Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

biometria

Riconoscimento facciale, è allarme privacy nel mondo: ecco i rischi e le misure a tutela

L’utilizzo dei dati biometrici del viso per verificare l’identità di una persona si sta diffondendo in ambiti pubblici e privati. Scatenando azioni di associazione e le prime leggi specifiche di contrasto. La sfida normativa sarà trovare un equilibrio tra esigenze di sicurezza e tutela delle libertà fondamentali

05 Giu 2019

Marco Martorana

avvocato, studio legale Martorana, Presidente Assodata, Vicepresidente Fondazione T. Bucciarelli, DPO Certificato UNI 11697:2017


Cresce l’attenzione critica di soggetti pubblici e di privati nei confronti delle tecniche di riconoscimento facciale, di cui evidenziano i pericoli derivanti per la privacy e  – in senso più allargato – per la democrazia.

L’ultima è l’iniziativa della municipalità di San Francisco, che a maggio ha deciso di limitare l’uso del  riconoscimento facciale in ambito pubblico. 

Per comprendere la portata (e i rischi) di questa novità, e le possibili tutele normative (tra cui spicca il “nostro” Gdpr), vediamo di capire per prima cosa come funziona.

Che cos’è il riconoscimento facciale

Il riconoscimento facciale è una tecnica di intelligenza artificiale utilizzata in campo biometrico che consente di verificare l’identità di una persona a partire da un’immagine che la ritrae. Una tecnologia innovativa, veloce e con molti vantaggi che negli ultimi anni è difatti sempre più presente in vari settori; basti pensare all’attività della polizia, dove tale nuovo tool è utilizzato come mezzo per rintracciare persone ricercate o accusate di crimini, bambini o anziani smarriti o perfino per identificare cadaveri. Tutto questo tramite telecamere intelligenti capaci di riconoscere chiunque anche in eventi di massa.

Prima del riconoscimento facciale l’unico metodo in campo biometrico era rappresentato dall’impronta digitale. Tutti i dispositivi di ultima generazione ad esempio sono muniti di scanner per l’impronta digitale, e così basta sfiorare lo schermo con un dito per sbloccare il telefono o autorizzare pagamenti dallo smartphone grazie ad app come Apple pay o Android pay . Tuttavia, nel tempo tali strumenti non hanno soddisfatto l’aspettativa dei produttori per le carenze dimostrate, cosicché questi si sono spinti su altre tecnologie alternative. Tra queste al momento la più diffusa è appunto il riconoscimento facciale, che consente di proteggere dati e dispositivi dietro la scansione del nostro viso.

Microsoft, ad esempio, con Windows Hello ha permesso agli utenti Windows 10 di accedere al proprio pc con un sorriso davanti alla webcam. Tutti i grandi colossi come Apple, Samsung e Huawei utilizzano il riconoscimento facciale per lo sblocco dei dispositivi, tanto ché gli strumenti di autenticazione che ci hanno finora accompagnati quali smartcard, codici pin e password sono destinati ad essere superati. Le rilevazioni biometriche sono infatti più sicure in quanto non posso essere rubate, sono di difficile riproduzione e necessitano della presenza fisica del soggetto cui si riferiscono. In altre parole, il corpo diventa la nostra password.

Le diverse tipologie di riconoscimento facciale

Vi sono varie tipologie di identificazione facciale. Attualmente il riconoscimento facciale più diffuso è riconducibile a due grandi strategie corrispondenti a due distinte generazioni tecnologiche. La prima, a sua volta può essere divisa in due strategie: esso può avvenire tramite il confronto delle distanze tra le pupille, la grandezza del naso, delle labbra e altre misure della faccia; oppure attraverso lo studio di come i pixel si raggruppano per formare i vari elementi del viso e paragonarli con altre immagini presenti in un database. Entrambe le tecniche hanno somiglianze con il sensore di rilevamento di impronte digitali.

