Riconoscimento facciale, piovono divieti a Occidente: lo scenario globale | Agenda Digitale

intelligenza artificiale

Riconoscimento facciale, piovono divieti a Occidente: lo scenario globale

Il mondo occidentale frena sull’utilizzo del riconoscimento facciale, ma così facendo lascia alla Cina e ad altri paesi in via di sviluppo il ruolo di principale piazza di utilizzo e sperimentazione della tecnologia. Facciamo il punto sulle principali preoccupazioni e sugli interventi più recenti di governi e organizzazioni

22 Feb 2021
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Coordinatore Commissione Informatica Ordine Avvocati Verona

Le tecnologie di riconoscimento facciale da qualche mese a questa parte sono sotto la lente di numerose authority e amministrazioni statali.

Se fino a poco fa le (pressoché) uniche attenzioni amministrative riguardo tali tecnologie erano quelle (interessate) delle forze di polizia, adesso si registrano numerose battute d’arresto che hanno coinvolto, da ultimo, anche le aziende che producono questi software.

Gli interventi più recenti sono quelli di Amnesty International che nel gennaio scorso ha lanciato il progetto “ban the scan” per chiedere che la polizia di New York City smettano di utilizzare le tecnologie di riconoscimento facciale nel loro lavoro.

Il 28 gennaio anche il Consiglio d’Europa ha diffuso un comunicato con cui afferma la necessità di una rigida regolamentazione in tema di riconoscimento facciale. Il Consiglio si concentra anche sulle tecnologie di “riconoscimento dell’affetto” che popolano i nostri cellulari e ad esempio consentono di riconoscere il sorriso delle persone inquadrate dalla fotocamera.

Il caso Clearview

Da ultimo, l’Autorità garante tedesca ha ordinato a Clearview di cancellare i dati biometrici di un cittadino tedesco.

Quello creato da Clearview è un sistema che raccoglie immagini di persone liberamente disponibili sul web per creare profili di quanti più soggetti possibile, così da “offrire” alle autorità di polizia un database il più possibile completo per individuare i loro sospettati.

Digital event, 15 giugno
CyberSecurity360Summit: come rispondere alle necessità di aziende e PA?

Il cittadino che ha presentato ricorso avanti all’Autorità garante tedesca aveva scoperto che il suo profilo biometrico era in possesso dell’azienda USA ed ha quindi chiesto la sua rimozione.

L’Autorità ha quindi ordinato all’azienda di cancellare il dato biometrico (non la fotografia/le fotografie).

Gli elementi alla base del riconoscimento facciale

Il riconoscimento facciale si basa infatti su tre elementi:

  • L’identificazione del volto (attraverso tecnologie che isolano da un’immagine, più immagini o un filmato il volto di un soggetto);
  • La trasformazione dell’immagine del volto in dati operabili dal software;
  • Il raffronto dei dati acquisiti su database.

In buona sostanza il Garante ha ordinato a Clearview di eliminare l’elaborazione software ricavata dalla fotografia del ricorrente, il profilo biometrico creato dal software, non l’immagine da cui lo stesso è stato ricavato (che di per sé non costituisce un dato biometrico).

Questo fatto blocca la possibilità di individuare il cittadino tedesco attraverso il sistema predisposto da Clearview. Ma la decisione vale solo per il ricorrente, non è dato sapere quanti altri cittadini europei abbiano i loro dati biometrici archiviati sul software statunitense.

Nel frattempo, a inizio febbraio, il governo canadese (a seguito di un’indagine dell’autorità privacy federale iniziata un anno fa) ha denunciato che l’attività di Clearview costituisce sorveglianza di massa ed è illegale.

Le attività di Clearview sono state oggetto di indagine anche da parte delle autorità australiane e inglesi, la società si è sempre difesa affermando di non vendere i propri servizi alle forze di polizia di quei paesi, ma la pronuncia del Garante tedesco supera questa eccezione (del tutto inconsistente in forza del GDPR).

Se Clearview tratta dati di cittadini europei, peraltro dati biometrici, deve sottostare alla normativa GDPR.

Non è solo Clearview a preoccupare le amministrazioni degli stati europei e dell’Unione, ma in generale l’utilizzo delle tecnologie di riconoscimento facciale da parte delle forze di polizia.

