Chi desidera candidarsi per un impiego presso McDonald’s negli Stati Uniti ha buone probabilità di imbattersi in Olivia. Dietro questo nome rassicurante non si nasconde una persona, ma un chatbot di intelligenza artificiale sviluppato dalla società Paradox.ai.
Olivia accoglie i candidati, raccoglie dati personali, pone domande preliminari, gestisce test psicometrici e filtra i profili per il famoso fast food. Un sistema pensato per velocizzare i processi e ridurre i costi, ma che si è rivelato vulnerabile nel punto più delicato: la sicurezza dei dati.
L’indagine dei ricercatori: una falla imbarazzante
La vulnerabilità è stata scoperta da due esperti di sicurezza informatica – Ian Carroll e Sam Curry -che hanno analizzato la piattaforma McHire.com – il portale attraverso cui McDonald’s e i suoi licenziatari gestiscono le assunzioni. I due ricercatori sono riusciti a registrarsi come se fossero licenziatari dell’azienda e hanno individuato un pannello di login riservato ai dipendenti di Paradox. Usando semplicemente “123456” come username e password, sono entrati nel sistema con privilegi amministrativi.
Nel giro di mezz’ora, avevano accesso a praticamente ogni candidatura presentata negli ultimi anni: 64 milioni di voci, contenenti nomi, email, numeri di telefono, conversazioni con il chatbot, test della personalità e altri dati sensibili.
La scoperta solleva interrogativi non solo tecnologici, ma anche etici. Inoltre, l’esposizione di dati personali non riguarda solo la privacy, ma può rappresentare un pericolo concreto: chiunque avesse sfruttato la falla avrebbe potuto orchestrare truffe mirate, fingendosi recruiter ufficiale e chiedendo informazioni finanziarie sotto falso pretesto.
AI sotto accusa: conferme e giustificazioni
Paradox.ai ha confermato la vulnerabilità, sostenendo però che l’account con la password “123456” non è stato violato da altri al di fuori dei ricercatori. L’azienda ha assicurato di aver corretto l’errore e promesso l’avvio di un programma di “bug bounty” per individuare e risolvere tempestivamente falle simili in futuro.
Stephanie King, responsabile legale di Paradox, ha dichiarato: “Non prendiamo la questione alla leggera, anche se è stata risolta in modo rapido ed efficace”.
McDonald’s, invece, ha subito preso le distanze. Infatti, la catena ha dichiarato: “Siamo delusi da questa inaccettabile vulnerabilità causata da un fornitore terzo. Abbiamo immediatamente chiesto a Paradox di intervenire e continueremo a pretendere il rispetto dei nostri standard di sicurezza informatica”.
AI nei processi HR: un’arma a doppio taglio
La recente esposizione di 64 milioni di candidature da parte del chatbot AI “Olivia”, utilizzato da McDonald’s e sviluppato da Paradox, getta una luce inquietante sull’impiego crescente dell’intelligenza artificiale nei processi di selezione del personale. In contesti ad alta rotazione come la ristorazione veloce, dove l’efficienza spesso prevale sulla personalizzazione, l’automazione rischia di trasformarsi in una forma di spersonalizzazione, se non addirittura in una minaccia concreta per la privacy.
Sebbene Paradox abbia minimizzato l’accaduto affermando che solo una parte dei record conteneva dati sensibili, i ricercatori sottolineano come il rischio di phishing sia reale. Inoltre, l’esposizione di informazioni legate a tentativi – talvolta falliti – di ottenere impieghi poco qualificati potrebbe provocare imbarazzo personale e sociale per molti candidati, evidenziando le vulnerabilità di sistemi sempre più affidati a tecnologie automatizzate ma non infallibili.
AI e privacy: progresso o pericolo?
Il caso McHire mette in guardia contro i pericoli dell’automazione cieca, soprattutto quando gestita senza adeguati standard di sicurezza. L’uso dell’intelligenza artificiale nei processi HR può essere utile, ma non può prescindere dalla tutela dei dati personali. Quando a mancare è una cultura della cybersecurity, il rischio non è solo quello di perdere dati: è quello di perdere fiducia, umanità e responsabilità.