Algoritmi per sorveglianza di massa: l'Europa stringe, la Cina galoppa - Agenda Digitale

regolamentazione

Algoritmi per sorveglianza di massa: l’Europa stringe, la Cina galoppa

Mentre l’Ue prepara un Regolamento sull’uso dell’intelligenza artificiale, Pechino starebbe elaborando standard sul funzionamento delle IA alla base dei sistemi di videosorveglianza e del riconoscimento facciale e una nuova legge sulla privacy. Qualcosa si muove, ma i nodi restano ancora tanti

26 Apr 2021
Marina Rita Carbone

Consulente privacy

Thanks to Tobias Tullius for sharing their work on Unsplash

Il “Regolamento sull’approccio europeo per l’intelligenza artificiale” (“Regulation on a european approach for artificial intelligence”), uscito il 21 aprile, ha tra gli obiettivi quello di limitare l’utilizzo abusivo degli odierni sistemi di videosorveglianza di massa basati sul riconoscimento facciale e, come tali, potenzialmente fonte di discriminazioni nei confronti della popolazione.

Il testo, che rappresenta un unicum nel panorama normativo mondiale e va a collocarsi all’interno della complessiva strategia digitale europea, lascia ben sperare, sebbene sinora il panorama della sorveglianza di massa sia alquanto preoccupante.

Specialmente in Cina, nazione che ha fatto della profilazione dei propri cittadini quasi un punto di forza, e negli USA, patria delle principali Big Tech, che hanno costruito gran parte del proprio valore proprio sulla raccolta e sulla manipolazione dei dati dei propri utenti (con risultati preoccupanti, come ci ha insegnato lo scandalo Cambridge Analytica).

Intelligenza artificiale, a cosa mira la Commissione UE con le nuove regole

Intelligenza artificiale e UE: i limiti alla sorveglianza di massa

Il regolamento vuole dare una stretta in particolare all’uso di IA all’interno:

  • dei sistemi di “social scoring”
  • dei sistemi di “identificazione biometrica remota”;
  • dei sistemi di aggregazione e analisi di database eterogenei di dati.

La crescente implementazione, infatti, di tali sistemi all’interno dei più svariati software pone numerose problematiche in merito alle modalità secondo le quali gli algoritmi “categorizzano” gli interessati, andando a impattare fortemente sulle loro vite private, manipolandone il comportamento e le opinioni o discriminandole in base alle proprie caratteristiche e vulnerabilità. Si pensi, in particolare, alle conseguenze che può avere una scelta intrapresa dall’IA nei sistemi pubblici di videosorveglianza dei cittadini, specie ove attuati in modo indiscriminato e massivo.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

Tali sistemi di intelligenza artificiale, classificati come “ad alto rischio” dovranno essere sottoposti ad un processo di bilanciamento e valutazione dei rischi che prende spunto da quanto già previsto all’interno del GDPR, che all’art. 35 sancisce l’obbligo, per i titolari, di sottoporre a Valutazione d’Impatto quei trattamenti di dati che, allorché prevedono “l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento”, possono presentare “un rischio elevato per i diritti e le libertà delle persone fisiche”.

La valutazione preventiva dei sistemi ad alto rischio permetterà di comprenderne più attentamente il funzionamento e di prevedere quelli che potrebbero essere i possibili fenomeni di abuso connessi al loro concreto utilizzo, vietandone, in extremis, la commercializzazione prima che si manifestino delle conseguenze nei confronti degli interessati. Si legge nel Regolamento: “La classificazione di un sistema di intelligenza artificiale come ad alto rischio dovrebbe essere basata sulla sua destinazione d’uso – che dovrebbe fare riferimento all’uso a cui è destinato un sistema di intelligenza artificiale, compresi il contesto e le condizioni d’uso specifici e – ed essere determinata in due fasi, considerando se può causare determinati danni e, in tal caso, la gravità del danno possibile e la probabilità che si verifichi”.

Alla valutazione svolta dai produttori dovrà seguire obbligatoriamente l’attribuzione di un “bollino di conformità” da parte della Commissione Europea, all’interno della quale sarà costituito un “European Artificial Intelligence Board” ad hoc, composto da 27 rappresentanti degli Stati membri, dal Garante europeo per la protezione dei dati (EDPS) e da un rappresentante della Commissione Europea, il cui compito sarà quello di supervisionare il funzionamento dei sistemi di intelligenza artificiale che possano avere un impatto sulle vite delle persone e vietare l’applicazione di sistemi che non rispettino gli standard europei.

Tra i principali sistemi di intelligenza artificiale che saranno coinvolti da tale Regolamento troviamo:

  • gli algoritmi di riconoscimento facciale negli spazi accessibili al pubblico;
  • gli algoritmi di analisi dei curriculum vitae;
  • gli algoritmi di valutazione del merito creditizio;
  • gli algoritmi posti alla base della distribuzione di benefici sociali come domande di asilo e visti;
  • gli algoritmi che compiono delle scelte in tema di giustizia (si pensi ad un sistema in grado di guidare un giudice lungo la soluzione di un caso concreto).