In Europa

Per tutto il 2020 si sono rincorse le notizie di stampa che davano, a seconda del periodo, come ormai approvato o come definitivamente accantonato il progetto di un bando alle tecnologie di riconoscimento facciale da parte della Commissione.

Il ban (che è stato effettivamente all’esame della Commissione e che pareva potesse assumere la forma di un periodo di moratoria) ad oggi non è stato emanato, anche se va segnalato che il rigido perimetro del GDPR (applicabile ad ogni amministrazione che opera nell’Unione) rende sicuramente più difficile l’utilizzo di queste tecnologie in Europa e rende necessario fornire adeguate garanzie ai cittadini.

Simili tecnologie sono state già sperimentate in vari paesi europei, ad esempio a Londra fra il 2016 e il 2018.

In Italia è il software SARI che cura le attività di riconoscimento facciale. Il software accede al database AFIS (Automated Fingerprint Identification System) che contiene i dati di oltre nove milioni di individui, di cui due milioni di cittadini italiani.

Alcune amministrazioni locali hanno poi intrapreso iniziative pilota sul punto, puntualmente fermate dal Garante, come ad esempio quella del Comune di Como che ha predisposto un sistema di videosorveglianza con funzioni di riconoscimento facciale in un parco vicino alla locale stazione ferroviaria. Il Garante, con provvedimento del 26 febbraio 2020, ha inibito il trattamento dati così effettuato.

Si tratta però di iniziative limitate ai singoli stati membri e a database relativamente limitati.

Le croniche carenze infrastrutturali a livello comunitario di cui è vittima l’Unione rendono ben difficile immaginare un database unitario dei dati biometrici dei cittadini europei da cui attingere. Ed è evidente che un’implementazione delle tecnologie di riconoscimento facciale verrebbe quindi inevitabilmente depotenziata dalla frammentazione delle informazioni.

Negli USA

Non hanno di questi problemi negli Stati Uniti, dove moltissimi degli Stati forniscono alle proprie forze di polizia (nonché all’FBI) le fotografie da cui ricavare dati biometrici non solo di ogni persona schedata, ma anche delle patenti di guida.

Questo consente la creazione di un enorme database da cui attingere nel momento in cui si individua (ad esempio da un video di sorveglianza) il volto di un sospettato.

Del resto, gli Stati Uniti sono la patria del riconoscimento facciale, dai primi studi di Woody Bledsoe, Helen Chan Wolf and Charles Bisson negli anni 60, fino agli ultimi sviluppi di Facebook, Google e Amazon con i rispettivi algoritmi di facial recognition gli USA sono sempre stati il fulcro di questa evoluzione.

Di questa tecnologia, come detto, non hanno approfittato unicamente gli utenti di social network o dell’app Google Foto, ma soprattutto le forze dell’ordine che ne fanno un utilizzo estensivo.

La diffusione di queste tecnologie non ha mancato di suscitare critiche, specie quando è capitato che, a causa delle inevitabili approssimazioni degli algoritmi di riconoscimento facciale, un uomo è stato arrestato per errore nel gennaio 2020.

I bias del riconoscimento facciale

Inoltre in molti hanno evidenziato come queste tecnologie siano viziate da un racial bias e da un gender bias, identificando con più facilità i soggetti di sesso maschile e bianchi (circostanza che se non “preoccupa” molto le categorie discriminate quando sono le forze dell’ordine a utilizzare il software, è comunque sintomo di una programmazione orientata a un soggetto di un genere e di un profilo etnico ed è inoltre un problema quando si tratta di utilizzare questa tipologia di tecnologie per scopi “privati” come lo sblocco del telefono).

Recentemente però sono state annunciate importanti battute d’arresto nello sviluppo e nell’utilizzo di queste tecnologie.

Lo scorso giugno, IBM ha annunciato che non offrirà più alle autorità tecnologie di riconoscimento facciale e che non darà corso ad ulteriori sviluppi nella tecnologia.

Microsoft, dal canto suo, sempre nel 2020 ha smesso di fornire i propri software di riconoscimento facciale alle forze dell’ordine.

Sempre nel giugno 2020 Amazon ha disposto una moratoria di un anno per l’utilizzo del suo software di riconoscimento facciale (Rekognition) da parte della polizia, al fine di sviluppare soluzioni normative che consentano un bilanciamento di valori e diritti fra l’attività di indagine e la protezione delle libertà civili dei cittadini coinvolti.

