Fake news ed elezioni, le norme Ue saranno un argine adeguato? Casi recenti e scenari

Parlando di regolamentazione della comunicazione politica, mai come in questi giorni fioccano esempi che ne giustificano più che mai la rilevanza e l’urgenza di intervento politico/normativo.

Meta ha reso noto come abbia recentemente rimosso numerosi contenuti dai propri portali (Facebook e Instagram), in quanto oggetto di campagne di disinformazione e influenza indebita (dette comunemente anche “fake news”, sebbene comprendano fattispecie diverse), di origine russa e cinese. L’obiettivo sarebbe stato quello di turbare le elezioni USA, di influenzare la percezione della guerra in Ucraina da parte di utenti europei e inglesi. Anche in Italia non mancherebbero operazioni specifiche: la Russia avrebbe cercato di influenzare le nostrane elezioni per alimentare ad esempio l’astensionismo. Tutto ciò richiama il paradigma principe di questi avvenimenti, cioè lo scandalo Cambridge Analytica del 2018.

Proviamo allora a ipotizzare cosa succederebbe se fossero già state in vigore due importanti normative come il Digital Services Act (DSA) e la bozza di Regolamento sul targeting politico.

Manipolare le elezioni con i social, che dice la scienza

La qualità delle fake news: il recente rapporto CIB di Meta

I siti di social media, come quelli gestiti da Meta rappresentano i palchi privilegiati a cui mirano i “guastatori” per generare entropia informativa e indirizzare gli indecisi. Tant’è che Meta ha annunciato e attuato iniziative in proprio per contrastare il fenomeno in Italia – d’altro canto, il Garante italiano ha chiesto spiegazioni su tali annunci. La richiesta si è giustificata a fronte di una strategia di promemoria elettorali agli utenti maggiorenni e altri avvisi, da parte di Meta. Il tutto secondo propri parametri e criteri, ecco perché le autorità sentono la necessità di un intervento dall’altro a fornire criteri e procedure, certi e condivisi.

Le predette operazioni di disinformazione, come illustrate da Meta, spaventano tanto più in quanto stanno assumendo un livello qualitativo impressionante e comportando tecniche sempre più sofisticate, probabilmente alimentate da sofisticati algoritmi e dall’intelligenza artificiale.

Meta ha reso noto, infatti, un report di settembre sui casi sopra indicati. Dalla lettura emergono falsificazioni impressionanti, coinvolgenti sia post sui social (spesso come “esche”) che il rinvio tramite link a URL di siti web contraffatti, a guisa di reale strumento informativo esterno alle piattaforme stesse.

Secondo la tassonomia interna di Meta, ovvero delle proprie policy e condizioni contrattuali, le operazioni coinvolte sarebbero definibili come “coordinated inauthentic behaviour” (“CIB”), ovvero sforzi coordinati (di solito in networking) tra utenti per manipolare il dibattito pubblico in vista di un obiettivo strategico, con uso di account falsi al centro dell’operazione. Questa classificazione è già costata diverse critiche in passato a Meta, in quanto avrebbe giustificato la mancata rimozione di messaggi a opera di falsi gruppi (e non già falsi account) gestiti da vari lobbisti.

La divulgazione del rapporto Meta mira a “condividere la nostra analisi e la ricerca sulle minacce, pubblicando anche gli indicatori di minacce per contribuire agli sforzi della comunità per la sicurezza, per rilevare e contrastare attività dannose altrove su Internet”. Un approccio che rimanda alle prassi in uso nel settore della sicurezza IT, soprattutto. Precisando inoltre che “quando indaghiamo e rimuoviamo queste operazioni, ci concentriamo sul comportamento piuttosto che sul contenuto, indipendentemente da chi c’è dietro di loro, cosa pubblicano o se sono stranieri o meno”.

Due responsabili di Meta, Ben Nimmo e David Agranovich, hanno dichiarato che “i siti web contraffatti e l’uso di molte lingue hanno richiesto investimenti sia tecnici che linguistici. L’amplificazione sui social media, invece, si basava principalmente su annunci grezzi e account falsi. Insieme, questi due approcci hanno funzionato come un tentativo di “smash-and-grab” [una tantum] contro l’ambiente informativo, piuttosto che come un serio sforzo di occuparlo a lungo termine”.

