Il giocattolo IA che registra i bambini: 50.000 conversazioni finite online
Interattivi, personalizzati, sempre pronti a rispondere. I giocattoli integrati con l'intelligenza artificiale si presentano come il compagno di giochi ideale. Ascoltano, dialogano, imparano dalle abitudini dei bambini e promettono un'esperienza iper-personalizzata. Dietro questo prodigio tecnologico in miniatura continuano però a celarsi degli aspetti più oscuri che espongono i piccoli a potenziali rischi per la privacy e la loro sicurezza. Un problema tutt’altro che teorico, come dimostra il recente caso che ha coinvolto un giocattolo intelligente che ha involontariamente reso pubbliche decine di migliaia di conversazioni tra i giocattoli e i loro giovanissimi proprietari.
La scoperta della falla
A raccontare la vicenda è stata la rivista giornalistica Wired, contattata direttamente dai protagonisti per condividere quanto scoperto. Tutto ha avuto origine da una conversazione informale tra due vicini di casa. Joseph Thacker, ricercatore specializzato in sicurezza informatica, è stato avvicinato da una conoscente che aveva alimentato qualche perplessità riguardo a Bondu, un dinosauro di peluche in grado di dialogare e interagire con i bambini grazie a un sistema di intelligenza artificiale.
Spinto dalle parole della donna, Thacker ha deciso di approfondire insieme a un collega, Joel Margolis. Smanettando su Internet per qualche minuto, i due si sono così imbattuti in una sezione del sito ufficiale del giocattolo che, nelle intenzioni dell’azienda, avrebbe dovuto consentire ai genitori di monitorare le conversazioni dei figli. Qualche clic dopo, però, davanti ai due ricercatori si è aperto uno scenario del tutto inatteso: il portale consentiva a chiunque fosse in possesso di un semplice account Gmail di accedere a un archivio immenso di dati sensibili.
Non sono stati necessari strumenti sofisticati né competenze da hacker. È bastato effettuare l'accesso con un profilo Google per visualizzare le trascrizioni delle conversazioni tra il giocattolo e i piccoli utenti. Nomi, date di nascita, soprannomi, preferenze personali, informazioni sui familiari e resoconti dettagliati dei dialoghi erano liberamente consultabili. In totale, oltre 50.000 chat risultavano completamente accessibili.
Una violazione della privacy dei più piccoli
"È stato inquietante", ha raccontato Thacker, spiegando come la possibilità di leggere pensieri e confidenze dei bambini rappresenti "una violazione massiccia della loro privacy". Al di là dell'aspetto personale, simili informazioni rappresentano infatti un serio rischio per la sicurezza, poiché nelle mani sbagliate potrebbero essere usate per manipolare o mettere in pericolo i minori. Nel suo racconto Margolis non usa mezzi termini: una raccolta di dati di questo tipo è "il sogno di ogni rapitore".
Avvisata dai ricercatori, l'azienda ha subito provveduto a disattivare il portale, riattivandolo il giorno successivo con sistemi di autenticazione più robusti. L'amministratore delegato Fateen Anam Rafid, contattato dai cronisti di Wired, ha dichiarato che la falla è stata risolta nel giro di poche ore e che non ci sarebbero prove di accessi non autorizzati oltre a quelli dei ricercatori. "Prendiamo molto sul serio la privacy degli utenti", ha assicurato, annunciando anche il coinvolgimento di una società esterna per rafforzare i controlli di sicurezza.
I giocattoli con IA e un problema su cui riflettere
Per Thacker e Margolis, la falla individuata non rappresenta un incidente isolato, ma un segnale di un problema strutturale. Anche quando i dati vengono messi al sicuro da accessi esterni, resta aperta una domanda cruciale: quante persone, all’interno delle aziende che producono giocattoli basati sull’intelligenza artificiale, possono consultare le informazioni raccolte e con quali controlli? Si tratta di archivi estremamente dettagliati, che conservano lo storico completo delle conversazioni per "addestrare" il giocattolo a rispondere in modo sempre più personalizzato.
Un ulteriore livello di complessità riguarda l'uso di modelli di intelligenza artificiale sviluppati da grandi aziende tecnologiche. Per funzionare, questi sistemi devono elaborare parti delle conversazioni, che vengono quindi trasmesse a fornitori esterni, seppur con alcuni limiti e garanzie di protezione.
Infine, rimangono dubbi anche sulle modalità di sviluppo dei prodotti. Alcune componenti software, hanno spiegato i due ricercatori, potrebbero essere state realizzate con strumenti di programmazione basati sull'IA, una pratica sempre più diffusa, che accelera la creazione delle piattaforme, ma può introdurre vulnerabilità difficili da individuare, soprattutto in assenza di rigorosi controlli di sicurezza.
I moniti degli esperti e le nuove raccomandazioni
Il caso arriva a pochi giorni dalla pubblicazione di un'indagine di Common Sense Media, organizzazione non profit statunitense, che ha messo in guardia sui rischi dei giocattoli con intelligenza artificiale. Tra le criticità evidenziate (ne abbiamo parlato in modo più approfondito in questo articolo), il report ha sottolineato proprio la capacità di questi dispositivi di registrare e memorizzare ogni interazione con i bambini, arrivando a sconsigliare del tutto i giocattoli IA sotto i 5 anni e predicando "estrema cautela" per la fascia tra i 6 e i 12.
Conclusioni analoghe sono rate raggiunte anche dal documento Trouble in Toyland 2025. In questo rapporto, i ricercatori del Public Interest Research Group hanno mostrato come alcuni giocattoli dotati di sistemi chatbot possano essere facilmente indotti a fornire informazioni pericolose o inappropriate per un pubblico in età infantile.
Tutti elementi che rafforzano l'idea che la corsa all’innovazione, soprattutto quando riguarda l’infanzia, debba procedere di pari passo con regole chiare e tutele solide. Perché, come ammette lo stesso Thacker dopo questa esperienza, l'idea di portare un simile giocattolo in casa oggi appare sempre meno rassicurante e sempre più simile a "un incubo per la privacy".
