Aquele assistente de inteligência artificial que instalaste para te ajudar a escrever e-mails ou a resumir artigos pode estar a fazer muito mais do que imaginas. Um estudo recente, conduzido por investigadores de universidades no Reino Unido e em Itália, acende um alerta vermelho sobre a forma como estas ferramentas lidam com a nossa privacidade, revelando que muitas delas recolhem e partilham dados altamente confidenciais sem o nosso conhecimento ou consentimento explícito.
A investigação focou-se em dez assistentes de IA que requerem instalação no computador ou telemóvel, e as conclusões são, no mínimo, preocupantes. Desde registos médicos a dados bancários, uma quantidade alarmante de informação pessoal está a ser capturada e enviada para servidores externos, levantando sérias questões sobre a segurança e a ética destas tecnologias que se estão a tornar cada vez mais presentes no nosso dia a dia.
O que é que eles sabem exatamente sobre ti?
A análise dos investigadores foi profunda e revelou práticas de recolha de dados bastante invasivas. Descobriu-se que vários dos assistentes analisados não se limitavam a processar o texto que lhes fornecias; eles transmitiam o conteúdo completo das páginas de internet que visitavas para os seus servidores. Isto inclui tudo o que estava visível no teu ecrã.
Um dos casos mais flagrantes foi o do assistente Merlin, que foi apanhado a capturar dados inseridos em formulários, incluindo informações bancárias e de saúde. Outros nomes conhecidos, como o ChatGPT (na sua versão de extensão), Copilot, Monica e Sider, demonstraram ter a capacidade de criar um perfil detalhado sobre o utilizador. Com base na tua atividade, conseguiam inferir a tua idade, género, nível de rendimento e interesses. Pior ainda, usavam essa informação para personalizar as respostas que te davam, mantendo esse perfil ativo mesmo entre diferentes sessões de navegação.
Um teste no mundo real com resultados assustadores
Para chegar a estas conclusões, os investigadores não se limitaram a analisar o código. Eles simularam o comportamento de um utilizador comum no mundo real. Para isso, criaram uma identidade fictícia: um “homem rico da geração Y a viver na Califórnia”. Usando esta persona, interagiram com os dez assistentes enquanto realizavam tarefas online perfeitamente normais, como ler notícias, fazer compras na Amazon ou ver vídeos no YouTube.
Mas o teste foi mais longe. A equipa incluiu também a navegação em espaços que qualquer pessoa consideraria privados. A persona acedeu a um portal de saúde universitário, entrou num serviço de encontros online e até visitou sites de pornografia. O pressuposto era claro: qualquer utilizador esperaria que a sua atividade nestes contextos não fosse rastreada.
Os resultados foram chocantes. Segundo o estudo, alguns assistentes, nomeadamente o Merlin e o Sider, não pararam de gravar a atividade quando o utilizador entrou nestes espaços privados. Ao recolherem informações confidenciais de saúde e educação, violaram diretamente a legislação de proteção de dados em vigor nos Estados Unidos, onde o estudo foi realizado.
Os teus dados estão à venda (e tu não sabes)
Anna Maria Mandalari, uma das autoras do estudo e investigadora na University College London, sublinha a gravidade da situação. “Esta recolha e partilha de dados não é trivial”, alerta. O problema não se resume apenas à possibilidade de os teus dados serem vendidos ou partilhados com terceiros para fins publicitários. “Num mundo onde ciberataques em massa são frequentes, não há forma de saber o que está a acontecer aos dados de navegação depois de recolhidos”, explica a investigadora. Uma vez que a informação sai do teu computador, perdes totalmente o controlo sobre ela.
Face a este cenário, os autores do estudo defendem a necessidade urgente de uma maior supervisão regulamentar sobre o mercado de assistentes de IA. Não basta confiar na boa vontade das empresas. É preciso que existam regras claras e fiscalização para proteger os dados pessoais dos utilizadores. Ao mesmo tempo, deixam uma recomendação aos programadores: é fundamental que adotem princípios de “privacidade desde a conceção” (privacy by design), o que implica, entre outras coisas, pedir o consentimento explícito e claro do utilizador para qualquer tipo de recolha de dados, explicando exatamente para que serão usados.
