Non serve essere una spia russa per violare la privacy di milioni di donne. A volte basta un’app per il ciclo mestruale, di quelle che promettono di calcolare l’ovulazione ma che in realtà calcolano quanto valgono i tuoi dati sul mercato pubblicitario. L’ennesimo campanello d’allarme arriva da una serie di notizie che si intrecciano in modo rivelatore: da un lato, la scoperta che un generatore musicale basato su AI è stato violato, svelando le sue tecniche di scraping; dall’altro, la conferma che gruppi di cyberspionaggio russi stanno spostando l’attenzione sull’hacking di infrastrutture, mentre il Dipartimento della Sicurezza Interna americano (DHS) ha scoperto solo con anni di ritardo di essere stato compromesso.

Le app per il ciclo sono diventate un sorvegliante invisibile. Studi indipendenti hanno mostrato che molte condividono dati con inserzionisti, broker e piattaforme di analisi senza un consenso realmente informato. Ciclo mestruale, sintomi, attività sessuale, umore: un tesoro per chi addestra modelli AI o costruisce profili psicometrici. E non è fantascienza: i dati sanitari, quando aggregati e de-anonimizzati, alimentano motori di raccomandazione e persino strumenti di credito predittivo.

La notizia del breach all’AI musicale è un tassello dello stesso puzzle: lo scraping massivo di dati personali per addestrare modelli generativi. Se un semplice tracker può diventare una miniera, cosa succede quando interi ospedali, assicurazioni o datori di lavoro affidano i propri dati sensibili a LLM commerciali ospitati nel cloud? Il rischio è che quei modelli, per quanto “sicuri”, conservino tracce delle informazioni o le espongano a terze parti attraverso l’inference stessa.

Nel frattempo, le minacce informatiche tradizionali non si placano. Gli attacchi alle infrastrutture russe e le falle del DHS dimostrano che la sicurezza perimetrale è un mito: i dati, una volta centralizzati in un cloud esterno, sono bersagli permanenti. Ecco perché per chi gestisce dati che non possono assolutamente uscire dal proprio controllo — cartelle cliniche, segreti industriali, transazioni finanziarie — il deployment on-premise dei modelli linguistici sta diventando un imperativo non solo tecnico, ma legale e reputazionale.

Eseguire un LLM in locale, su server proprietari, cambia i termini del problema. Con framework come vLLM o Ollama e tecniche di quantization a FP16 o INT8, è possibile ottenere performance di inference accettabili su hardware con VRAM adeguata. Certo, i costi di capitale (CapEx) sono più alti rispetto al consumo a richiesta del cloud, ma il Total Cost of Ownership si rivaluta quando si considerano i rischi di compliance: una violazione può costare multe salatissime e danni d’immagine irreparabili. Su AI-RADAR offriamo strumenti analitici per chi deve valutare questi trade-off, ma la direzione è chiara: la sovranità dei dati non è un lusso, è un asset strategico.

Il caso delle app per il ciclo mestruale è solo la punta dell’iceberg di un’economia dei dati costruita sulla sorveglianza. Nel momento in cui l’intelligenza artificiale generativa diventa pervasiva, distinguere tra chi raccoglie dati e chi li trasforma in potere diventa una questione di architettura: server locali, modelli quantizzati, pipeline di training controllate. Per le organizzazioni che maneggiano dati sensibili, la scelta non è tra cloud e on-premise, ma tra fiducia e controllo.