All’obbligo di valutazione preventiva dell’impatto che l’IA avrebbe sugli interessati, si aggiungono anche, contrariamente a quanto visto nel GDPR, dei divieti espressi. Il testo, infatti, vieta espressamente l’utilizzo:

  • di sistemi il cui scopo è quello di manipolare, controllare o limitare il comportamento e la libertà di spostamento degli esseri umani, specie ove tale attività costituisca un vantaggio per soggetti terzi;
  • di sistemi di videosorveglianza e controllo di massa, come avviene, a titolo esemplificativo, in Cina con l’attribuzione da parte del Governo di una serie di “punti sociali”;
  • sistemi che utilizzano i dati per generare delle previsioni che sfruttano le vulnerabilità di determinati gruppi sociali,

Le uniche eccezioni contemplate riguardano l’utilizzo dei sistemi di intelligenza artificiale da parte delle forze dell’ordine per il contrasto della criminalità o, più in generale, per comprovati motivi di sicurezza interna. Tale decisione andrebbe a salvaguardare i sistemi di riconoscimento facciale attualmente diffusi in Europa (tra cui anche il SARI, sempre più utilizzato in Italia).

A tal riguardo gli esperti non hanno mancato di sollevare alcune perplessità, legate principalmente alle possibili discriminazioni che l’utilizzo massivo di tali sistemi da parte delle forze dell’ordine potrebbe scatenare nei confronti di alcune etnie o di minoranze, sebbene lo scopo dell’UE sarebbe proprio quello di evitare che i sistemi di intelligenza artificiale si basino su “bias”, pregiudizi razziali e di genere che portano a fenomeni discriminatori.

Ai sensi del Regolamento, i possibili danni che i sistemi di intelligenza artificiale non conformi agli standard europei potrebbero comportare, infatti, sono: “Il ferimento o la morte di una persona, danni alla proprietà, impatti negativi sistemici per la società in generale, interruzioni significative della fornitura di servizi essenziali per lo svolgimento ordinario di attività economiche e sociali di importanza critica, impatto negativo sulle opportunità finanziarie, educative o professionali delle persone, impatto negativo sull’accesso ai servizi pubblici e qualsiasi forma di assistenza pubblica, e impatto negativo sui diritti fondamentali”.

Anche le sanzioni previste dal Regolamento ricalcano quelle inserite all’interno del GDPR, potendo essere irrogate multe fino al 4% del fatturato annuo globale dell’azienda che violi i divieti e le prescrizioni imposte dal Regolamento.

Gli ultimi sviluppi in Cina

Come noto, l’utilizzo di sistemi di riconoscimento facciale su larga scala è, invece, realtà in Cina, sia nel settore privato che nel settore pubblico. Un utilizzo, potremmo ben dire, del tutto sproporzionato: da ultimo, una corte di Hangzhou ha pronunciato una sentenza rivoluzionaria nella storia cinese, affermando che l’uso delle tecnologie di riconoscimento facciale al fine di accedere a uno zoo safari locali fosse del tutto “inutile e privo di legittimità”, e ad alcune compagnie immobiliari di Nanjing è stato ordinato dalle autorità di rimuovere i sistemi di riconoscimento facciale utilizzati per categorizzare i propri clienti.

Ben possono comprendersi, pertanto, quali siano le motivazioni dietro alla crescente richiesta, da parte dei cittadini cinesi, di una disciplina che limiti l’utilizzo di tali sistemi, estremamente invasivi non solo della riservatezza degli stessi ma anche della loro vita sociale, essendo utilizzati allo scopo di profilare e classificare i cittadini.

Studenti preda dell’”emotion recognition”: il pericolo viene dalla Cina

Pertanto, al fine di regolare tali sistemi e il loro funzionamento, limitandone anche l’utilizzo a specifiche casistiche, stando a quanto emerso dalla stampa locale, il Governo cinese starebbe provvedendo a elaborare:

  • da un lato, degli standard sul funzionamento delle IA poste alla base dei sistemi di videosorveglianza e del riconoscimento facciale, pubblicati in un report elaborato da IPVM;
  • dall’altro, una nuova legge sulla privacy (la cosiddetta PIPL, acronimo di Personal Information Protection Law) nella quale sia definito il perimetro delle “informazioni personali sensibili” (che, nel testo, ricomprende le informazioni sulla razza, l’etnia, il credo religioso, i dati biometrici, le informazioni sullo stato di salute, i dati finanziari e la geolocalizzazione) e renda chiaro che tali dati sensibili possono essere usati soltanto “per finalità specifiche e solo quando sufficientemente necessario”, non senza aver preliminarmente svolto un’attenta valutazione dei rischi connessi al trattamento dei dati stessi.

Una spinta innovativa, questa, che fa ben sperare, ove finalizzata all’allineamento di prodotti e servizi forniti dalle case produttrici cinesi di software e hardware tecnologico ai principi fondamentali europei sul trattamento dei dati personali.

