Inquinare i selfie per ingannare l’AI: da Pirandello al modello “swiss cheese” - Agenda Digitale

facial recognition

Inquinare i selfie per ingannare l’AI: da Pirandello al modello “swiss cheese”

Fino a dove possiamo spingerci per ingannare un’intelligenza artificiale, dando in pasto alla rete immagini di noi stessi inutilizzabili? Le tecnologie – da Fawkes e LowKey – già ci sono: vediamo come funzionano, le strategie alternative e le possibili derive

09 Giu 2021
Lorenza Saettone

Filosofa specializzata in Epistemologia e Cognitivismo, docente di Filosofia e Storia

Vitangelo Moscarda ebbe un insight tremendo: comprende di non essere sé stesso, ma di essere centomila. Non aveva mai fatto caso al suo naso storto prima di quella mattina davanti allo specchio. Quella consapevolezza, quel dettaglio appena scoperto, lo trasformava in un estraneo inconoscibile: chissà quanti altri particolari ignorava, chissà quanti erano ignorati da coloro che in apparenza ci conoscevano e amavano.

L’identificazione è un processo inattuabile se cambiamo continuamente, se il nostro Sé, fisico e caratteriale, non è qualcosa di oggettivo, ma è il risultato di un’interpretazione e di un’attenzione selettiva verso determinati elementi e non altri.

Abusi della polizia, contrastarli grazie al riconoscimento facciale

Mi chiedo se questo processo descritto egregiamente da Pirandello si possa applicare ai sistemi di facial recognition. Se fossimo centomila saremmo nessuno per una intelligenza artificiale. In effetti, esistono alcuni sistemi, come Fawkes e LowKey, che si basano proprio su questo meccanismo di mascheramento pirandelliano. Vediamo nel dettaglio come si può ingannare un’intelligenza artificiale, dando in pasto alla rete immagini di noi stessi inutilizzabili.

Riconoscimento facciale e libertà individuali

Ormai è sempre più alla portata di tutti costruire un sistema di riconoscimento facciale. Non solo, il problema del facial recognition è tornato sulle prime pagine poche settimane fa, quando Buzzfeed rese pubblici i nomi delle 1800 agenzie (molte operanti nel settore della difesa, della sanità e dell’istruzione) in contatto con Clearview AI. Questa azienda avrebbe sottratto, senza consensi, tre milioni di foto da internet, addestrando così il suo sistema di riconoscimento facciale, di cui, tra l’altro, non si conosce affatto l’accuratezza. Anche se non si hanno a disposizione dati trasparenti sulla qualità del modello, esso viene ampiamente utilizzato dalla polizia di New York, con tutti i rischi per la libertà individuale che ciò comporta. Pertanto, è d’obbligo mettere in atto delle contromisure per impedire che una qualunque azienda privata ci sottragga il nostro volto e lo possa usare contro di noi.

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity

Inquinare i dati che produciamo sul web: fawkes

In attesa che i social network affrontino seriamente la questione, limitando furti di dati e abusi di varia natura a danno dei loro clienti, non ci resta che trovare individualmente una soluzione. Per opporci all’uso non consensuale delle nostre informazioni, una strategia è quella di inquinare i dati che produciamo sul web. Per non essere tracciati e profilati, ad esempio, si possono aprire contenuti random che non ci corrispondono, così da disorientare gli algoritmi. Per il facial recognition dobbiamo invece diventare letteralmente “centomila”, di modo che un’intelligenza artificiale, addestrata sui nostri dati, non sia di fatto in grado di riconoscerci, ma come si può fare nel concreto?

Fawkes è un sistema volto a impedire il riconoscimento facciale e creato dall’Università di Chicago. Si stima abbia un’accuratezza del 100 percento a mascherare le foto e renderle inutilizzabili. Si basa sulla tecnica del “cloaking”, cioè oscurare. È come se venisse aggiunta una maschera sul nostro volto: da qui il nome Fawkes, la maschera di V per Vendetta. Il selfie presenterà modifiche che all’occhio umano risulteranno impercettibili, mentre il software di riconoscimento facciale faticherà a definire l’identità del soggetto ritratto. Se sottoponessimo a Fawkes tutte le nostre immagini, ogni volta sarebbe davvero come se fossimo un individuo diverso: i centomila di Pirandello.

Illustrazione 1: The Verge, Comparisons of uncloaked and cloaked faces using Fawkes.