I contenuti erano di diverso tipo: potevano trattarsi di meme con bersaglio i politici oggetto della campagna e i loro messaggi politici, come quelli riprodotti di seguito dal report. Oppure si poteva trattare di commenti a post di terzi o, ancora, di gruppi social appositamente costruiti, nella lingua specifica degli utenti ideali presi di mira.

Un caso eclatante è quello dei link pagine web del Guardian, ovviamente mimate e alterate ma accuratamente riprodotte in vari dettagli (in sicurezza informatica si parlerebbe di “spoofing”): difficile capire, se non con particolare attenzione, che si trattasse di un falso. Tanto che le pagine web comprendevano persino una replica del cookie banner del sito originale e dei link aggiornati alle pagine “più viste”, a testimoniare lo sforzo produttivo da parte degli attaccanti.

Lo si può riscontrare nelle seguenti immagini, tratte dal report di Meta, il grado di sofisticazione raggiunto dagli attaccanti. Diventa davvero difficile, così, poter comprendere di ritrovarsi in un sito web contraffatto (quello del Guardian), peraltro registrato il giorno stesso della sua pubblicazione.

Anche l’Italia avrebbe subito queste tattiche, visto che il sito dell’ANSA sarebbe stato “clonato” nello stesso modo. D’altronde, riporta Meta che sarebbero stati creati “più di 60 siti web che imitavano il layout esatto e falsificavano gli indirizzi web dei principali media europei”. Oggetto: vi si ospitavano video e articoli che ritraevano il governo ucraino e le forze armate come criminali e corrotti, la Russia come vittima dell’aggressione occidentale e le sanzioni occidentali come pericolose per l’Europa e i suoi cittadini.

Come detto, tra i Paesi accusati vi sarebbe la Cina che avrebbe cercato di colpire la campagna politica USA, prendendo di mira persone di entrambi i capi dello spettro politico (democratici e repubblicani). Operazione che però si sarebbe rivelata un flop, secondo Meta, avendo avuto un certo effetto solo verso utenti della Repubblica ceca coinvolti in una raccolta di firme online per petizioni (ovviamente false). Peraltro l’attacco sarebbe stato massivo, diretto non solo a Facebook e Instagram, includendovi YouTube, Telegram, Twitter, Change.org, Avaaz, LiveJournal.

Vi è un particolare buffo, quando Meta argomenta nel suo rapporto che una delle cause di questo flop sarebbe dovuta agli orari e giorni lavorativi in Cina e alla differenza di fuso orario con i Paesi destinatari, ragion per cui gli orari e giorni più “sensibili” per il pubblico americano non sarebbero stati adeguatamente coperti dalle pubblicazioni cinesi dei contenuti.

Tutte queste operazioni sarebbero il frutto di quattro attacchi (nel report si parla di “cluster”), in gran parte separati e di breve durata, focalizzati su un particolare pubblico, in momenti diversi tra l’autunno del 2021 e il 2022. Tra i Paesi coinvolti, o meglio degli utenti di tali Paesi, Meta ha indicato Germania, Francia, Italia, Ucraina e Regno Unito, con messaggi diversificati in più lingue. Di conseguenza sono stati rimossi o bloccati innumerevoli account, post e gruppi sfruttati sui social dagli aggressori.

Sono istruttivi i numeri indicati da Meta sul punto:

• circa la presenza su Facebook e Instagram, si parla di 1.633 account, 703 pagine, un gruppo social e 29 account su Instagram;
• parlando di follower, si tratta di circa 4.000 account che hanno seguito una o più di queste pagine social, quasi 10 account si sono uniti a questo gruppo social e circa 1.500 account hanno seguito uno o più di tali account Instagram;
• per il marketing sono stati spesi circa $ 105.000 di annunci su Facebook e Instagram.

Circa le elezioni italiane appena intercorse, rimandiamo ad altra sede per approfondimenti. Ci si limita a indicare che non fanno parte, pare, del report di Meta qui in parola. In ogni caso, le iniziative autonome di Meta (come messaggi agli utenti e indicazioni informative agli utenti) sono parse sindacabili da parte del Garante nazionale, richiedendo chiarimenti urgenti (di cui non si ha notizia ulteriore, al momento). Il fatto che comportassero una qualche forma di segmentazione e profilazione degli utenti (si è parlato di utenti maggiorenni, ecc.) ha indotto il Garante a ricordare la delicatezza nel “trattamento di dati idonei a rivelare le opinioni politiche degli interessati e al rispetto della libera manifestazione del pensiero”. Un delicato equilibrio che la legislazione di seguito esaminata vuole cercare di raggiungere, per combattere con più specificità ed efficacia questi montanti attacchi al sistema politico e democratico.

