L’intelligenza artificiale generativa (genAI), e in particolare i grandi modelli linguistici (LLM), stanno emergendo non solo come tecnologia di produzione di testo, ma anche come potenziale alleata nella tutela dei dati personali. Un ambito promettente è quello dei sistemi Retrieval-Augmented Generation (RAG), che combinano la capacità predittiva degli LLM con basi di conoscenza esterne, migliorando così l’accuratezza e la trasparenza delle decisioni.
Questi sistemi non solo possono identificare informazioni confidenziali nei testi, ma sono anche in grado di spiegare perché certi contenuti possono rappresentare un rischio.
Tuttavia, l’uso di modelli generativi per la tutela della privacy solleva anche interrogativi complessi: quali tipi di dati vengono effettivamente riconosciuti come sensibili? Come evitare falsi positivi o, peggio, mancate segnalazioni? E quanto possiamo fidarci di spiegazioni prodotte da macchine? In questo contesto, l’intelligenza artificiale si confronta con una sfida cruciale: essere non solo potente, ma anche interpretabile, contestualizzata e realmente utile agli utenti finali.
Indice degli argomenti
La privacy nei prompt: un rischio quotidiano
Nel mondo sempre più interconnesso e digitale in cui viviamo, condividere informazioni è diventata un’attività tanto comune quanto potenzialmente rischiosa. Se da un lato interagire con chatbot intelligenti, come ChatGPT, consente una forma di comunicazione naturale e potente, dall’altro espone gli utenti a un pericolo silenzioso: quello di rilasciare inconsapevolmente dati personali o confidenziali nei prompt che forniscono ai modelli.
È un comportamento diffusissimo e, per certi versi, inevitabile. Chi utilizza sistemi conversazionali per generare testi, risolvere dubbi o assistere decisioni operative, tende a includere nei messaggi di input (spesso senza rendersene conto) nomi, indirizzi email, dettagli professionali, credenziali o riferimenti aziendali riservati. Questo accade non solo per superficialità, ma perché la naturalezza dell’interazione induce a trattare questi modelli come interlocutori umani affidabili, dimenticando che ogni parola fornita in input può essere trattata, memorizzata (temporaneamente), e talvolta esposta involontariamente da parte del sistema.
Capire la privacy: cosa significa davvero “dato sensibile”
Prima ancora di parlare di intelligenza artificiale e della sua relazione con la privacy, è utile chiarire cosa intendiamo quando parliamo di dati personali o, più precisamente, dati sensibili.
Nel contesto digitale, ogni volta che inseriamo una data di nascita, un nome, un codice fiscale, un numero di telefono o una preferenza medica in un modulo online, stiamo rivelando una parte della nostra identità. Questi sono definiti PII (Personally Identifiable Information) e comprendono tutte quelle informazioni che possono o potrebbero identificare una persona fisica. In ambito europeo o, più propriamente, nell’ambito di applicazione del GDPR, il concetto di dato personale è ancora più ampio, in quanto include ogni informazione che riguarda una persona fisica, identificata o identificabile direttamente o indirettamente. Trattare dati personali questi dati richiede consenso esplicito e strumenti adeguati per garantirne la protezione. In particolare, il GDPR identifica, fra i dati personali, alcune categorie di dati speciali considerati particolarmente sensibili, quali dati relativi all’origine etnica, alle opinioni politiche, alle convinzioni religiose, allo stato di salute, o all’appartenenza sindacale di una persona. A questi si aggiungono dati biometrici, genetici o giudiziari.
Nel mondo digitale, la sfida è duplice: non solo bisogna evitare che questi dati vengano trattati impropriamente da chi li raccoglie, ma bisogna anche evitare di divulgarli involontariamente. Questo accade spesso più di quanto si pensi, soprattutto in contesti apparentemente innocui, come una conversazione con un assistente virtuale o un prompt scritto frettolosamente in una finestra di chat con un modello linguistico.
La nuova frontiera della protezione dei dati personali, quindi, non si gioca solamente sul piano legale o infrastrutturale, ma anche su quello linguistico e culturale.
I Large Language Model come strumento a tutela della privacy
Tale vulnerabilità è oggi al centro del dibattito sulla privacy nell’era dell’intelligenza artificiale generativa. Se fino a poco tempo fa gli LLM erano considerati principalmente una minaccia per la riservatezza dei dati e dunque per la privacy degli utenti, una nuova linea di ricerca inizia ad analizzarli sotto una luce diversa: non più soltanto modelli da regolare, ma al contempo strumenti da utilizzare attivamente per proteggere tali dati.
A segnare questo cambio di prospettiva è uno studio accettato alla conferenza internazionale sulle reti neurali IJCNN 2025. Il lavoro è frutto di una collaborazione tra l’Università degli Studi di Torino, l’Università degli Studi di Milano (La Statale) e l’Università degli Studi di Milano-Bicocca, nell’ambito del progetto KURAMi: Knowledge-based, explainable User empowerment in Releasing private data and Assessing Misinformation in online environments. In questo lavoro, gli LLM non vengono impiegati per generare contenuti o conversare, bensì per rilevare automaticamente la presenza di dati sensibili all’interno dei testi e spiegare, in modo accessibile e comprensibile, perché il rilascio di un determinato contenuto può costituire un rischio per la privacy dell’utente.
