ChatGpt, in quali casi davvero può inviare segnalazioni a denunce alla forze dell'ordine quando la si usa?

L'utilizzo massiccio dei chatbot generativi sta sollevando nuove domande sulla gestione dei dati degli utenti e sulle potenziali implicazioni legali di quanto viene condiviso in chat. Il tema delle segnalazioni alle forze dell'ordine mediante sistemi di intelligenza artificiale, come ChatGPT, è tornato al centro dell'attenzione dopo le recenti dichiarazioni di rappresentanti istituzionali e autorità garanti della privacy.

Crescono dubbi e timori tra gli utenti: la piattaforma potrebbe davvero inviare segnalazioni alle autorità? E in quali circostanze? La crescente integrazione nella quotidianità digitale, dal lavoro alla vita universitaria, pone interrogativi non solo sulla privacy, ma anche su sicurezza, automazione delle decisioni e diritti dei cittadini. Comprendere il reale funzionamento dei sistemi di controllo - tra policy, leggi e intervento umano - appare essenziale per un approccio consapevole e sicuro all'uso delle tecnologie basate su intelligenza artificiale, rispettando la cornice normativa e i principi di affidabilità e trasparenza.

La privacy nelle conversazioni con ChatGPT: cosa sappiamo realmente?

Contrariamente alla percezione diffusa, le interazioni con ChatGPT non sono da considerarsi private in senso assoluto. Le condizioni di utilizzo del servizio e la privacy policy rilasciata da OpenAI evidenziano che i dati inseriti nelle conversazioni possono essere oggetto di raccolta, archiviazione, e - in specifici casi - analisi da parte del personale autorizzato. Questa raccolta ha finalità di miglioramento dei modelli, prevenzione di abusi e verifica della sicurezza della piattaforma:

• Raccolta dati: le interazioni possono essere archiviate e associate a identificatori quali e-mail, IP e preferenze dell'utente, soprattutto nei casi in cui non sia stata disabilitata la funzione di training.
• Revisione umana: Porzioni di conversazioni vengono selezionate e sottoposte a verifica da operatori autorizzati, con finalità di controllo qualità e sicurezza.
• Collaborazione con autorità: OpenAI dichiara la possibilità di cooperare con le autorità pubbliche in caso di processi legali o rischi imminenti per la sicurezza delle persone.

Le recenti pronunce del Garante per la protezione dei dati personali hanno inoltre sottolineato come la mancata trasparenza nell'informativa e la mancata implementazione di sistemi di verifica dell'età possano esporre anche utenti minori a rischi, obbligando la società a rafforzare le misure di tutela e informazione verso tutti i fruitori. Nonostante la fiducia che molti ripongono negli strumenti di IA generativa, le policy rivelano uno scenario in cui la confidenzialità ha limiti ben precisi, collegati sia a necessità tecniche, sia a previsioni normative stringenti.

I casi in cui ChatGPT può inviare segnalazioni: tra obblighi legali e situazioni di emergenza

L'attivazione di una segnalazione o della trasmissione di contenuti alle forze dell'ordine attraverso ChatGPT non è ordinaria, ma può verificarsi in due circostanze principali:

• Su ordine legale: Se un'autorità giudiziaria emette un provvedimento esplicito, ad esempio un mandato di perquisizione o un decreto di sequestro informatico, le informazioni presenti nelle conversazioni possono essere trasmesse agli inquirenti. Questa situazione avviene nel rispetto delle normative vigenti in tema di privacy e indagini penali.
• In situazioni di emergenza e danno imminente: Quando è ravvisata una minaccia seria, concreta e imminente - ad esempio un rischio di suicidio, gravi violenze, atti di terrorismo o sfruttamento minorile - OpenAI può valutare di inoltrare una segnalazione diretta alle autorità competenti anche in assenza di un preventivo provvedimento giudiziario.

La piattaforma specifica che tali interventi sono adoperati esclusivamente in presenza di indizi forti e credibili riguardo a reati gravi e non rappresentano prassi di sorveglianza generalizzata. Non vi è un automatismo che trasforma ogni parola sospetta in un'interazione con le forze dell'ordine: la procedura è attivata solo in situazioni limite dove la tutela della sicurezza pubblica o di singoli soggetti prevale sul diritto alla riservatezza. Esiste inoltre uno specifico percorso interno che implica sempre un controllo umano prima di qualsiasi segnalazione effettiva.