Che cosa accadrebbe se tutto questo avvenisse in regime di DSA e Regolamento sul targeting politico

Non possiamo qui entrare nel discorso contromisure, cioè sugli strumenti e tattiche utili, a disposizione dei titolari di piattaforme, per evitare o arginare questi preoccupanti fenomeni. Bensì possiamo provare a ipotizzare cosa comporterebbe quando saranno in vigore due importanti normative come il Digital Services Act (DSA) – ricordando che si è tuttora in attesa di una sua formale pubblicazione ed entrata in vigore – e la bozza di Regolamento sul targeting politico – tuttora in discussione parlamentare e diretto a entrare in vigore nel 2023.

Circa il DSA, ecco cosa si potrebbe applicare, tra i tanti obblighi, al caso di Meta come specificato nel loro report:

• nessun dubbio sull’applicabilità della normativa UE a Meta, che si tratti di una loro società europea o se (come accade con il GDPR) vi sia necessità di nominare un rappresentante nel territorio UE/SEE, visto che si coinvolgono utenti del nostro territorio (art. 11)
• quanto al profilo soggettivo, l’attività prestata dai social è certamente di “servizio della società dell’informazione”, più precisamente di intermediario di servizi di hosting (si pensi ai contenuti caricati dagli utenti nei post ecc.) e di piattaforma online
• quanto al materiale descritto sopra, va compreso se si tratti di “contenuto illegale” come da definizioni (art. 2 DSA): basta che sia una “informazione” non conforme a norme – in tal caso pare vi si possa includere almeno alcune delle condotte sopra indicate, specie pesando alla falsità, alla decettività, alla manipolazione non autorizzata di contenuti altrui, allo sfruttamento di marchi e segni distintivi, ai possibili reati “di opinione”, ecc.
• connesso a tale concetto vi è quello di “moderazione di contenuti”, cioè di identificazione e contrasto ai contenuti illegali (esattamente come quella perfezionata da Meta con quanto descritto nel suo report)ed estesa anche a contenuti non illegali ma in violazione delle condizioni generali contrattuali di servizio – come tali, potenzialmente negativi e dannosi (ad es. discriminatori o con effetti sui processi elettorali – ciò si lega alla valutazione dei rischi sistemici che un portale “di dimensioni molto grandi” come Meta dovrà effettuare ai sensi dell’art. 26)
• ricordiamo che il DSA non prevede un obbligo generale di sorveglianza a carico dei portali, dovendo attivarsi e incorrendo in responsabilità solo in determinati casi (artt. 5 e 7) come ad es. se vengono a conoscenza dell’illiceità ecc. – diversamente ,vige l’esenzione di responsabilità per i portali stessi; le indagini volontarie (art. 6) come quelle sopra descritte da Meta sono ammissibili da parte dei prestatori di servizi, se svolte in buona fede e in maniera diligente, rispettandone i requisiti, senza che ciò vanifichi la citata esenzione di responsabilità
• qualora Meta, invece di procedere per indagini interne, avesse ricevuto (art. 8) un ordine da parte di un’autorità (giudiziaria o meno, ad es. amministrativa come il Garante), allora avrebbe dovuto attivarsi circa i contenuti illegali segnalati e informare l’autorità stessa
• lato utenti di Meta, questa (art. 12) dovrebbe indicare nei propri termini di servizio come può avvenire la propria attività di moderazione dei contenuti, sia a loro difesa dagli effetti negativi verso di loro dei contenuti (illegali o dannosi), che a tutela dei loro diritti (ad es. di contestare eventuali rimozioni per costituzionale libertà di espressione), tanto che l’utente deve sapere di eventuali misure correttive e mezzi di ricorso – tanto più riflettendo sul pesante prevedibile utilizzo di automazioni e filtraggi, machine learning e altre tecniche ormai inevitabili per gestire la moderazione di portali così estesi; ergo, nel caso concreto Meta dovrebbe illustrare preventivamente agli utenti come attua le proprie indagini, i controlli, il tipo e livello di automazione, ecc.
• ciò si lega anche all’obbligo di una serie di motivazioni (art. 15) che pure il DSA addossa ai prestatori di servizi, rivolti agli utenti, qualora si effettuino azioni come ad es. la rimozione dei loro contenuti
• oltre tutto Meta dovrebbe pubblicare (art. 13) almeno una volta l’anno una relazione proprio sull’attività di moderazione dei contenuti, oltre a predisporre (art. 14) meccanismi di notifica per gli utenti, atti a segnalare potenziali contenuti illeciti
• è dubbio se si possa applicare l’art. 15bis che prevede un onere di notifica verso le autorità qualora si sospetti un reato che comporti “una minaccia per la vita o la sicurezza di una o più persone”, viste le condotte descritte sopra
• quando poi i contenuti si presentino come messaggi pubblicitari, si dovrà tenere conto parimenti degli artt. 24-24sexies, circa la trasparenza pubblicitaria e sui sistemi di raccomandazione se coinvolti (specie sui criteri e parametri di targeting, su chi ha pagato per tali inserzioni, ecc.)
• accenniamo soltanto alla complessa tematica della valutazione dei “rischi sistemici” (art. 26), per cui Meta dovrà effettuare valutazioni “derivanti dalla progettazione, compresi i sistemi algoritmici, dal funzionamento e dall’uso dei loro servizi”; una valutazione che dovrà tenere conto altresì della diffusione di contenuti illegali o con effetti negativi per l’esercizio di diritti fondamentali, o sul dibattito civico, sui processi elettorali o la sicurezza pubblica – a fronte di ciò, come per ogni valutazione dei rischi, Meta dovrà attuare le idonee misure di mitigazione (art. 27) che tocchino anche la moderazione adeguata dei contenuti illeciti.

