Tecnologie per la sorveglianza di massa crescono. Che possiamo fare? | Agenda Digitale

Il punto

Tecnologie per la sorveglianza di massa crescono. Che possiamo fare?

Quando si parla di “sorveglianza” globale, il dito è spesso puntato contro i regimi totalitari che usano tutte le informazioni disponibili per controllare la popolazione, ma i paesi democratici fanno lo stesso, solo in modo più subdolo. Serve una governance mondiale, ma siamo noi la prima causa del nostro male. Ecco perché

30 Lug 2020
Giuliano Pozza

Chief Information Officer at Università Cattolica del Sacro Cuore

Martino Pozza

laureando in giurisprudenza


Stiamo costruendo un Panopticon globale, non diverso da quello immaginato da Bentham[1], ma con due importanti differenze.

  • Innanzitutto, grazie alla tecnologia, il controllo è potenzialmente esteso a tutta la popolazione del globo in tempo reale. Non a caso, nascono in continuazione nuovi strumenti per un controllo sempre maggiore, tanto che è difficile anche per chi si occupa di tecnologia tenerne traccia.
  • In secondo luogo, siamo noi stessi che lo stiamo costruendo.

Le tecnologie per il controllo di massa: tre esempi

Esaminiamo tre dei tanti strumenti di controllo che ci permettono di unire i puntini.

Palantir Technologies

Partiamo da un’azienda dal nome molto evocativo: la società americana Palantir Technologies[3].

Per chi non sapesse cosa sia un Palantir, è consigliata vivamente la visione della trilogia de “Il Signore degli Anelli” in versione integrale. Sono circa 12 ore di film, ma da qualche parte vi acculturerete su queste antiche pietre dagli stupefacenti poteri. Oppure c’è sempre Wikipedia.

In ogni caso la società PALANTIR Technologies è un’azienda specializzata nell’analisi dei dati. Fin qui nulla di strano. Ha però alcune peculiarità:

  • Non ha mai prodotto utili, ha 2500 dipendenti e fattura meno di 800 milioni, ma un’analisi fatta nel 2019 l’ha valutata 40 miliardi (circa 50 volte il fatturato annuo). E continua a ricevere finanziamenti importanti.
  • Tra i propri clienti ha tutte le maggiori agenzie federali americane (CIA, FBI, NSA, Marine Corps, Air Force, Dipartimento della Difesa, West Point…pensatene una e molto probabilmente è tra i loro clienti).
  • Ha avuto dei legami interessanti con Cambridge Analytica e pare abbia utilizzato i dati della famigerata app “thisismydigitallife”.
  • Nel 2016 ha acquisito una start-up (Kimono), specializzata nel raccogliere dati pubblici da internet.

Il quarto punto evidenzia un trend che sta andando per la maggiore in questo periodo: l’utilizzo dei dati “pubblici”. Infatti, in tutti i paesi in cui c’è una qualche normativa che limita l’utilizzo dei dati dei cittadini, esiste un modo molto elegante per aggirare il problema: utilizzare i (tantissimi) dati che noi volontariamente rendiamo disponibili on-line. Tra questi dati personali di vario tipo, profili privati mal gestiti e tante, tante immagini. Per il Panopticon tecnologico, la visione è ancora uno dei punti più importanti. Perché grazie alle immagini posso identificare e tracciare le persone.

ClearView AI

Allora ecco che dalla mente di un ambiguo imprenditore di nome Hoan Ton-That nasce ClearView AI. Il concetto di base di ClearView AI è semplice. In sintesi, l’azienda di Hoan Ton-That raccoglie da internet tutte le foto disponibili, grazie alle quali ha costruito un database di circa 3 miliardi di foto.