La seconda generazione di software per il riconoscimento facciale invece utilizza tecnologie molto più avanzate. Utilizzato dalle piattaforme Facebook, Google e Windows si basa sul machine learning e insegna ai computer a riconoscere i volti mettendo loro a disposizione decine di migliaia di immagini differenti. In questo modo, i sistemi informatici riconoscono quali sono gli elementi univoci di un viso.

Dal punto di vista pratico, il riconoscimento delle persone tramite i tratti dei loro volti si realizza attraverso un processo composto da una pluralità di fasi specifiche e delicate. La prima è costituita dal rilevamento: tramite sensori il sistema informatico attiva le fotocamere ed effettua una foto o un video del soggetto che si trova di fronte a loro; si passa poi all’allineamento: una volta rilevato che una persona si trova di fronte l’obiettivo, il computer o lo smartphone determinano la posizione e inclinazione della testa e le sue dimensioni. Segue la fase della misurazione: il sistema elabora l’immagine raccolta con algoritmi che aiutano a determinare su una scala millimetrica le varie curve e insenature che formano la faccia, creando così un modello del viso. Vi è poi la fase della rappresentazione: altri algoritmi si occupano di tradurre le curve e le insenature in un codice utilizzato per rappresentare il volto e di conseguenza la persona. Ed ancora, la fase del confronto, nella quale il codice ottenuto viene utilizzato dal sistema per confrontare il volto con quelli già presenti nel database. Scorrendo l’elenco si verifica che il codice corrisponda o meno a uno già conosciuto. Arriviamo infine all’identificazione, ossia, l’ultima fase, nella quale si controlla che i volti corrispondenti ai due codici siano effettivamente il medesimo.

I rischi del riconoscimento facciale

L’utilizzo dei dati biometrici ha già rilevato molte carenze in grado di causare errori sistematici cosiddetti bias induttivi dell’algoritmo e, di conseguenza, tali da determinare probabili rischi per le persone. I bias nei sistemi di machine learning, ossia in sistemi di intelligenza artificiale, sono dovuti, ad esempio, alla presenza di dati erronei nel processo di apprendimento automatico.

Esistono due modi principali in cui tale errore può configurarsi: in un caso i dati in precedenza raccolti non rappresentano la realtà; nell’altro, essi riflettono i pregiudizi già esistenti. Ebbene. Se l’intelligenza artificiale è addestrata con dati che sono il risultato di pratiche o tendenze discriminatorie, come ad esempio le percentuali di assunzione in base al sesso o i tassi di recidiva criminale associati alla nazione di provenienza (il caso delle assunzioni di Amazon per dire), i risultati che si otterranno rischiano di perpetuare questi stessi pregiudizi, confermandoli. Sotto tale profilo, le aziende devono essere consapevoli della responsabilità circa gli effetti di valutazioni condotte con sistemi automatici.

L’utilizzo della biometria inoltre presenta risvolti problematici per la riservatezza delle persone. La legittima protezione della privacy difatti viene limitata da fenomeni di sospetto sociale quale quelli connessi a fatti terroristici, alla prevenzione di reati ed al controllo nei luoghi di lavoro per massimizzare i profitti ovvero per ridurre le perdite dovute allo scarso rendimento del lavoratore.

L’utilizzo del riconoscimento facciale nel mondo

La questione è diventata rilevante data la diffusione esponenziale delle tecniche di riconoscimento facciale nel mondo.

Dal settore bancario a quello sanitario, dal mondo automobilistico a quello industriale.

Viene in evidenza lo stato di sorveglianza globale creato in Cina dove sono state installate circa 170 milioni di telecamere.

Qui è possibile fare acquisti con il riconoscimento facciale; la polizia si è dotata di particolari occhiali intelligenti dotati del riconoscimento facciale in grado di individuare sospetti criminali; nella città di Shenzen, il riconoscimento facciale è stato utilizzato per individuare le persone che attraversano con il rosso, multate in tempo reale con sms per l’infrazione; addirittura, nella regione autonoma a nord-ovest in cui vivono gli uiguri (minoranza etnica musulmana accusata dal governo di separatismo e terrorismo) è in funzione un sistema di allarme di riconoscimento facciale che avverte quando le persone sotto sorveglianza si allontanano più di un certa distanza da una zona compresa tra le loro abitazioni e il posto di lavoro. Vi è di più.

