Usa: il capo della cyber sicurezza ha caricato documenti sensibili su ChatGPT

Un episodio interno alla Cybersecurity and Infrastructure Security Agency (CISA), l'agenzia federale statunitense che si occupa di cyber difesa e protezione delle infrastrutture critiche, torna a far parlare di gestione dei dati sensibili quando entra in gioco l'AI generativa. Secondo quanto riportato da fonti del Department of Homeland Security (DHS), Madhu Gottumukkala, direttore ad interim dell'agenzia, avrebbe caricato su una versione pubblica di ChatGPT documenti legati ad attività di procurement e contrattualistica contrassegnati come "For Official Use Only", etichetta che identifica materiale sensibile e non destinato alla divulgazione.

I file in questione non risultano classificati, ma la loro natura ha comunque attivato i meccanismi di difesa previsti sulle reti federali: i sensori di sicurezza avrebbero rilevato gli upload nel mese di agosto, quando sono stati generati avvisi automatici progettati per intercettare tentativi di esfiltrazione o esposizione involontaria di informazioni governative. Da lì sarebbe partita una revisione interna e una damage assessment con l'obiettivo di capire se l'inserimento dei documenti nella piattaforma potesse avere prodotto effetti sulla sicurezza dell'amministrazione.

Il caso pesa anche per il contesto operativo. Gottumukkala, sempre secondo le ricostruzioni, avrebbe richiesto un'autorizzazione specifica per utilizzare lo strumento poco dopo l'arrivo in agenzia nel mese di maggio, in una fase in cui l'accesso a ChatGPT risultava bloccato per altri dipendenti DHS. La versione ufficiale fornita dall'agenzia parla di un utilizzo temporaneo e limitato, autorizzato con controlli interni, con un'ultima sessione collocata a metà luglio 2025 nell'ambito di un'eccezione concessa a una parte del personale.

La criticità principale non riguarda solo l'atto di caricamento, ma il modello di trattamento dei dati: il materiale inserito in una versione pubblica del servizio può essere condiviso con il fornitore e, in base alle policy, può contribuire al funzionamento del sistema. Proprio per questo il DHS negli ultimi mesi ha indicato strumenti differenti per l'uso interno, incluse soluzioni impostate per evitare che richieste e documenti escano dal perimetro delle reti federali.

Le procedure federali prevedono formazione specifica sulla gestione di documentazione sensibile e, in caso di esposizione, una valutazione di cause ed effetti insieme alla verifica delle misure disciplinari adeguate: dall'obbligo di retraining fino a provvedimenti più pesanti, in funzione del contesto. Nella ricostruzione dell'accaduto entrano anche interlocuzioni ai vertici: dopo la rilevazione, Gottumukkala avrebbe discusso il contenuto caricato con dirigenti DHS, mentre all'interno dell'agenzia sarebbero avvenuti incontri con il CIO e il legal counsel per ricondurre l'uso degli strumenti AI entro binari compatibili con le policy sui documenti "official use".

L'episodio si innesta in una fase già complessa per la guida dell'agenzia. Gottumukkala è il principale riferimento politico della CISA dall'inizio del suo incarico ad interim e, nelle settimane recenti, il suo nome è comparso in altri dossier interni legati a prassi di sicurezza e rapporti con la struttura dirigenziale. Nel frattempo resta aperta la partita sulla leadership stabile: la nomina del direttore designato dall'amministrazione Trump risulta ancora in sospeso, con un percorso di conferma non completato.

Il punto, ora, non è solo ricostruire la dinamica tecnica dell'incidente, ma chiarire cosa abbia prodotto la revisione interna e quali regole verranno rafforzate. L'AI generativa è già entrata nel lessico operativo delle agenzie, ma la gestione di documenti sensibili e l'uso di piattaforme pubbliche restano un nodo che può trasformarsi in un problema istituzionale, oltre che di cybersecurity.