LawKey e il paradosso del velato

LawKey, invece, non insegna informazioni erronee sul nostro conto, ma trasforma i selfie in contenuti invisibili per l’IA. Letteralmente low-key significa “a bassa intensità”. Sul sito si legge che in trenta secondi l’immagine verrà processata, le verranno applicati filtri e verrà inviata sulla nostra email, indirizzo che sarà cancellato dai loro server. In questo caso ho provato a editare una mia immagine e non credo che il sistema possa essere utilizzato realmente sui social network, dove vige il diktat di condividere solo fotografie che descrivano la migliore versione di sé. La foto processata con Lowkey appare troppo disturbata per essere condivisibile, non solo, il mio aspetto appare invecchiato e leggermente deformato.

Non si tratta, tuttavia, di una soluzione sostenibile o risolutiva. Recentemente l’intelligenza artificiale di Microsoft Azure aveva dimostrato di riuscire a riconoscere l’individuo al di là della maschera. Sembra la riproposizione del paradosso del Velato: se coperto da veli, non si conosce un soggetto che conosciamo, finché non lo si smaschera, generando così il sofisma per il quale uno stesso soggetto è conosciuto e non. Di base ogni individuo è identificabile finché non viene smascherato e l’intelligenza artificiale, se addestrata a farlo, può riconoscere chiunque al di là dei pixel aggiunti per disturbare l’identificazione.

Fawkes, dopo l’evoluzione di Azure, ha tarato nuovamente le sue maschere, tornando al 100 percento di accuratezza. Tuttavia, l’accaduto dimostra che quella del cloaking resta una strategia temporanea.

Possibili strategie alternative: lo swiss cheese model

C’è poi il problema delle immagini già postate. Abbiamo già condiviso giga e giga di fotografie di noi stessi, per non parlare di quelle in cui siamo taggati nostro malgrado. Se si può intervenire sul futuro, per le foto già condivise e per quelle la cui decisione spetta agli altri non è possibile con i mezzi descritti sopra. Una soluzione potrebbe essere quella di limitare il tempo di esistenza delle foto e dei video, conservando le nostre immagini in drive personali, in memorie esterne. Anche i server delle big tech potrebbero porre dei limiti allo storage illimitato. Mi auguro venga riconosciuto anche il diritto all’oblio dei singoli: il diritto di poter cancellare, quando lo volessero, tutti i dati personali dai cloud.

Come ho anticipato, l’unica possibilità sarebbe quella di coordinare più strategie insieme. È la soluzione del “formaggio svizzero”. Ogni metodo avrà sempre delle falle, dei punti deboli, ma è possibile renderli inoffensivi, coordinando tra loro le strategie, in quello che di fatto sarebbe un approccio multiplo. In questo caso si prende a modello l’analogia con il noto formaggio con i buchi (swiss cheese model), per cui, solo sommando tra loro più euristiche di problem solving, i buchi di ognuno dei metodi adottati si compenseranno vicendevolmente; sommando ogni strato, ogni fetta, otterremo una struttura a buchi ma solida.

Il cloaking può essere utile, ma limitatamente. È sempre necessario intervenire da più parti e tra più parti. Serve una regolamentazione chiara e condivisa, pene per chi viola le regole, licenze trasparenti e anche Facebook e gli altri social network dovranno assumersi la responsabilità dei dati che affidiamo loro: potranno applicare sistemi di maschere tipo Fawkes, senza che siano i singoli a doversene occupare, o altri tipi di blocchi che impediscano il ladrocinio di informazioni.

Anche gli Stati dovranno rispondere al problema. Nelle zone dove ci sono videocamere di sorveglianza dovrà essere segnalato il fatto che potremmo essere ripresi e dovremmo essere lasciati liberi di voler celare il nostro viso.

Il Governo dovrebbe creare team di controllo, in grado di dare valutazioni sui prodotti di facial recognition, così che gli utenti siano consapevoli di cosa stanno utilizzando e soprattutto di come potrebbero essere utilizzati, così da impedire il violarsi del principio fondamentale dell’etica: l’essere umano deve restare un fine e non deve trasformarsi in uno strumento, qualunque sia lo scopo.

Conclusioni

Ritornando, infine, all’analogia iniziale con “Uno, nessuno e centomila”, non vorrei che, a livello subliminale, quelle leggere differenze apportate al nostro viso da Fawkes non contribuissero a portarci a una deriva folle e angosciante simile a quella di Vitangelo Moscarda. La percezione subconscia di essere centomila e quindi di non avere nessun volto potrebbe dare l’ultima spallata alla nostra ricerca di definizione, perdendo, così, quel misero appiglio alla liquidità che sono i nostri post. Esagerare particolari è dismorfofobia e il capolavoro di Pirandello racconta proprio un caso di questo tipo. La perdita di controllo, il senso di inadeguatezza derivante dall’immagine di sé distorta quanto potrebbe essere esacerbata da un sistema che ci modifica di continuo, rendendoci costantemente altri dall’idea che abbiamo di noi stessi?

@RIPRODUZIONE RISERVATA

Articolo 1 di 4