L’incidente e le reazioni interne
Madhu Gottumukkala, direttore ad interim della Cybersecurity and Infrastructure Security Agency (CISA), ha innescato un’allerta di sicurezza lo scorso estate caricando documenti contrattuali riservati in una versione pubblica di ChatGPT. I file, contrassegnati come "for official use only" – una classificazione governativa per informazioni sensibili non destinate alla divulgazione – hanno attivato protocolli automatici di difesa informatica. L’episodio, confermato da quattro funzionari del Dipartimento della Sicurezza Interna (DHS), ha portato a una valutazione dei danni a livello dipartimentale. Particolarmente controversa è la circostanza che Gottumukkala avesse richiesto e ottenuto un accesso speciale a ChatGPT tramite l’Ufficio del Chief Information Officer di CISA poco dopo il suo insediamento a maggio 2023, nonostante lo strumento fosse bloccato per il resto dei dipendenti DHS. Fonti interne sottolineano l’ironia di un vertice della sicurezza informatica federale coinvolto in una potenziale violazione, sollevando interrogativi sui criteri di concessione delle autorizzazioni.
Rischi e implicazioni per la sicurezza nazionale
L’utilizzo di ChatGPT per elaborare dati sensibili espone a rischi concreti: i materiali inseriti in piattaforme di intelligenza artificiale generativa possono essere conservati nei server degli sviluppatori o utilizzati per addestrare algoritmi, diventando potenzialmente accessibili a terzi. Nel caso specifico, non è chiaro se i documenti caricati contenessero dettagli operativi critici, ma la classificazione "ufficiali" implica standard di protezione elevati. L’episodio riflette tensioni più ampie nell’adattamento delle agenzie governative alle tecnologie emergenti, spesso senza linee guida consolidate. Il DHS ha avviato un audit per verificare l’entità della potenziale esposizione dei dati, mentre esperti di cybersecurity evidenziano il paradosso di una figura apicale che bypassa protocolli da lei stessa supervisionati. La mancanza di politiche chiare sull’uso dell’AI nel settore pubblico – tema su cui la Casa Bianca ha emanato solo direttive preliminari a ottobre 2023 – amplifica i rischi di simili episodi. Fonti: Politico Dipartimento della Sicurezza Interna (DHS)