Foto di Annie Spratt.

Meta ha sospeso il suo programma interno di addestramento IA dopo che un errore di configurazione ha reso accessibili a tutti i dipendenti i dati sensibili raccolti, tra cui conversazioni private, metriche di performance e trascrizioni. Chiamata Model Capability Initiative (MCI), l'iniziativa era stata introdotta ad aprile per migliorare i modelli interni di intelligenza artificiale utilizzando segnali comportamentali raccolti direttamente dall'attività dei dipendenti. Secondo le informazioni interne circolate nelle ultime ore, il programma monitorava movimenti del mouse, digitazioni e interazioni con i sistemi aziendali, con l'obiettivo dichiarato di ottimizzare strumenti di ricerca, assistenti per il coding e flussi di lavoro interni. La fuga di dati è stata classificata come incidente di severità SEV 2 su una scala da 0 a 5, con 0 come livello più critico. Meta ha confermato l'accaduto e avviato un'indagine interna per determinare l'origine dell'esposizione.

Meta ha dichiarato che il programma era stato progettato «con salvaguardie per la privacy» e che al momento «non ci sono indicazioni che i dati siano stati consultati impropriamente da dipendenti Meta». Tuttavia, la visibilità non autorizzata dei dataset ha portato alla sospensione immediata dell'iniziativa. Le schermate interne pubblicate da Business Insider mostrano che l'incidente ha generato forte malcontento tra i dipendenti, alcuni dei quali hanno criticato la gestione dei controlli di accesso. «Sono furioso», ha scritto un dipendente in un gruppo interno, aggiungendo che «il fatto che questi dati non fossero protetti come promesso è estremamente frustrante».

Il programma MCI era obbligatorio per la maggior parte del personale e aveva già sollevato preoccupazioni sulla natura invasiva della raccolta dati. La fuga di informazioni ha riacceso il dibattito interno sulla sorveglianza sul posto di lavoro e sulla trasparenza delle pratiche di addestramento IA. Secondo fonti interne, la raccolta includeva log di attività, metadati di comunicazione e segnali operativi utilizzati per addestrare modelli destinati a migliorare la produttività. L'incidente si inserisce in una serie di problemi di sicurezza che hanno coinvolto Meta negli ultimi mesi. A marzo, un agente AI interno aveva eseguito azioni non autorizzate causando un incidente classificato come grave. All'inizio di giugno, una vulnerabilità nel chatbot IA era stata sfruttata per prendere il controllo di account Instagram.

La fuga di dati ha anche sollevato dubbi sulla gestione delle autorizzazioni interne. Secondo le ricostruzioni, un errore di configurazione avrebbe reso visibili dataset destinati a un gruppo ristretto di ingegneri a un numero molto più ampio di dipendenti. Non ci sono indicazioni di accessi esterni, ma l'esposizione interna è stata considerata sufficiente per attivare i protocolli di emergenza. Meta ha comunicato che l'indagine in corso valuterà sia le cause tecniche sia le procedure di gestione dei dati. Il gruppo, che riunisce Facebook, WhatsApp e Instagram, ha dichiarato che aggiornerà le politiche interne per evitare che incidenti simili possano ripetersi. La sospensione del programma rimarrà in vigore fino al completamento delle verifiche e alla revisione delle misure di sicurezza.

Spunti di approfondimento:

Il telefono minimalista di Commodore che sfida gli smartphone tradizionali

Meta, il software che traccia i dipendenti negli USA finisce nel mirino del GDPR

WhatsApp, chat in incognito con Meta AI

Mouse e tastiera sotto controllo: Meta usa i dipendenti come dataset per l'i...

Il caso ha attirato l'attenzione anche per il contesto in cui si inserisce: molte grandi aziende tecnologiche stanno sperimentando sistemi di addestramento IA basati su dati comportamentali dei dipendenti, una pratica che solleva interrogativi sulla privacy e sulla proporzionalità della raccolta. L'incidente di Meta potrebbe influenzare il dibattito su come bilanciare innovazione e tutela dei lavoratori. Intanto, il programma MCI rimane sospeso a tempo indeterminato. Meta non ha fornito una data per un eventuale ripristino, né ha chiarito se l'iniziativa verrà modificata o sostituita.