Una nuova, clamorosa controversia scuote la sicurezza digitale americana: il dirigente ad interim dell’agenzia governativa incaricata di proteggere le infrastrutture critiche degli Stati Uniti ha caricato documenti sensibili su una versione pubblica dell’intelligenza artificiale ChatGPT, scatenando allarmi interni e un’indagine di sicurezza di alto livello.
La vicenda è stata riportata ieri da fonti come Politico ed è già oggetto di attenzione e critiche dentro e fuori le istituzioni di Washington.
Al centro della bufera c’è Madhu Gottumukkala, il direttore ad interim della Cybersecurity and Infrastructure Security Agency (CISA), l’ente civile del governo USA responsabile di proteggere i sistemi federali e le infrastrutture nazionali da attacchi informatici, inclusi quelli provenienti da potenze tecnologiche “ostili” come Russia e Cina.
Cosa è successo
Secondo le fonti, Gottumukkala ha caricato almeno quattro documenti contrattuali contrassegnati come “For Official Use Only” (per uso ufficiale) nel ChatGPT accessibile al pubblico, uno strumento che non protegge automaticamente i contenuti inseriti dall’utente.
Sebbene tali documenti non fossero classificati, il loro contenuto era considerato sensibile e non destinato alla diffusione pubblica. L’azione ha attivato sistemi automatici di allerta interni e fatto scattare una revisione da parte del Dipartimento per la Sicurezza Nazionale (DHS) per valutare rischi e impatti potenziali.
Accesso speciale e tensioni interne
All’atto dell’incidente, ChatGPT era bloccato per la maggior parte dei dipendenti del DHS, proprio per evitare fughe di informazioni; Gottumukkala aveva ottenuto un permesso speciale per utilizzarlo, una misura che secondo alcuni funzionari ha indebolito le difese digitali della stessa agenzia che dirige.
Funzionari del dipartimento affermano che esistevano strumenti AI approvati e configurati per uso interno, progettati per proteggere i dati sensibili, ma non sono stati utilizzati in questo caso.
Le implicazioni per la cybersicurezza
L’episodio solleva interrogativi seri sulla governance dell’intelligenza artificiale negli ambienti governativi: se anche i vertici di un’agenzia che si occupa di difendere il paese da attacchi informatici incappano in errori di questo tipo, aumentano i timori su potenziali falle procedurali e fragilità nelle misure di protezione dei dati.