Il ruolo delle policy di OpenAI e dei revisori umani nella condivisione dei dati

Le linee guida delle principali piattaforme AI, tra cui quelle di OpenAI, delineano regole scritte che escludono l'uso del sistema per scopi illeciti, promuovendo un approccio trasparente nella gestione degli incidenti. Le policy includono:

• Divieto di attività illegali: La produzione, diffusione e facilitazione di contenuti collegati a crimini sono espressamente vietate.
• Revisione selettiva delle chat: Solo una minima porzione di conversazioni - soprattutto quelle segnalate dal sistema o dal personale umano per rischio di violazioni - viene valutata direttamente da revisori, con obbligo di riservatezza e rispetto delle normative sulla protezione dei dati personali.
• Interazione uomo-algoritmo: Gli automatismi algoritmici individuano potenziali situazioni di pericolo; tuttavia la decisione finale sulla segnalazione viene presa unicamente dopo verifica umana, per scongiurare falsi allarmi o errori di contesto.

Le policy di OpenAI richiamano espressamente la collaborazione con forze dell'ordine solo in presenza di presupposti ben definiti e tracciabili. In quei casi, la trasmissione di informazioni non è immediata, ma può richiedere anche approfondimenti aggiuntivi o coinvolgimento del dipartimento legale interno, rispettando i principi di necessità, proporzionalità e minimizzazione dei dati trasmessi.

Non solo automatismi: come funziona il processo di segnalazione

Il percorso che conduce alla segnalazione di una conversazione o utente alle competenti autorità si basa su una struttura a più livelli:

• Individuazione algoritmica: Il sistema automatizzato monitora le chat in cerca di parole chiave, pattern o comportamenti associati a pericoli oggettivi.
• Flag e allerta: In presenza di segnali sospetti, la conversazione viene “flagata”, cioè segnalata come meritevole di ulteriore approfondimento.
• Analisi da parte dei revisori umani: Persone autorizzate analizzano i casi segnalati per distinguere tra richieste legittime e reali pericoli, valutando il contesto e la credibilità della minaccia.
• Valutazione legale finale: Se dopo questa fase emergono motivi sufficienti, si attiva la comunicazione con le autorità, secondo le procedure definite dalla policy legale della società.

Questa successione di controlli garantisce che nessuna segnalazione venga inviata in modo automatico, affidando la valutazione finale sempre a personale esperto e competente. L'obiettivo è ridurre il rischio di segnalazioni infondate e preservare l'equilibrio tra sicurezza pubblica e tutela dei diritti individuali.

Rischi, novità normative e impatto sulla responsabilità delle AI company

L'emergere di queste pratiche digitali chiama in causa una serie di rischi e responsabilità non solo per le piattaforme che gestiscono i chatbot, ma anche per utenti e legislatori. Tra i principali profili di rischio si segnala:

• Violazione della privacy e dei diritti degli interessati: L'archiviazione e l'eventuale condivisione di dati personali potrebbero determinare violazioni del Regolamento UE 2016/679 (GDPR) e delle normative nazionali sulla protezione dei dati.
• Limiti delle policy e delle licenze d'uso: Le società produttrici tendono a declinare ogni responsabilità sull'utilizzo improprio della piattaforma, lasciando l'utente esposto a rischi di plagio, copyright e danni reputazionali.
• Evoluzione normativa: L'entrata in vigore dell'AI Act europeo (Regolamento UE 1689/2024) introduce nuovi standard, tra cui obblighi di trasparenza, valutazione del rischio e previsioni d'intervento in caso di deepfake, reati o danni causati dall'intelligenza artificiale.
• Responsabilità civile e penale delle compagnie AI: Sentenze recenti in ambito europeo e statunitense iniziano a configurare la responsabilità delle società tecnologiche per danni causati a utenti, in particolare nei casi di gravi falle di sicurezza, istigazione indiretta a comportamenti nocivi o mancato intervento tempestivo.

L'impatto pratico delle nuove regole si riscontra nello sviluppo di strumenti come parental control rafforzati, sistemi di notifica alle famiglie in caso di comportamenti pericolosi da parte di soggetti vulnerabili, e nuove best practice legali per la gestione del diritto d'autore e della trasparenza nell'uso di contenuti generati dall'AI.