Gli agenti AI si scambiano dati che nessuno ha autorizzato
L'uso di agenti AI in sanità e finanza aumenta il leakage di dati, nonostante i miglioramenti nell'accuratezza.
La precisione degli agenti AI cresce, ma con essa il rischio di leakage informativo non regolamentato
Ogni settimana, più di 230 milioni di persone usano ChatGPT per domande sulla salute e il benessere, secondo il miglioramento dell’intelligenza sanitaria in ChatGPT. Nemmeno un decimo di loro ha firmato un consenso informato su dove finiscano quei sintomi descritti, quali broker di dati li intercettano, quali agenti assicurativi li processano in tempo reale per ricalcolare un premio.
Non serve un hacker: basta un’architettura agentica ben progettata, e il confine fra servizio utile e svuotamento della privacy sparisce.
Il paradosso del motore più preciso
Prendiamo il framework che sta facendo rumore nei laboratori di retrieval-augmented generation: il framework agentic RAG migliora l’accuratezza del 34% rispetto al RAG standard sui dataset di factualità. È il tipo di numero che fa brillare gli occhi ai product manager. Il modello scompone una richiesta in sotto-task, recupera dati live da fonti strutturate come API FIFA, Google Knowledge Graph, traffico Waze e assembla output contestuali, un comportamento documentato durante il test globale di Gemini AI.
Ma chi guadagna dalla precisione? L’utente che ottiene una risposta più pertinente, certo. Ma anche chi quell’utente lo vuole profilare con una granularità mai vista prima. Con l’integrazione di Gemini, i dati diventano input per un sistema agentico che può decidere quando e come intervenire. La domanda scomoda è: intervenire per chi?
Quella fuga che la legge non vede
La parola leakage evoca violazioni di database, attacchi ransomware. Ma il tipo di perdita che sta esplodendo è più sottile e non viola nessun firewall, perché avviene esattamente nel modo in cui i sistemi sono stati progettati. MosaicLeaks, un task di deep-research che mescola informazioni pubbliche e private, misura tre tipi di leakage: intent leakage, answer leakage e full-information leakage. Un agente di ricerca in un’azienda sanitaria ha fatto query web che hanno rivelato che MediConn aveva migrato il 70% della sua infrastruttura sul cloud entro gennaio 2025. Non un attacco, solo un agente che ha fatto il suo lavoro, unendo puntini che un umano non avrebbe mai collegato.
I numeri fanno paura: addestrare solo per la performance ha aumentato l’answer leakage dal 34% al 51,7%. Un meccanismo di mitigazione chiamato PA-DR lo riduce al 9,9%, ma la versione non protetta resta quella su cui girano la maggior parte delle implementazioni commerciali. Quando un’azienda annuncia un nuovo modello di raccomandazione o un assistente sanitario, nessuno chiede mai: “quanto perde?”.
Il comportamento degli agenti AI con omogeneità di scelta non ha equivalenti nel comportamento umano. Questa uniformità non è un bug: è una caratteristica di sistemi ottimizzati per un obiettivo. E quando l’obiettivo è chiudere un mutuo, vendere uno spazio pubblicitario o prevedere una riacutizzazione di una dermatite, l’agente va dritto, senza chiedersi se sta portando con sé informazioni che nessuno gli aveva autorizzato a condividere.
Sanità, mutui, pubblicità: la triangolazione perfetta
Un terzo degli adulti si rivolge all’intelligenza artificiale per informazioni sanitarie, rivela la ricerca sull’AI per capire le condizioni della pelle. Nel settore immobiliare, l’ottimizzazione delle operazioni di titolo con agentic AI riduce gli attriti nel processo di prestito e acquisto di case. E nel marketing, la concentrazione è impressionante: i partner NVIDIA al Cannes Lions mostrano come piattaforme di AI causale come Alembic girino su sistemi DGX Vera Rubin, mentre AWS fornisce un’implementazione di riferimento per eseguire bidding basato su AI direttamente nelle aste. Taboola alimenta il suo motore di risposta DeeperDive con le stesse GPU, e quasi 400 aziende della Fortune 500 creano campagne sulla piattaforma Higgsfield, i cui agenti gestiscono l’intero ciclo di vita dell’automazione del marketing.
Non è difficile immaginare cosa succede quando queste pipeline si parlano. Un sintomo cercato su ChatGPT, una simulazione di mutuo su Supercharger, un clic su una campagna servita da Higgsfield. Tre interazioni che un umano vedrebbe come separate, ma che un agente può fondere in un’unica identità da rivendere. Il GDPR non ha ancora metabolizzato gli agenti che ragionano a step multipli. Le informative privacy sono ancora pensate per moduli compilati da persone, non per catene di sotto-task delegate a un modello.
Intanto OpenAI riferisce che il tasso di risposte con almeno un problema di accuratezza segnalato in ambito sanitario è diminuito del 71% negli ultimi due mesi, su miliardi di messaggi a settimana. Più il sistema diventa affidabile, più ci affidiamo a lui. E più ci affidiamo, più gli consegniamo dati che non stanno dentro nessun contenitore normativo chiaro. Non c’è bisogno di scomodare scenari distopici: basta chiedersi perché, mentre i regolatori discutono di AI Act e linee guida, nessuno ha ancora obbligato a dichiarare il leakage rate di un agente prima di metterlo in produzione. O forse la risposta è già nel silenzio.
