Meta ha sospeso un controverso programma di monitoraggio dei dipendenti dopo che una verifica interna sulla sicurezza ha rilevato che i dati altamente dettagliati relativi ai tasti digitati e alle schermate catturate dai laptop del personale erano accessibili all’interno dell’azienda in misura molto più ampia di quanto previsto.
Il programma faceva parte della Model Capability Initiative (MCI) di Meta, che raccoglieva i movimenti del mouse, le posizioni dei clic, le sequenze di tasti e i contenuti visualizzati sullo schermo dei computer portatili di lavoro dei dipendenti per contribuire all’addestramento dei sistemi di intelligenza artificiale interni.
Il programma comportava però anche un rischio evidente. Una cosa è raccogliere dati altamente sensibili sulle attività dei dipendenti; un’altra è garantirne la corretta protezione.
Secondo quanto riportato sulla base di documenti interni e testimonianze dei dipendenti, i dati non sono stati semplicemente raccolti, ma sono stati lasciati accessibili in migliaia di tabelle interne, tra cui prompt di intelligenza artificiale, trascrizioni, conversazioni private e informazioni relative alle prestazioni.
A seguito della diffusione della notizia, Meta ha ridimensionato e poi sospeso l’iniziativa, tra continue critiche interne e dubbi sul fatto che le misure di tutela della privacy fossero mai state qualcosa di più di una semplice rassicurazione contenuta in una nota interna.
Dal punto di vista di Meta, la Model Capability Initiative rappresentava una strategia volta a migliorare l’efficienza. L’obiettivo era quello di fornire ai modelli di IA “esempi reali di come le persone utilizzano effettivamente i computer”, registrando in modo passivo il modo in cui i dipendenti utilizzano strumenti di uso quotidiano come Gmail, GChat, Metamate e VS Code. Gli agenti sarebbero stati in grado di apprendere dai flussi di lavoro reali anziché da benchmark sintetici.
Ai dipendenti era stato promesso che la raccolta dei dati si sarebbe limitata alle app aziendali e non ai loro telefoni. Ma potete immaginare come sia stata percepita la cosa:
- Un software per il monitoraggio dei tasti premuti e dei movimenti del mouse è stato installato sui computer portatili dei dipendenti statunitensi, senza alcuna possibilità di disattivarlo sui dispositivi aziendali, come confermato internamente dal CTO di Meta.
- Il software ha registrato gli input e i relativi contenuti visualizzati sullo schermo, creando un set di dati comportamentali: ciò che si digita, dove si clicca, cosa appare sullo schermo mentre si eseguono tali azioni.
Il programma ha suscitato forti critiche interne. Un post pubblicato internamente da un ingegnere, in cui si protestava contro la “sorveglianza dei laptop” e il monitoraggio degli schermi, è diventato virale all’interno di Meta, dando il via a una petizione per abolire completamente il programma.
Dal punto di vista della conformità normativa, i programmi di monitoraggio dei dipendenti di questa portata possono sollevare complesse questioni legali e normative, in particolare nelle giurisdizioni che richiedono trasparenza in materia di sorveglianza sul posto di lavoro e raccolta dei dati.
L'impatto sulla reputazione è probabilmente ancora più grave. Quando un'azienda è costantemente sotto i riflettori per il tracciamento degli utenti, la perdita di fiducia da parte dei dipendenti invia un segnale forte riguardo al suo atteggiamento di fondo nei confronti dei dati.
Il tutto pur sapendo che i dati relativi alle battute sulla tastiera e agli screenshot sono, per loro stessa natura, ad alto rischio. Si tratta di dati ricchi di contenuti, di natura comportamentale e che spesso contengono informazioni riservate. La loro raccolta su larga scala comporta un onere in termini di sicurezza. Ogni nuovo dato aggiunge obblighi in materia di controllo degli accessi, minimizzazione, conservazione e audit, che l’organizzazione deve gestire attivamente per tutto il tempo in cui i dati esistono.
- I controlli di accesso devono essere precisi e sottoposti a verifiche periodiche, poiché una semplice configurazione errata può avere gravi conseguenze.
- La minimizzazione dei dati e i limiti di conservazione sono fondamentali, poiché l’archiviazione a lungo termine moltiplica l’impatto di una potenziale violazione.
- Qualsiasi futura fuga di dati — interna o esterna — potrebbe rendere pubbliche non solo le e-mail, ma anche le sequenze esatte digitate dai dipendenti, comprese le procedure di autenticazione e le bozze dei contenuti. Se finissero nelle mani sbagliate, questo tipo di informazioni potrebbe esporre l’azienda a rischi.
Questo episodio ci ricorda che ogni nuovo set di dati comporta nuove responsabilità. Più le informazioni sono dettagliate e sensibili, maggiori sono le conseguenze in caso di fallimento dei controlli di accesso.
I truffatori non hanno bisogno di hackerarti. Basta che tu faccia clic una sola volta.
Malwarebytes Identity Theft individua le attività sospette prima che diventino un problema.
