Ogni giorno milioni di persone usano chatbot basati sull’intelligenza artificiale per lavorare, studiare o semplicemente organizzarsi meglio. Eppure quasi nessuno si ferma a pensare a quante informazioni personali vengono raccolte nel frattempo. Un’analisi recente di Surfshark ha preso in esame i 10 chatbot IA più diffusi, mettendo in fila i numeri e restituendo un quadro che fa riflettere: la raccolta dati è in crescita, tocca categorie sempre più sensibili e coinvolge nomi pesanti come Meta AI, Google Gemini, ChatGPT, Claude e DeepSeek.
Stando ai risultati, tutte le principali app di chatbot IA raccolgono in qualche forma dati degli utenti, con una media di 14 categorie su 35 per ogni applicazione. Il dato che salta subito all’occhio riguarda la posizione geografica: oggi il 70% dei chatbot più utilizzati acquisisce informazioni di geolocalizzazione, contro il 40% dell’anno precedente. Significa che quasi 3 chatbot su 4 tracciano dove si trova l’utente, almeno in modo approssimativo. E non si tratta solo di domande generiche: questi strumenti gestiscono ormai anche documenti fiscali, cartelle cliniche e dati personali che possono finire nelle mani di terze parti, soprattutto per pubblicità mirata. Il consiglio di Surfshark è piuttosto netto: meglio trattare ogni prompt come se fosse un documento pubblico.
Meta AI e Google Gemini in cima alla classifica della raccolta dati
Meta AI risulta l’app più aggressiva: intercetta 33 categorie su 35, quasi il 95% di quelle possibili. È anche l’unica, tra quelle analizzate, a includere la categoria delle informazioni finanziarie. Insieme a Google Gemini, tratta inoltre dati altamente sensibili come origine razziale o etnica, orientamento sessuale, informazioni su gravidanza e disabilità, convinzioni religiose o filosofiche, appartenenza sindacale, opinioni politiche, dati genetici e biometrici. Gemini raccoglie in totale 23 categorie su 35, includendo dati di contatto (nome, email, numero di telefono), contenuti generati dall’utente, rubrica, cronologia delle ricerche e di navigazione, posizione precisa e altro ancora. Per chi tiene alla privacy, una raccolta così ampia può sembrare francamente sproporzionata rispetto all’uso quotidiano del chatbot.
Per quanto riguarda ChatGPT, i dati arrivano dall’App Store di Apple: oggi l’app può raccogliere 17 categorie su 35, contro le 10 dell’anno precedente. Un incremento di circa il 70% nelle tipologie di dati coperte. Tra le nuove categorie rientrano la posizione approssimativa, dati su salute e forma fisica, cronologia delle ricerche, dati audio, informazioni pubblicitarie e dati legati all’assistenza clienti. La maggior parte delle categorie raccolte da ChatGPT (14 su 17) risulta collegata al funzionamento dell’app, ma gli stessi dati possono servire anche per analisi, personalizzazione dei prodotti, pubblicità e marketing degli sviluppatori, oltre che per pubblicità di terze parti. Surfshark sottolinea che dati sanitari, informazioni su fitness e dati pubblicitari non risultano strettamente necessari per far funzionare il chatbot, il che apre un tema serio di proporzionalità.
Claude e DeepSeek: meno dati, ma non senza criticità
Claude raccoglie 13 categorie su 35, tutte dichiarate come necessarie al funzionamento dell’app: dall’autenticazione degli utenti alla prevenzione delle frodi, passando per sicurezza, stabilità dei server e assistenza clienti. Sulla carta appare più contenuto, ma molte delle categorie acquisite possono comunque alimentare analisi interne e attività pubblicitarie. Tra i dati personali in gioco compaiono anche la posizione approssimativa e contenuti come foto e video, che restano comunque elementi sensibili.
DeepSeek si colloca al quinto posto per raccolta, con 13 categorie di dati che includono input degli utenti e cronologia delle chat. La parte più delicata riguarda però la conservazione: i dati restano archiviati per tutto il tempo che il servizio ritiene necessario, su server in Cina. Secondo Surfshark, a differenza di chatbot come ChatGPT o Gemini, soggetti alla normativa statunitense e a controlli regolatori, DeepSeek non risulta vincolato a quadri equivalenti al GDPR europeo. Questa assenza di un contesto normativo comparabile alimenta dubbi concreti su responsabilità e tutela effettiva delle informazioni personali.
Per realizzare lo studio, Surfshark ha analizzato le informative sulla privacy pubblicate nell’App Store di Apple, confrontando quante categorie di dati raccoglie ogni app, se i dati risultano collegati all’identità dell’utente e la presenza di inserzionisti di terze parti all’interno delle applicazioni.