A rendere lo scenario ancora più inquietante sono i numerosi investimenti fatti da aziende cinesi in paesi ad elevato tasso di povertà (es. Zimbabwe), in cui la messa a disposizione della tecnologia è stata “barattata” con l’accesso alla profilazione delle persone tramite riconoscimento facciale, consentendo alla Cina di affinare il sistema e raggiungere una posizione di vantaggio rispetto alle altre nazioni, a prescindere dallo scopo perseguito (finalità di sorveglianza, commerciale o relativa al sistema di credito sociale).

In Russia, altra potenza mondiale, esiste una app denominata “Findface” che consente appunto di risalire dalla foto di una persona al suo profilo nel social network più popolare del Paese. In Canada, invece, la tecnologia è utilizzata nei casinò per individuare soggetti affetti da ludodipendenza. In Australia, grazie a tale tecnologia è possibile effettuare voli aerei senza esibire documenti; a livello europeo, invece, l’aeroporto di Atene è diventato il primo in Europa a provare il riconoscimento del volto per la carta d’imbarco. Negli USA, alcune catene di fast food riconoscono le persone in fila e suggeriscono i menù preferiti. In Inghilterra, la polizia ha utilizzato il riconoscimento facciale per scansionare il volto di migliaia di persone durante il carnevale di Nothing Hill in cui vi è un’affluenza enorme di persone.

Le curiosità “inquietanti” degli strumenti di riconoscimento facciale

Sentiamo ripeterci che dette tecnologie di identificazione facciale sono usate per garantire la nostra sicurezza ed in tal senso siamo disposti perfino a rinunciare a qualcosa come parte della nostra privacy pur di aver in cambio la sensazione di sentirci protetti. Ma siamo davvero così sicuri che di sola sicurezza si tratta o che vi siano interessi ulteriori sottesi all’utilizzo di tale nuova tecnologia?

Quello che impressiona e che forse sfugge alla nostra percezione è che la tecnologia non si limita a collegare un volto con informazioni già presenti online. Infatti, i software dei sistemi di intelligenza artificiale sono in grado di riconoscere con grande precisione il sesso, l’età ed almeno 5 stati d’animo (felicità, tristezza, sorpresa, rabbia o neutralità).

Sotto questo profilo, ad esempio, un software sviluppato dall’Università di Standford ha indovinato l’orientamento sessuale, partendo dai dati somatici delle persone, con una precisione del 74% nelle donne e dell’81% negli uomini. Uno studio dell’Università di Torino, invece, ha suggerito come i tratti somatici possano dare utili indizi sulle condizioni socio-economiche di una persona e ciò fa diventare la stessa tecnologia un potente strumento di marketing. A breve potremo quindi vedere prezzi personalizzati in base al compratore o, raccogliendo dati di migliaia di utenti, le aziende potranno posizionare la merce sugli scaffali secondo un ordine ben mirato. In conclusione, il riconoscimento facciale potrebbe “spiare” le nostre reazioni davanti alla pubblicità di un prodotto o davanti ad un manifesto politico e dal livello di interesse o da una particolare reazione potrebbe capire molto dei nostri gusti.

Le associazioni a difesa dei diritti umani contro Amazon & Co

Nel 2014, Facebook ha introdotto “DeepFace, il programma che consente al social network di riconoscere, comparandola con la fotografia del profilo, la presenza dell’utente in questione nel video o foto che vengono postati sul social da altri utenti. Ovviamente occorre impostare l’abilitazione relativa nelle impostazioni. DeepFace si basa su una rete neurale per il deep learning su nove strati di profondità che consentono di connettere milioni di parametri, raggiungendo, sulla base del test Labeled faces in the Wild (test di riferimento per valutare l’attendibilità di un algoritmo di riconoscimento facciale), un’accuratezza del 97,25% (quella dell’occhio umano con lo stesso test è calcolata in media del 97,53%).