L’identificazione facciale non è ovviamente un terreno inesplorato. Ad esempio, l’FBI gestisce da tempo un archivio fotografico di circa 50 milioni di immagini con capacità di identificazione automatica. Anche la maggior parte dei big ha (o ha avuto) progetti attivi sul riconoscimento facciale: Facebook ha “Deep Face”, Amazon aveva “Rekognition” (progetto sospeso a giugno 2020 dopo il caso Geroge Floyd), Apple ha ” Face ID” per l’iPhone, Google ha fermato il progetto Maven. Anche Microsoft e IBM hanno prodotti analoghi, spesso venduti anche alle agenzie federali americane.

Qual è allora la differenza? Il punto di svolta è che mentre fino ad ora le agenzie governative come l’FBI partivano da foto segnaletiche e acquistavano prodotti per velocizzare l’identificazione (che avrebbe richiesto un processo manuale lentissimo), ora ClearView AI fornisce uno strumento che utilizza le immagini dei social senza alcun consenso da parte dei proprietari dei dati. In più ci sono stati casi di foto caricate ad esempio su Flickr come “private” che, a causa di un bug di sicurezza della piattaforma, sono state utilizzate in passato per potenziare algoritmi di riconoscimento facciale come nello scandalo Megaface.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Ora proviamo a pensare cosa si potrebbe ottenere mettendo insieme i dati “pubblici” presenti sui social con tutti i dati a cui uno stato spregiudicato (dal punto di vista della protezione dei dati) può accedere. Pensate a cosa si potrebbe fare con strumenti di facial recognition che possano attingere sia dalle foto personali di milioni di persone disponibili sul web che da quelle di milioni di videocamere di sorveglianza sparse per tutto il paese. L’identificazione e il tracking delle persone in tempo reale diventa una possibilità interessante, proprio come il controllo visivo in tempo reale dei detenuti era possibile con il Panopticon.

Skynet e Dragnet

Se avete immaginato questo scenario e questo vi ha preoccupati, sappiate che è già stato realizzato. In Cina è attivo ormai da tempo Skynet che fa proprio questo. Skynet vi farà probabilmente suonare qualche campanello di allarme, perché era la rete maligna di supercomputer di Terminator. In effetti il progettista di Skynet è un appassionato di Terminator, ma di certo non è un genio del marketing. Ci rassicura però che quella cinese è una “Skynet buona”. Tra le buone azioni della Skynet cinese c’è anche quella di confinare un villaggio di musulmani impedendo loro di muoversi al di fuori di un perimetro definito grazie alla sorveglianza in tempo reale.

L’obiettivo è arrivare a 500 milioni di telecamere connesse. Il progetto, a ben vedere, era partito ai tempi della fondazione della Repubblica Popolare Cinese con Mao, ma invece di videocamere e intelligenze artificiali si usavano le persone e i metodi tradizionali di controllo di massa. Il sistema ha incontrato un solo ostacolo sulla sua strada e no, non era un qualche tipo di opposizione politica o di associazione per i diritti umani. Il più grande ostacolo è stato l’inquinamento atmosferico. Infatti, già ai suoi inizi questo inaspettato guardiano della libertà dei cittadini ha rischiato di rendere inservibili le telecamere di sorveglianza. Ora si capisce meglio come mai la Cina, dopo anni di insensibilità sul tema, ultimamente stia investendo molto per ridurre l’inquinamento.

Il prossimo passo? Innanzitutto, Skynet deve essere visto come un tassello di un sistema, che attinge pesantemente anche ai social e a big data provenienti da diverse fonti per monitorare le persone ed “educarle”. Una componente fondamentale in questo disegno ad esempio è il sistema dei crediti sociali, un ambizioso e pluriennale progetto volto valutare l’affidabilità delle persone e, in base al punteggio ottenuto, concedere o revocare alcuni diritti fondamentali. Inoltre, il governo cinese intende espandere la rete di sorveglianza tramite la raccolta di milioni di campioni di DNA di cittadini incensurati. Questa è Dragnet, la sorella di Skynet. Tutte e due buone però, ci rassicurano sempre i cinesi. Una delle prime buone azioni di Dragnet è stata quella di raccogliere campioni di DNA di alcune minoranze etniche[4] (le stesse oggetto di video sorveglianza speciale) e di immagazzinarle nel suo database.

