I modelli di machine learning non si limitano a "imparare pattern". Memorizzano frammenti dei training data. Nomi, indirizzi, testo proprietario — tutto può riemergere attraverso gli output del modello.
Il modello diventa un'attack surface.
Una volta deployato, non puoi DELETE FROM weights WHERE data = 'sensitive'. L'informazione è dissolta in miliardi di parametri. Rimuoverla è un problema di ricerca aperto chiamato machine unlearning.
Per questo faccio inferenza localmente. Non per le performance. Non per il costo. Perché dove gira il modello è una decisione di governance del dato.
Differential privacy, federated learning, privacy-preserving ML sono tecniche importanti. Ma sono mitigation dentro un'architettura già decisa.
La domanda vera viene prima: chi controlla l'infrastruttura dove i tuoi dati diventano embedding?
Se la risposta è "il GPU cluster di qualcun altro" — la tua policy di data governance ha un buco grande come un model checkpoint.