Nel 2015, è stata la volta di Google con Facenet, l’algoritmo che ha raggiunto con lo stesso test un livello di attendibilità del 100%, anche se poi l’azienda nei mesi successivi ha dovuto scusarsi perché il suo sistema di riconoscimento facciale alla ricerca della parola gorilla aveva mostrato la foto di due ragazzi afroamericani.

Non stupisce che proprio negli scorsi mesi 85 associazioni dedite alla difesa dei diritti umani, sono insorte nei confronti di Amazon, Google e Microsoft, esortando tali società a non vendere più ai governi le tecnologie di riconoscimento facciale.

In modo particolare è stata criticata Amazon che, nonostante le proteste dei dipendenti, ha continuato a vendere al governo statunitense la propria tecnologia di riconoscimento del volto, conosciuta con il nome di Rekognition. Difatti, sia Microsoft che Amozon si sono mostrate favorevoli alla collaborazione tra aziende e governi, sostenendo però la necessità di avere un quadro legislativo dedicato alla tecnologia che sia appropriato a proteggere i diritti civili.

La ACLU (acronimo di America Civil Liberties Union), la storica organizzazione non governativa statunitense impegnata nella difesa dei diritti civili, in varie occasioni ha affermato che i problemi che questi sistemi pongono sono essenzialmente due: la violazione della privacy e l’inesattezza dei risultati. La ACLU difatti ha dimostrato come tali sistemi siano inaffidabili soprattutto quando si tratta di identificare donne o persone di colore, considerato che sono stati testati prevalentemente su uomini bianchi. In conclusione, la convinzione che la tecnologia per il riconoscimento facciale presenti rischi per i diritti civili ha superato i benefici ad essa legati.

I paletti di San Francisco a tutela della privacy

San Francisco ha fatto un passo oltre, con “Stop Secret Surveillance Ordennance”.

Si chiama così la proposta approvata a San Francisco nel mese di maggio volta ad evitare potenziali abusi degli strumenti di identificazione facciale da parte dello Stato. La città che come noto ha fatto dello sviluppo tecnologico la sua fortuna ha negato l’utilizzo di tecnologia per il riconoscimento facciale da parte della polizia, ammettendolo solo in luoghi come l’aeroporto e il porto.

E’ la prima città degli Stati Uniti ad imporre questo divieto ed altre città statunitensi vorrebbero seguire l’esempio di San Francisco.

La disciplina legislativa in Europa per il riconoscimento facciale, il Gdpr

Insomma, è opportuno evidenziare e rendere i cittadini consapevoli su quali siano i rischi del riconoscimento facciale.

Le domande da porsi sono: se esiste un archivio dei nostri volti; quanti sono questi dati e chi vi può accedere; per cosa sono usati e per quanto tempo.

Occorrono pertanto normative adeguate a proteggerci da intrusioni dalle quali potrebbero derivare violazioni dei diritti umani. In questa ottica, il GDPR, il nuovo regolamento sulla privacy, pone limiti alla raccolta di dati biometrici.

A tale riguardo, preme puntualizzare come la materia relativa alla tutela dei dati personali nell’ambito delle attività che implicano l’uso di videocamere o di altre tecniche di riconoscimento facciale per finalità di sicurezza, polizia o persecuzione dei reati è disciplinata dalla Direttiva n. 680 del 2016, alla quale è stata data attuazione in Italia con il d.lgs. n. 51 del 2018: detta materia non è regolata quindi dal GDPR e neppure dalla legislazione nazionale di adeguamento al GDPR.

Per quanto riguarda l’utilizzazione dei dati biometrici nell’ambito del GDPR, è noto che essi sono ricompresi nell’art. 9, comma 4, del GDPR, il quale prevede che per i trattamenti relativi ai dati biometrici e genetici sia sempre necessario il consenso, salvo che la legge nazionale, per motivi di rilevante interesse pubblico, sanitari o di ricerca scientifica, storica, archivistica o statistica, non disponga altrimenti.

