supersqualo
Privacy & Sicurezza

Browser e privacy quando usi tool IA: cosa cambiare oggi

Il browser è la porta da cui entrano (e escono) i dati che dai ai tool IA. Cookie, fingerprinting, estensioni rapaci: come tenerli sotto controllo senza rinunciare a usare ChatGPT e simili.

Di Super Squalo·4 min lettura
Nota. Una premessa: l'IA cambia ogni mese. Quello che leggi qui è giusto al momento in cui scrivo, ma fra sei mesi qualche pezzo potrebbe essere già superato. Ci provo a tenerlo aggiornato, ma se hai un dubbio mandami un messaggio.

Giovedì pomeriggio, ufficio del consulente. Apri Chrome col profilo di lavoro, accedi a ChatGPT con l'account Google aziendale, hai diciassette estensioni installate negli anni di cui dodici non ricordi nemmeno cosa fanno. Usi tool IA due ore al giorno con dati di clienti. Ogni prompt lascia tracce in tre o quattro punti diversi: nel browser locale, sui server del fornitore, nelle estensioni installate, nei cookie pubblicitari. È igiene digitale di base, non paranoia.

Mezz'ora di lavoro adesso ti risparmia sei mesi di rogne dopo. Vediamo cosa cambiare oggi.

Il pasticcio in cui finisci se non separi i profili

Quando usi un tool IA dal browser succedono quattro cose insieme. Il prompt va al server del fornitore e viene processato lì. I metadati (user-agent, fingerprint, cookie, IP, eventuale localizzazione) escono col prompt. Le estensioni installate possono leggere il contenuto delle pagine, prompt e risposte inclusi: lo fanno in molti casi senza dirtelo chiaro. I cookie pubblicitari di terze parti che non hai bloccato sanno che sei su ChatGPT, per quanto tempo, da quale account.

Quattro fronti, quattro mitigazioni. Se ne tralasci uno, le altre tre servono a metà.

Caso reale 2024: decine di estensioni Chrome con "ChatGPT" nel nome esfiltravano cookie e prompt. Google ne ha rimosse parecchie ma il danno per chi le aveva installate era già fatto. Account compromessi, sessioni rubate, prompt aziendali in mano a sconosciuti.

Cosa NON puoi fare

Non puoi usare la modalità in incognito come surrogato della privacy. Non protegge dai server del fornitore, blocca solo la cronologia locale.

Non puoi installare VPN gratuite per "privacy". La maggior parte rivende il tuo traffico. Se vuoi una VPN, la paghi (Mullvad, Proton, IVPN sono nomi seri).

Non puoi sincronizzare cronologia e cookie tra dispositivi personali e di lavoro. È il modo più rapido per far finire un cookie del lavoro su un computer di casa.

Non puoi lasciarti loggato a ChatGPT o Claude su PC condivisi. Sembra ovvio, è la principale causa di account compromessi negli studi professionali.

Non puoi installare estensioni IA non firmate da editor riconosciuti. Se chiedono "leggere e modificare dati su tutti i siti" e non è chiaro perché, valuta sempre se ti servono davvero.

Cosa invece si può fare bene

Profili separati. Profilo personale per uso privato. Profilo lavoro per email aziendale e tool IA usati per lavoro. Profilo IA sensibile (opzionale) solo per task con dati riservati, zero estensioni se non le indispensabili. Su Chrome icona profilo in alto a destra, "Aggiungi". Su Firefox Multi-Account Containers. Cookie e storage non si mischiano.

Pulizia drastica delle estensioni. Apri la pagina delle estensioni, disinstalla tutto quello che non riconosci o non usi da trenta giorni. Per le restanti, controlla i permessi. Sul profilo IA sensibile tieni solo uBlock Origin, un password manager, e basta.

Browser scelto bene. Firefox per equilibrio privacy/usabilità con i container nativi. Brave per privacy aggressiva di default. Chrome se la usi per altri motivi, ma configurato come si deve. Safari su Mac per la sandbox forte. Edge funziona ma ha Copilot integrato e va valutato sull'account aziendale.

Configurazione minima. Cookie di terze parti bloccati. Modalità HTTPS-only attiva. GPC (segnale "non vendere i miei dati") attivo. uBlock Origin installato. Sincronizzazione delle password disattivata se vai con un manager esterno.

I paletti che non si toccano

Per chi tratta dato cliente in volume — avvocati, medici, commercialisti, consulenti — la regola del browser pulito non basta da sola. Tre passi in più sono ragionevoli. Workstation dedicata per attività IA su dati di cliente: un PC fisicamente separato. VPN aziendale verso un server europeo che controlli. Audit periodico di estensioni e integrazioni OAuth attive sul tenant aziendale.

E soprattutto: il modo più solido per chiudere il cerchio è spostare l'IA dentro il tuo perimetro. Quando il prompt non esce dal tuo ambiente, il browser conta meno. Resta importante ma diventa una linea di difesa, non l'unica.

Casi reali da tenere a mente: Samsung 2023, leak via ChatGPT scoperto dopo, ban totale interno. Synlab 2024, 2,5 milioni di sanzione del Garante per dati sanitari. La materia non è ipotetica.

Una nota personale

Io di mestiere monto sistemi IA privati per professionisti italiani, e quando serve faccio anche audit del setup browser: profili, estensioni, configurazione. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si parla di queste cose ogni giorno, e si risponde gratis. Se hai un dubbio specifico su un'estensione o su come separare i profili senza incasinarti, scrivilo lì.

Quei dieci minuti di pulizia li fai stasera. Sei a posto per sei mesi.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza