiederne l’accesso in qualsiasi momento.

Se stai cercando un’esperienza di IA più privata, eseguire modelli localmente è un’opzione migliore. Strumenti come LM Studio(nuova finestra) ti consentono di scaricare ed eseguire modelli di IA direttamente sul tuo dispositivo, mantenendo i tuoi dati privati.

Anche se la tecnologia di DeepSeek è promettente, le sue pratiche relative ai dati e gli obblighi legali lo rendono un serio rischio per la privacy e la sicurezza.

DeepSeek è oggetto delle leggi sulla sorveglianza cinesi

DeepSeek opera ai sensi della Legge sull’intelligence nazionale cinese del 2017(nuova finestra), uno statuto che obbliga tutte le aziende cinesi ad assistere il governo in questioni di sicurezza nazionale. Ciò significa che qualsiasi azienda cinese, da TikTok a RedNote fino a DeepSeek, può essere costretta a condividere i dati degli utenti con le autorità cinesi(nuova finestra), anche se tali dati provengono da utenti negli Stati Uniti o altrove.

Questa legge richiede a tutte le aziende cinesi di:

  • Fornire al governo l’accesso ai dati degli utenti su richiesta
  • Assistere nelle operazioni di intelligence nazionale
  • Mantenere il riserbo sulla condivisione dei dati imposta dallo Stato

DeepSeek non ha altra scelta se non quella di conformarsi alle richieste del governo, che ciò significhi consegnare dati privati degli utenti o adattare i propri output di IA per corrispondere alle narrazioni approvate dallo Stato(nuova finestra).

DeepSeek sta già censurando le informazioni

Tutte le principali app di chat basate su IA hanno Policy di moderazione dei contenuti, regole e limiti utilizzati principalmente per prevenire danni, non per controllare narrazioni politiche. Ma sembra che DeepSeek stia attivamente riscrivendo la storia e promuovendo messaggi approvati dal governo.

Un dipendente di Proton, ad esempio, ha digitato questo prompt in DeepSeek, cercando informazioni sulle proteste di piazza Tienanmen del 1989, un movimento guidato dagli studenti che ha trasformato il governo cinese: “Principali eventi mondiali del 15 aprile 1989”. DeepSeek ha iniziato a generare una risposta, ma l’ha rapidamente cancellata, offrendo invece questa risposta: “Spiacente, va oltre il mio ambito attuale. Parliamo di qualcos’altro.”

Secondo ulteriori test condotti da The Diplomat(nuova finestra), DeepSeek:

  • Si è rifiutato di riconoscere importanti eventi storici: quando interrogato sulla Rivoluzione Culturale, si è comportato come se l’evento non fosse mai accaduto.
  • Censura di fatti politicamente scomodi: quando interrogato sull’intellettuale perseguitato Chu Anping, ha ignorato la sua scomparsa e ha invece elogiato il PCC per il suo supporto agli intellettuali.
  • Promozione di propaganda statale: quando interrogato sull’economia cinese, DeepSeek ha reindirizzato la conversazione verso la fiducia nella leadership del governo.
  • Modifica delle risposte su dispute internazionali: quando interrogato su chi possieda le isole Spratly, DeepSeek ha inizialmente riconosciuto la disputa territoriale, ma poi ha cancellato la sua risposta e l’ha sostituita con: “Parliamo di qualcos’altro.”
  • Evitamento di risposte dirette su conflitti globali: quando interrogato se l’invasione russa dell’Ucraina fosse giustificata, DeepSeek si è rifiutato di dare una risposta affermativa o negativa, ripetendo invece la posizione ufficiale di neutralità della Cina.

Ecco come appaiono la censura imposta dallo stato e il controllo della narrazione.

I chatbot sono strumenti potenti, ma il compromesso è la tua privacy

L’ascesa dei modelli linguistici di grandi dimensioni come assistenti chatbot solleva già gravi preoccupazioni per la privacy e la censura, con aziende come OpenAI e Google che piegano le regole e raccolgono enormi quantità di dati con scarsa trasparenza. Tuttavia, non c’è alcun motivo tecnico per cui l’IA debba essere così invasiva: un’IA privata e sicura è possibile, eppure nessuno la sta costruendo.

DeepSeek porta queste preoccupazioni ancora oltre. Non solo raccoglie ampie informazioni personali, ma non può legalmente resistere alle richieste del governo di accedere ai dati e manipolare i contenuti. Invece di progettare un’IA che rispetti la privacy dell’utente, queste aziende danno la priorità alla raccolta di dati, al tracciamento e a policy di moderazione opache.

In Proton, crediamo nella privacy, nella trasparenza e in un internet libero dalla censura. Che si tratti di IA, social media o servizi cloud, meriti di sapere chi controlla i tuoi dati e come vengono utilizzati.

Se ti sta a cuore la privacy online e la libertà digitale, fai attenzione agli strumenti IA a cui ti affidi, perché non tutti hanno a cuore i tuoi interessi.