Il d.lgs n. 101 del 2018, recante l’adeguamento della normativa nazionale d.lgs. n.196 del 2003 (Codice privacy) alla normativa europea Regolamento n. 679/2016 (GDPR), prevede all’art. 110 e 110 bis il trattamento di dati genetici per finalità di ricerca scientifica anche senza consenso. L’art. 2 septies del medesimo d.lgs. n. 101 del 2018 ha previsto inoltre che i trattamenti di dati di cui all’art. 9 quarto comma possano essere effettuati solo nei casi previsti dal comma 2 del medesimo art. 9 e rispettando le misure di garanzia disposte dal Garante. Allo stato attuale tali misure di garanzia non sono ancora state adottate e dunque vale l’art. 22, comma 11 del d.lsg. n. 101 del 2018, che precisa che fino all’adozione delle misure di garanzia di cui all’art. 2 septies per i trattamenti relativi a dati biometrici e genetici continuano a trovare applicazione le norme del vecchio Codice privacy. Pertanto, attualmente, per il trattamento delle immagini a fini di riconoscimento facciale delle persone al di fuori delle finalità di polizia e giustizia, e dunque con trattamenti chiaramente riferiti a dati biometrici, è necessario senza dubbio il consenso dell’interessato.

Per le attività di riconoscimento facciale per finalità di polizia e giustizia, viceversa, la normativa è meno rigida, come vedremo nel paragrafo successivo a proposito del sistema adottato in Italia dalla polizia di stato (SARI).

Gli usi dello strumento di identificazione facciale in Italia (SARI) e nel resto del mondo. Cosa sta succedendo in Cina, Russia, Canada, Australia, USA, Inghilterra, etc..

Il tema dei sistemi di sorveglianza è di grande attualità anche in Italia, dove la Polizia di Stato ha attivato il sistema SARI (acronimo con cui è indicato il Sistema Automatico per il Riconoscimento delle Immagini) basato proprio su tecnologie di riconoscimento facciale. Tale sistema ha generato notevoli polemiche tra l’opinione pubblica nel momento in cui è stata resa nota l’ampiezza del database utilizzato, contenente le foto di circa 16 milioni di persone (in altre parole, un italiano su tre, compresi bambini, risulterebbe schedato).

Al vaglio dell’esame del Garante privacy italiano, il SARI è stato promosso con provvedimento del 26 luglio 2018. Si precisa altresì che il nuovo software è strumento che coadiuva ma non sostituisce l’attività del singolo agente di polizia, in capo al quale permane il compito di identificare la persona ricercata. Attualmente la polemica sull’utilizzo di tale sistema non sembrerebbe essersi placata, ma non esiste alcuna iniziativa o provvedimento al pari di quanto avvenuto a San Francisco questo mese, dove come vedremo è stato vietato alla polizia l’utilizzo di strumenti di riconoscimento eccetto che in aeroporti e porti.

L’importanza di elaborare un’etica digitale

Come spesso accade, il progresso tecnologico produce i propri effetti sulla società senza attendere l’emanazione di una disciplina che sia in grado di contemperare i diritti dei cittadini con le esigenze di sicurezza. Ed allora sostengo pienamente l’idea di creare un’etica digitale, ossia, un complesso di norme di condotta digitali, che sia frutto di una collaborazione comune da parte di organi politici, aziende, etc.. al fine di disciplinare la materia ed evitare di essere dalla stessa sopraffatti, con tutte le conseguenze negative che ne deriverebbero in quest’ultimo caso.

L’auspicio è che il dibattito acceso intorno a questi temi possa rendere tutti più consapevoli in ordine agli enormi rischi che la tecnica del riconoscimento facciale presenta. Se rileggiamo “1984” colpisce soprattutto la visione che Orwell aveva dei televisori dotati di telecamera che osservano tutto ciò che accade. Oggi, siamo andati oltre l’immaginazione di Orwell, così circondati dai teleschermi, tanto da averli rimpiccioliti per portarli sempre con noi, tanto da non poter più vivere senza.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4