Vi sarebbero innumerevoli altri aspetti del DSA da considerare – ci arrestiamo qui solo perché pare sufficiente a far capire come Meta e portali di analoga portata dovranno attuare ben di più di quanto tuttora pare abbiano messo in campo. E questa volta rispettando non tanto prescrizioni di self-regulation quanto norme di rango europeo.

Quanto al Regolamento relativo alla trasparenza e al targeting della pubblicità politica, ricordiamo che si tratterà di norma integrativa (rispetto al DSA oltre che al GDPR) circa adempimenti e responsabilità. In breve, si aggiungerebbe quanto segue, facendo riferimento al testo in bozza e tuttora noto al pubblico:

• si applicherebbe anzitutto quando un messaggio pubblicitario si palesasse come “pubblicità politica”, cioè a favore o per conto di un attore politico, oppure che possa influenzare l’esito di un’elezione o altri processi politici
• tuttavia, va detto che si applicherebbe solo a “servizi di pubblicità politica”, da cui espressamente si escludono i servizi intermediari online di cui al DSA (come l’hosting), per cui si potrebbe dubitare della (integrale) applicazione ai portali social di Meta
• comunque sia, i prestatori di servizi pubblicitari dovrebbero farsi indicare dagli sponsor (diciamo gli inserzionisti) di dichiarare se la loro pubblicità è di tipo “politico”, vincolandoli contrattualmente al rispetto del Regolamento
• circa i messaggi politici, i prestatori di servizi dovrebbero mantenere per 5 anni diverse informazioni sui servizi richiesti, ad es. circa l’identità degli inserzionisti, i servizi richiesti e gli importi corrisposti
• il portale dovrebbe permettere a chiunque di segnalare (vedi predetti obblighi di notifica di illecito del DSA) i messaggi potenzialmente illeciti, con appositi meccanismi di notifica; ricordiamo che un messaggio illecito potrebbe essere anche quello che sfrutta tecniche di targeting o amplificazione sfruttando dati particolari ex art. 9 GDPR (soprattutto circa le preferenze politiche dell’interessato)
• lato utente, ogni messaggio pubblicitario politico avrebbe dei requisiti di trasparenza specifici (detti “avvisi”), soprattutto circa la comprensibilità del “contesto più ampio in cui si situa il messaggio e i suoi obiettivi”, dovendosi così scoprire le carte sulle reali intenzioni del messaggio.

Conclusioni

Come sopra, non si vuole dare certo un quadro completo. Serva solo a rendere un’idea dei tanti nuovi oneri e meccanismi che i portali e gli utenti si ritroveranno davanti, quando i tentativi di auto-regolazione dei portali stessi verranno superati da norme cogenti.

Vedremo che cosa accadrà e che scenario di comunicazione politica ne seguirà – certamente gli attacchi alla corretta e lecita informazione assumono sempre più dimensioni e qualità di allarmante livello. Saranno gli strumenti legislativi ipotizzati dall’Unione quelli adeguati a porvi un freno?