Chatbot AI e privacy: quali app raccolgono più dati personali

Usare chatbot basati sull’IA per lavorare, studiare o organizzare la giornata è diventato normale, ma spesso ignoriamo quante informazioni personali finiscono dietro le quinte.

Una nuova analisi di Surfshark mette in fila i 10 chatbot più diffusi e mostra un quadro piuttosto chiaro: la raccolta dati cresce, riguarda sempre più categorie sensibili e coinvolge in modo diverso servizi come Meta AI, Google Gemini, ChatGPT, Claude e DeepSeek.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

Secondo Surfshark, tutte le principali app di chatbot IA raccolgono in qualche forma dati degli utenti, con una media di 14 categorie su 35 per ogni app.

Il dato più evidente riguarda la posizione geografica: oggi il 70% dei chatbot più usati raccoglie informazioni di geolocalizzazione, contro il 40% dell’anno precedente. In pratica, quasi 3 chatbot su 4 tracciano dove ci troviamo, almeno in modo approssimativo.

Nel complesso, questi strumenti non gestiscono più solo domande generiche, ma anche file delicati: documenti fiscali, cartelle cliniche, dati personali che possono finire in reti di terze parti, soprattutto per pubblicità mirata.

Da qui l’avvertimento di Surfshark: meglio considerare ogni prompt come se fosse un documento pubblico.

Meta AI risulta l’app più aggressiva nella raccolta: intercetta 33 categorie su 35, quasi il 95% di quelle possibili. È anche l’unica, tra quelle analizzate, a includere la categoria delle informazioni finanziarie.

Meta AI e Google Gemini trattano inoltre dati altamente sensibili, come:

• origine razziale o etnica
• orientamento sessuale
• informazioni su gravidanza e disabilità
• convinzioni religiose o filosofiche
• appartenenza sindacale
• opinioni politiche
• dati genetici e biometrici

Gemini raccoglie in totale 23 categorie su 35, includendo dati di contatto (nome, e-mail, numero di telefono), contenuti generati dall’utente, rubrica, cronologia delle ricerche e di navigazione, posizione precisa e altro ancora. Per chi tiene alla privacy, una raccolta così ampia può apparire sproporzionata rispetto all’uso quotidiano del chatbot.

Per ChatGPT, i dati arrivano dall’App Store di Apple: oggi l’app può raccogliere 17 categorie su 35, contro le 10 dell’anno precedente.

È un incremento di circa +70% nelle tipologie di dati coperte.

Tra le nuove categorie rientrano:

• posizione approssimativa
• dati su salute e forma fisica
• cronologia delle ricerche
• dati audio
• informazioni pubblicitarie
• dati legati all’assistenza clienti

La maggior parte delle categorie raccolte da ChatGPT (14 su 17) risulta collegata al funzionamento dell’app. Ma gli stessi dati possono servire anche per:

• analisi (7 categorie)
• personalizzazione dei prodotti (4)
• pubblicità e marketing degli sviluppatori (3)
• pubblicità di terze parti (2)

Surfshark sottolinea che dati sanitari, informazioni su fitness e dati pubblicitari non risultano strettamente necessari per far funzionare il chatbot, e quindi aprono un tema di proporzionalità nell’uso dei dati.

Claude raccoglie 13 categorie su 35, tutte dichiarate come necessarie al funzionamento dell’app: dall’autenticazione degli utenti alla prevenzione delle frodi, passando per sicurezza, stabilità dei server, riduzione dei crash, prestazioni e assistenza clienti.

In pratica, sulla carta Claude appare più contenuto. Tuttavia, molte delle categorie acquisite possono comunque alimentare analisi interne e attività pubblicitarie o di marketing degli sviluppatori.

Tra i dati in gioco compaiono anche la posizione approssimativa e contenuti come foto e video, che restano comunque elementi sensibili.

DeepSeek si colloca al quinto posto per raccolta, con 13 categorie di dati, inclusi input degli utenti e cronologia delle chat. La parte più delicata riguarda però la conservazione: i dati restano archiviati per tutto il tempo che il servizio ritiene necessario, su server in Cina.

Secondo Surfshark, a differenza di chatbot come ChatGPT o Gemini, soggetti alla normativa statunitense e a controlli regolatori, DeepSeek non risulta vincolato a quadri equivalenti al GDPR europeo. Questa assenza di un contesto normativo comparabile alimenta dubbi su responsabilità e tutela effettiva delle informazioni personali.

Per chi usa quotidianamente questi strumenti, il punto non è smettere di sfruttarli, ma imparare a gestire consapevolmente cosa condividiamo, leggere almeno le parti chiave delle informative sulla privacy e sfruttare le impostazioni di controllo (come la disattivazione della cronologia) prima che i nostri dati diventino materiale permanente nei sistemi di qualcun altro.

Per questo studio, Surfshark ha selezionato i 10 chatbot IA più diffusi e ha analizzato le informative sulla privacy pubblicate nell’App Store di Apple.

Il confronto ha riguardato:

• quante categorie di dati raccoglie ogni app (su un totale di 35)
• se i dati risultano collegati o meno all’identità dell’utente
• la presenza di inserzionisti di terze parti all’interno delle app

Gli analisti hanno poi approfondito le informative di DeepSeek e ChatGPT, per capire meglio quali dati finiscono sui server e per quanto tempo vengono conservati.

In un contesto in cui i chatbot entrano sempre più nella vita quotidiana, questo tipo di analisi ricorda che la comodità ha un prezzo preciso: la gestione dei dati personali non è un dettaglio tecnico, ma una scelta che conviene affrontare con lucidità, prima che qualcun altro decida al posto nostro.