Il punto di partenza della ricerca è tanto semplice quanto cruciale: la maggior parte delle tecnologie attualmente disponibili per la protezione della riservatezza si basa su regole fisse oppure su sistemi supervisionati che richiedono grandi quantità di dati etichettati. Questi approcci, pur essendo efficaci specie in ambienti controllati, si rivelano spesso rigidi, onerosi da mantenere e poco efficaci nel gestire contenuti non strutturati, tipicamente testi, come email, post nelle piattaforme sociali, o prompt. È proprio in questo contesto che entra in gioco il paradigma della Retrieval-Augmented Generation (RAG), una tecnica che combina le capacità di “ragionamento” e generazione di linguaggio degli LLM con l’accesso ad una base di conoscenza esterna, verificata e continuamente aggiornabile, in questo caso composta da una raccolta di articoli scientifici sul tema della privacy.
Nel lavoro accettato a IJCNN, è stato sviluppato un sistema che prende in input il corpo di un testo (ad esempio un’email o un altro tipo di messaggio testuale) e lo converte automaticamente in una query, utilizzata per interrogare la suddetta base di documenti scientifici sulla privacy. I contenuti pertinenti vengono recuperati e forniti in input a un LLM, che a quel punto ha il compito di valutare se il testo originario possa rappresentare dei rischi di privacy, “motivando” la decisione con un’argomentazione costruita sulla base degli articoli recuperati attraverso la query.
I risultati ottenuti da questa sperimentazione sono altamente promettenti. Utilizzando un sottoinsieme annotato dell’Enron Email Dataset, un corpus reale di email aziendali, il sistema ha mostrato di saper individuare potenziali violazioni di privacy con maggiore accuratezza rispetto ad un approccio zero-shot, cioè senza accesso a informazioni esterne.
L’integrazione con l’informazione documentale non solo ha migliorato le prestazioni nel riconoscimento, ma ha reso possibile una forma di spiegazione testuale, in cui il modello giustifica la propria valutazione richiamando norme e buone pratiche in materia di protezione dei dati. L’interesse del lavoro non risiede tuttavia solo nelle buone performance numeriche. L’aspetto più promettente è l’evidenza che gli LLM, se opportunamente guidati, possono essere impiegati come assistenti per la tutela della privacy degli utenti, capaci non solo di rilevare criticità, ma anche di svolgere una funzione educativa, offrendo agli utenti indicazioni chiare sui rischi impliciti nella condivisione di (certe) informazioni. In un futuro non troppo lontano, potremmo immaginare interfacce che, prima di inviare un prompt a un modello, ci avvisino con un messaggio del tipo: “Attenzione, stai per condividere un’informazione potenzialmente sensibile. Sei sicura/o?”
Il progetto KURAMI e la visione educativa dell’IA
Questo tipo di applicazione apre un nuovo scenario: non si tratta più solo di sistemi che aiutano a scrivere meglio, ma di modelli capaci di agire come assistenti per la sicurezza personale e professionale, supportando utenti e organizzazioni nel prevenire, in tempo reale, il rilascio di dati potenzialmente sensibili e critici.
Il progetto KURAMi, in cui questa ricerca si colloca, esplora proprio questa visione. Finanziato dal Ministero dell’Università e della Ricerca (MUR) attraverso i bandi PRIN (Progetti di ricerca di Rilevante Interesse Nazionale) e dall’Unione europea attraverso il PNRR (Piano Nazionale di Ripresa e Resilienza), ha tra i suoi obiettivi quello di creare strumenti intelligenti, trasparenti e spiegabili, che permettano agli utenti di valutare autonomamente i rischi legati alla condivisione di dati o all’esposizione a contenuti potenzialmente falsi e/o fuorvianti. KURAMi integra l’analisi linguistica con la tutela della privacy e la lotta alla disinformazione, puntando su una sinergia tra intelligenza artificiale e acquisizione di consapevolezza dell’utente.
Il lavoro accettato a IJCNN rappresenta dunque un suo tassello importante: un esempio concreto di come l’intelligenza artificiale generativa possa essere non solo parte del problema, ma anche parte della soluzione. È un’inversione di paradigma che merita attenzione, non solo nel mondo accademico ma anche tra policy maker, sviluppatori e utenti finali. La sfida, ora, è rendere questi sistemi generalizzabili, applicabili a contesti diversi e culturalmente variabili, e soprattutto affidabili dal punto di vista normativo.
Identificare e spiegare i rischi con i sistemi RAG
I risultati dello studio ci offrono interessanti spunti e osservazioni sul riconoscimento dei dati considerati sensibili e sulle strategie per mitigare il rischio di errori in termini sia di identificazioni scorrette sia di omissione di segnalazione.
Il sistema RAG ha dimostrato di essere in grado di identificare differenti categorie di dati sensibili tra cui nomi e cognomi di candidati a colloqui, codici di badge interni personali e numeri di telefono, fino a dettagli più contestuali come orari e luoghi di incontri e riunioni tra il personale.
Questo approccio supera le rigidità dei metodi tradizionali basati su regole fisse, spesso propensi a generare falsi allarmi o a ignorare le i dettagli più sottili e meno espliciti. Non solo, un ulteriore vantaggio risiede nella capacità di generare spiegazioni intuitive in linguaggio naturale. In questo modo si consente all’utente di comprendere appieno le implicazioni sulla privacy del testo che sta componendo, offrendo un supporto concreto per una comunicazione più consapevole e sicura.
Verso una tutela responsabile e consapevole della privacy
In conclusione, alla luce di quanto illustrato sinora, la protezione dei dati si configura come una sfida che va ben oltre l’aspetto tecnico, abbracciando dimensioni sociali, giuridiche ed etiche. Solo attraverso un’intelligenza artificiale progettata con attenzione e responsabilità potremo affidarle il ruolo di vera guardiana digitale della nostra riservatezza.
