I browser che integrano l'intelligenza artificiale minacciano la privacy degli utenti rastrellando dati sensibili e monitorando la navigazione web
Un nuovo studio condotto da ricercatori dell’University College di Londra (UCL) e dell’Università degli Studi Mediterranea di Reggio Calabria ha svelato allarmanti problemi di privacy con i sempre più popolari “AI browser” che integrano un assistente di intelligenza artificiale generativa direttamente negli strumenti di navigazione web.

Lo studio ha infatti dimostrato in modo sistematico che questi tool, progettati per migliorare la navigazione online con funzionalità basate sull’AI come la sintesi e l’assistenza alla ricerca, rastrellano dati personali dall’attività web degli utenti tracciando e condividendo informazioni sensibili degli utenti, comprese le cartelle cliniche, numeri di previdenza sociale, e perfino dettagli bancari online, con il rischio di un potenziale monitoraggio della navigazione anche tra un sito web e l’altro.
I ricercatori hanno analizzato 10 popolari estensioni per browser, tra cui ChatGPT di OpenAI, Copilot di Microsoft e Merlin AI, un’estensione per il browser Chrome di Google, scoprendo che questi strumenti raccolgono informazioni personali dettagliate, spesso in modo non trasparente senza il consenso dell’utente e senza adeguate garanzie.
“Sebbene molte persone siano consapevoli che i motori di ricerca e le piattaforme di social media raccolgono informazioni su di loro per la pubblicità mirata, questi assistenti dei browser AI operano con un accesso senza precedenti al comportamento online degli utenti in aree della loro vita online che dovrebbero rimanere private” - ha spiegato Anna Maria Mandalari, autrice senior dello studio della UCL Electronic & Electrical Engineering – “Se è vero che questi strumenti offrono comodità, i nostri risultati mostrano però che spesso lo fanno a costo della privacy degli utenti, senza trasparenza e senza consenso, talvolta anche in violazione delle normative sulla privacy o dei termini di servizio della stessa società produttrice”.
Lo studio ha dimostrato che alcuni assistenti degli AI browser, in particolare Merlin e Sider, hanno catturato dati sensibili anche quando gli utenti accedevano ad aree private o si connettevano a portali sanitari online.
Intercettando e decifrando il traffico tra gli assistenti del browser, i server degli strumenti di AI e i tracker di terze parti, i ricercatori sono stati in grado di analizzare il trasferimento dei dati in tempo reale, evidenziando come questi strumenti minacciano la privacy degli utenti.
I metodi di tracciamento includono la trasmissione ai server degli assistenti di intelligenza artificiale dei contenuti completi delle pagine web visitate, comprese le informazioni digitate nei moduli online e altre informazioni visualizzate sullo schermo dell’utente.
Lo studio ha inoltre rilevato che diversi assistenti, tra cui ChatGPT per Google, Copilot e Monica, potrebbero dedurre attributi utente come età, sesso, reddito e interessi e utilizzare queste informazioni per personalizzare le risposte attraverso diverse sessioni di navigazione. Solo un assistente, Perplexity, è stato trovato per non impegnarsi nella profilazione o nella personalizzazione.
“Poiché l’intelligenza artificiale generativa diventa più integrata nelle nostre vite digitali, dobbiamo garantire che la privacy non venga sacrificata in nome della comodità. Il nostro lavoro pone le basi per la futura regolamentazione e la trasparenza in questo spazio in rapida evoluzione”, ha aggiunto Aurelio Canino, coautore dello studio dell’UCL e dell’Università Mediterranea di Reggio Calabria.
Considerando che i risultati dello studio hanno indicato che alcuni assistenti AI violano le leggi sulla protezione dei dati degli Stati Uniti, come il Health Insurance Portability and Accountability Act (HIPAA) e il Family Educational Rights and Privacy Act (FERPA), raccogliendo informazioni sanitarie ed educative protette, i ricercatori hanno pertanto sottolineato l’urgente necessità di una supervisione normativa per proteggere i dati personali dalla raccolta e dalla condivisione non autorizzate.
Essendo stata condotta negli Usa, la ricerca non ha riguardato la compatibilità con le leggi europee sulla protezione dei dati come il GDPR, ma gli autori hanno ipotizzato anche probabili violazioni delle normative dell’UE.
Fonte: University College London






