Un recente episodio che coinvolge i dipendenti di Samsung ha portato alla luce il rischio, diremmo prevedibile, di perdita di segreti industriali a seguito dell’utilizzo di strumenti di intelligenza artificiale.
In particolare, l’azienda ha fornito ad alcuni tra i propri dipendenti l’accesso a ChatGPT e, dopo solo venti giorni dall’avvio del progetto, alcuni dati immessi sono stati diffusi. Oggetto del data leak, in base a quanto riferito da The Economist Korea, alcuni importanti dati industriali, come il codice sorgente di un nuovo programma e le note delle riunioni interne.
Per quanto possa sembrare sconcertante la facilità con cui questo evento si è realizzato, esiste la possibilità concreta che alcune informazioni industriali segrete di Samsung siano effettivamente nelle mani di OpenAI, l’azienda proprietaria di ChatGPT.
E se fosse successo in Italia?
È opportuno fare un’analisi per individuare il soggetto a cui potrebbe essere giuridicamente addebitata la falla che ha portato alla divulgazione dei segreti industriali, qualora l’episodio fosse accaduto in un’azienda operante sotto la normativa italiana.
Tali segreti sono dei veri e propri beni aziendali, definiti come “segreti commerciali” dal nostro codice di proprietà industriale (articoli 98-99 c.p.i.)
In Italia, la legge sulla proprietà industriale definisce il segreto commerciale come un’informazione aziendale o il know-how tecnico-industriale e commerciale, soggetto al legittimo controllo del detentore e che soddisfa tre requisiti fondamentali: la non notorietà o non agevole accessibilità conoscitiva, la presenza di un valore economico sottostante il segreto e l’adozione da parte del detentore di “misure da ritenersi ragionevolmente adeguate” a mantenere il carattere segreto dell’informazione.
In relazione alla divulgazione impropria del segreto commerciale dei dipendenti di Samsung, potrebbe sorgere la questione della responsabilità del detentore e del possibile danneggiato.
La responsabilità di Samsung
In particolare, in un’ottica comparativa, si dovrebbe valutare il comportamento di Samsung riguardo all’adozione di misure ragionevolmente adeguate per mantenere il carattere segreto dell’informazione.
La responsabilità di Samsung – e non dei dipendenti che hanno immesso i dati – potrebbe configurarsi in assenza di un’integrazione, nella policy interna di utilizzo di ChatGpt, atta ad evitare l’uso di dati industriali interni.
O laddove, anche con integrazione di una policy includente un rimando ad accordi di non divulgazione, non vi sia stato un sufficiente training interno per escludere queste immissioni di dati anche in buona fede.
Valutando la situazione di Samsung, emerge quindi la criticità della protezione dei segreti industriali in un’era in cui gli strumenti di intelligenza artificiale possono rappresentare una minaccia alla sicurezza dei dati. È importante rimarcare che la tutela è prevista nell’art. 99 c.p.i. “ferma la disciplina della concorrenza sleale”, il che consente una protezione concorrenziale supplementare, che ha valore anche per informazioni che non soddisfano i requisiti dell’art. 98 c.p.i., ma che vengono sottratte con mezzi professionalmente scorretti.
Un problema gestionale di matrice aziendale
Ma, come è evidente nel caso di specie, non parliamo di sottrazione, ma di dinamiche gestionali interne probabilmente attuate in maniera non eccelsa.
Come anticipato, nel caso degli “unwanted leak” di Samsung si potrebbe pensare o ad una responsabilità del singolo operatore solo laddove questi, dopo aver ricevuto un adeguato training, abbia utilizzato ChatGpt senza seguire la policy aziendale interna che aveva autorizzato l’uso dello strumento di chatbot.
Ma cosa conosciamo di questa policy interna? Ed è veramente sufficiente ad evitare diffusione di segreti industriali?
Al momento non molto, e la reazione composta di Samsung, così come la mancanza, al momento, di provvedimenti nei confronti dei dipendenti, fa pensare ad un problema gestionale di non esclusiva responsabilità del singolo ma di matrice aziendale generale.
Fa sicuramente riflettere anche il fatto che Samsung non abbia in ogni caso bannato l’utilizzo di ChatGPT, ma abbia limitato la lunghezza dei prompt utilizzabili dai dipendenti, che non possono superare il peso di 1 Kilobyte o, in altre parole, la lunghezza di 1.024 caratteri.
Anche la multinazionale americana di servizi finanziari JPMorgan aveva limitato a fine febbraio l’utilizzo di ChatGPT per motivi simili, seguendo l’azienda telefonica Verizon che, nel vietare ai dipendenti l’utilizzo di ChatGpt, aveva espresso il timore di perdere il controllo (e la proprietà) delle informazioni dei propri clienti o di rischiare la diffusione indebita dei propri codici sorgenti laddove questi fossero transitati su ChatGpt.
Eppure OpenAI non hai mai fatto mistero della circostanza per cui i dati immessi vengono utilizzati per allenare l’intelligenza artificiale, pur conoscendo i rischi -noti a chiunque lavori nell’ambito digitale- di possibili utilizzi distorti o di data breach.
Il nodo della compliance alle norme privacy
Con tali premesse, diventa necessario chiedersi se possa coesistere un’AI come ChatGPT che possa essere compliant non solo con le normative sulla privacy ma anche porre le aziende al riparo dai propri segreti commerciali.
La risposta ad oggi pare negativa, ma è a mio avviso questa la vera grande sfida per rendere la più grande rivoluzione informatica del nostro decennio compliant con le normative nazionali e con le policy aziendali.
Conclusioni
In questo contesto, si comprende perché l’uso di strumenti di intelligenza artificiale come ChatGPT solleva ulteriori preoccupazioni in termini di protezione dei segreti industriali.
Poiché questi servizi conservano i dati di input degli utenti per addestrarsi ulteriormente, abbiamo visto l’estrema semplicità con cui è possibile che i segreti commerciali vengano acquisiti e utilizzati da terzi senza il consenso del detentore.
Da un punto di vista giuridico, episodi del genere rischiano di diventare dei grovigli di applicativi di norme diverse.
Per questo bisogna riconoscere che l’Italia, prima nazione al mondo ad intervenire con un’istruttoria per indagare in maniera più approfondita su alcune questioni inerenti l’utilizzo dei dati da parte di OpenAI, ha avuto il merito di sollevare una questione che non interessa solo le autorità nazionali ed il variegato mondo dell’utenza del web, ma anche le aziende che ogni giorno di più implementano software di Intelligenza Artificiale nel proprio comparto produttivo.