Dal punto di vista amministrativo, invece, già dal giugno 2019 la città di San Francisco ha per prima bandito l’uso di strumenti di riconoscimento facciale da parte delle forze di polizia.

Nel giugno 2020 le ha fatto eco Boston, seguita da Portland nel settembre 2020 (con un ban esteso anche alle altre autorità pubbliche).

Lo stato di New York nel dicembre 2020 ha bandito l’utilizzo delle tecnologie di riconoscimento facciale nelle scuole per l’identificazione degli studenti, mentre ancora lo utilizza per supportare il lavoro di indagine delle forze di polizia.

Parallelamente si sono avuti nuovi (e preoccupanti) utilizzi di questa tecnologia.

Ad esempio, dopo l’assalto al Campidoglio del 6 gennaio 2021 un software di riconoscimento facciale è stato utilizzato per isolare i volti dei dimostranti apparsi nei vari video postati su Parler (social network noto perché piattaforma diffusa fra gruppi di estrema destra statunitensi). I volti sono stati poi inseriti pubblicamente su un sito web creato ad hoc invitando chiunque dovesse riconoscere i volti dei dimostranti a denunciarli all’FBI.

Negli Stati Uniti, ad esempio, oltre venti stati consentono alle forze dell’ordine di accedere alle fotografie delle patenti dei cittadini.

EU-USA, un’alleanza “anti-Cina” basata su innovazione e privacy

In Cina

La Cina fa storia a sé.

Non dimentichiamo che stiamo parlando del paese in cui era comune fino a pochi anni fa il cosiddetto “Sentencing Rally”, ovvero una cerimonia (tenuta in stadi o auditorium) dove alla presenza del pubblico delle grandi occasioni vengono presentati i condannati e lette le sentenze di condanna per i gravi crimini da loro commessi.

Questi “Rally” hanno caratterizzato l’amministrazione della giustizia nella Cina post-maoista fino alla campagna Yanda (letteralmente “colpire forte”) del 2001, per poi gradualmente sparire (anche se ancora nel 2014 si sono registrate cerimonie simili per crimini particolarmente gravi che avevano scosso la comunità locale, come ad esempio è accaduto allo Stadio di Yining, nella provincia dello Xinjiang a seguito di alcuni attentati terroristici da parte -secondo il governo locale- della minoranza Uigura).

É chiaro quindi che i cinesi non disdegnano il “public shaming” del colpevole ed anzi questo è in un certo senso parte della loro cultura.

Il riconoscimento facciale dei colpevoli (turbatori dell’armonia sociale) è quindi un’intrusione nella vita privata a cui i cinesi si piegano (almeno all’apparenza) ben volentieri se questo porta ordine e prosperità.

Proprio per questo le proiezioni sul mercato del riconoscimento facciale non sono state scosse dalle recenti prese di posizione delle grandi compagnie tech americane. La Cina è motore di questo sviluppo e il paese ha nel settore già dei player importanti a livello globale.

Primo fra tutti è Megvii, compagnia nata nel 2011 da studenti dell’Università Tsinghua che hanno sviluppato Face++, una tecnologia del riconoscimento facciale utilizzata dal governo cinese e che deve il suo successo, oltre alla raffinatezza dell’algoritmo, al fatto di essere una piattaforma aperta ai contributi di sviluppatori provenienti da tutto il mondo.

I dati che questi sviluppi sulla piattaforma consegnano al sistema di machine learning, migliorano il software e lo rendono più efficiente.

Conclusioni

Mentre quindi il mondo occidentale frena sull’utilizzo (e per conseguenza sullo sviluppo) di queste tecnologie, la Cina ed altri paesi in via di sviluppo si propongono quale interlocutore privilegiato nel settore.

Unica consolazione il fatto che la bozza di legge in tema di protezione dei dati personali diffusa nel paese e di prossima adozione riserva speciale protezione ai dati biometrici (sebbene non trovi applicazione con riguardo al trattamento dati effettuato da pubbliche amministrazioni).

WHITEPAPER
Cosa fare per trovare, classificare e analizzare i dati in tempo reale?
Big Data
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4