Il fine giustifica i mezzi?

Insomma, unendo i puntini il quadro che ne emerge non è particolarmente confortante. Se da un lato ci sono i regimi non democratici che non si fanno scrupolo ad usare tutte le informazioni disponibili per il controllo della popolazione, dall’altro i paesi democratici ottengono lo stesso risultato con mezzi più subdoli. Le informazioni le rendono disponibili direttamente i cittadini attraverso la pletora di social media che tutti noi utilizziamo, poi le varie agenzie (CIA, NSA, servizi segreti dei diversi paesi) comprano servizi di analisi delle informazioni da società come ClearView AI.

Inoltre, il COVID-19 sta portato alla ribalta una filosofia non nuova, ma sempre attuale: il fine giustifica i mezzi. Anche strumenti precedentemente demonizzati stanno cercando di rifarsi una verginità. Questo vale per i social ma anche per ClearView e Palantir, che mettono i suoi servizi a disposizione ad esempio dell’NHS per tracciare i pazienti infetti[5].

Cosa possiamo fare?

Per coloro che vivono sotto l’egemonia di un regime non democratico, purtroppo non c’è molto da dire. Per il resto di noi invece il primo impulso è quello di guardare alla legge, nella speranza di trovarvi un qualche tipo di tutela per un diritto che globalmente sta acquisendo importanza sempre maggiore. Stiamo ovviamente parlando della privacy e della tutela dei dati personali. È ormai noto a tutti che a salvaguardia dei dati personali dei cittadini europei si erge il GDPR, che si sta affermando in tutto il mondo come standard e benchmark per la tutela dei dati. Una delle caratteristiche principali di questa normativa europea è il suo ambito di applicazione che, riconoscendo il ruolo di internet nel trattamento dei dati personali, si estende più di ogni altra normativa in quest’ambito, coprendo di fatto l’intero globo. Come se ciò non bastasse, si tratta anche dello standard più elevato di tutela dei dati personali al mondo. Si potrebbe quindi pensare che tutti coloro che ricadono nell’ampio ambito di applicazione del GDPR siano relativamente al sicuro da trattamenti invasivi come quelli effettuati da ClearView AI, ma potrebbe non essere così.

Il GDPR, così come qualunque altra legislazione che si occupi della tutela dei dati personali, considera i dati resi pubblici come dati nei confronti dei quali è stato dato un consenso esplicito al trattamento. Conseguentemente un’azienda che sviluppi software di riconoscimento facciale che utilizza dati pubblicati online di persone che si trovano all’interno dell’Unione, potrebbe sostenere di trattare quei dati sulla base di tale consenso, senza quindi violare la normativa europea. In realtà non ogni tipo di trattamento può essere effettuato sulla base di questo generale consenso insito nella pubblicazione online di dati personali. Bisogna considerare a riguardo un provvedimento del Garante della Privacy di casa nostra che, in tema di trattamento dei dati personali pubblici, ha affermato il principio generale per cui i trattamenti leciti di tali dati devono essere attinenti alle finalità per cui i dati stessi sono stati pubblicati, altrimenti sarà necessario richiedere uno specifico consenso. Compagnie come ClearView AI su questo punto potrebbero replicare facendo presente che i propri principali clienti sono gli organi delle forze dell’ordine e che di conseguenza la finalità del trattamento di tali dati è la tutela dell’ordine pubblico (ritorniamo quindi al tema visto sopra parlando di COVID-19, il fine giustifica i mezzi), per cui sarebbe auspicabile un nuovo intervento di una delle tante Autorità Garanti europee o addirittura della Corte di Giustizia dell’UE.

Questo per gestire il caso in cui ClearView AI o un software analogo utilizzino dati pubblicati online a cui si applica il GDPR, in modo che si crei un precedente per cui venga effettuato un bilanciamento tra il diritto alla tutela della privacy e dei dati personali e la tutela dell’ordine pubblico, così da chiarire una volta per tutte se ed entro quali limiti un trattamento di questo genere possa essere lecito.

Nel mentre, tutti coloro che vogliano farsi scudo del GDPR per la tutela dei propri dati personali hanno un’ultima carta da giocare per difendersi da loschi individui come Hoan Ton-That, ossia la possibilità di opporsi ad un trattamento specifico effettuato da un azienda. Tale opposizione renderà inutilizzabili tutti i dati personali pubblicati sia in passato che in futuro dal diretto interessato: consigliamo quindi a tutti coloro che stanno leggendo quest’articolo di iniziare a “spammare” email alle varie aziende americane, cinesi o russe che stanno sviluppando software di riconoscimento facciale in cui dichiarare esplicitamente la propria volontà di opporsi ad ogni tipo di trattamento effettuato da tali aziende. Per facilitare questo processo lasciamo in nota l’indirizzo email apposito di ClearView AI[4]. Non è forse la soluzione più efficace al problema, ma certamente aiuterebbe a sollevare la soglia di attenzione sul tema.

Conclusioni

La consapevolezza in questo ambito sta progressivamente crescendo, prova ne siano le proposte di moratoria di alcuni degli attori principali in ambito tecnologico e non solo. Tuttavia, le moratorie, così come le misure proposte sopra, non sono risolutive. La strada maestra, anche se appare utopistica in questo momento, potrebbe essere la costituzione di un organismo di governance mondiale. Le libertà civili e la protezione dei dati sono beni comuni per loro natura transnazionali, come l’aria e l’acqua. Così come non ha senso proteggere la qualità dell’aria o dell’acqua degli oceani a livello di un singolo paese, così è velleitario affrontare il tema della protezione dei dati localmente.

Servirebbe una rete di organismi di governo sovranazionali, secondo il modello proposto da alcuni autori come Geoff Mulgan. Purtroppo, l’esperienza degli organismi sovra-nazionali nati dopo la Seconda guerra mondiale, come l’ONU o l’OMS, non sta vivendo un momento particolarmente felice. Questi organismi andrebbero ripensati, probabilmente con un modello meno centralizzato e più “a rete”, secondo un paradigma che meglio si adatti al contesto attuale. Qualcuno potrebbe pensare che questo non sia il momento giusto per una proposta di questo tipo. Forse. Ma forse la situazione che stiamo vivendo è il momento perfetto per cambiare perché “solo una crisi – reale o percepita – produce reale cambiamento.[5]

Magari tra non molto potremmo leggere un’ultima frase nel diario di un Leader sconfitto (ma non eliminato):

“L’utopia della libertà ha ripreso il sopravvento. Sciagura. Siamo tornati ai tempi in cui le informazioni erano così difficili da ottenere. Un immenso patrimonio di dati e di informazioni a cui non possiamo più accedere: che spreco inimmaginabile! Dovremmo chiedere il consenso alle persone prima di indagare su di loro? Non capiscono che è per il loro bene? Ma noi siamo pazienti, aspetteremo che ci siano altre occasioni, che la governance mondiale si allenti di nuovo e che la gente ricominci a mettere i loro dati nelle nostre mani. Per il loro bene.”

  1. https://it.wikipedia.org/wiki/Panopticon
  2. https://www.eiu.com/topic/democracy-index
  3. https://www.startmag.it/innovazione/cosa-fara-palantir-negli-stati-uniti-e-nel-regno-unito-contro-il-covid-19/
  4. privacy-requests@clearview.ai
  5. Milton Friedman
WHITEPAPER
Data warehouse nel cloud: 6 considerazioni per un passaggio efficace
Big Data
Cloud

@RIPRODUZIONE RISERVATA

Articolo 1 di 3