Gli esperti hanno, infatti, fatto degli immediati parallelismi tra il testo del PIPL e il GDPR, che afferma che gli individui possiedono i propri dati e le società ne sono solo gli “amministratori”, rilevando come ciò possa portare a positivi sviluppi nel settore. Allo stesso tempo, alcuni di essi hanno osservato che il testo rimane molto vago sulle modalità tramite le quali le imprese possono essere realmente compliant a tali previsioni, prevedendo altresì delle sanzioni piuttosto basse se comparate alle sanzioni da capogiro che sono state irrogate negli ultimi anni nel mercato dei big-data.

Senza contare, da ultimo, che lo stesso Governo cinese fa un uso massivo e ben più diffuso dei sistemi di riconoscimento facciale rispetto alle società private, per le più svariate finalità.

Gli standard del riconoscimento facciale cinesi

Gli standard elaborati con l’aiuto delle principali società del settore, tuttavia, non hanno mancato di suscitare molta preoccupazione, essendo espressamente specificato al loro interno che i dati catturati dai sistemi di riconoscimento facciale (diffusi in modo capillare, dalle videocamere residenziali, ai sistemi di sorveglianza utilizzati dalla polizia, financo alle videocamere “smart” che sono installate nelle case dei singoli cittadini) dovranno essere suddivisi secondo dozzine di caratteristiche, alcune delle quali particolarmente sensibili (colore della pelle, stile di capelli, dimensione delle sopracciglia, etnia).

Applicandosi tali standard sia alle imprese private che agli enti pubblici, gli esperti ritengono, infatti, che potrebbero sorgere dei fenomeni discriminatori nei confronti di specifiche minoranze. Ben note alla stampa sono, da ultimo, le critiche mosse allo stesso Governo cinese, per il trattamento discriminatorio attuato nei confronti della minoranza turca degli Uiguri, presente nella regione di Xinjiang.

A tal riguardo, si rileva come negli USA, le società Hikvision e Dahua, oggi coinvolte in prima linea nella definizione degli standard per il governo cinese, siano state inserite in una “black list” nel 2019 per il ruolo dalle stesse assunto proprio nello sviluppo di sistemi innovativi di videosorveglianza che andavano “contro” le minoranze etniche in Cina.

La Cina punta a un nuovo ordine tecnologico mondiale: le sfide per l’Occidente

Sebbene ogni accusa sia stata negata dai rappresentanti delle citate società e dal Governo cinese, non è difficile immaginare, ove tali critiche fossero fondate, quali potrebbero essere le conseguenze della diffusione di simili sistemi su scala globale. Occorre ricordare, infatti, che la Cina assume oggi un ruolo fondamentale nell’export di prodotti di videosorveglianza e che gli odierni algoritmi, ove discriminatori, potrebbero divenire rapidamente un problema di rilevanza mondiale, ove utilizzati al fine di “catalogare” l’individuo e decretarne la pericolosità o meno a scopi di difesa e ordine pubblico, la meritevolezza per l’accesso al credito, o altro.

Simili critiche non sono infondate: si è riscontrato, ad esempio, che anche i sistemi di riconoscimento facciale elaborati dalle compagnie cinesi Huawei e Alibaba, potevano identificare con precisione proprio gli Uiguri.

Dinanzi a tali evidenze, ci si chiede se si stiano realmente perseguendo i principi di neutralità tecnologica che dovrebbero essere a fondamento dell’innovazione, specie ove così pervasiva delle vite dei privati cittadini.

L’utilizzo di simili criteri di riconoscimento renderà, infatti, molto più semplice per le autorità creare differenti database per specifiche classi di individui, o membri di un particolare gruppo etnico. Maya Wang, ricercatrice ed esperta cinese per lo Human Rights Watch, ha affermato al riguardo che gli standard di riconoscimento facciale documentati nel report di IPVM forniscono nuove prove sulla cooperazione tra il Governo cinese e le compagnie locali di sviluppo di sistemi di videosorveglianza su misure che possono prendere di mira le minoranze. “Stanno lavorando insieme sulla sorveglianza di massa, il tracciamento massivo delle persone – questo non può essere in alcun modo compatibile con i diritti umani fondamentali”.

Tale tendenza sarebbe stata confermata già in gennaio da un precedente report di IPVM, secondo il quale alcune delle principali compagnie di intelligenza artificiale cinese avrebbero brevettato dei sistemi che analizzano le immagini al preciso scopo di identificare gli Uiguri, da affiancare ai sistemi di videosorveglianza e reti di riconoscimento facciale.

Tuttavia, gli esperti non comprendono quanto ed entro quali limiti i sistemi di riconoscimento facciale – o i database nazionali associati – basati sull’etnia, siano realmente operativi in Cina. Sebbene siano state mosse aspre critiche da parte della televisione locale nei confronti dei sistemi di videosorveglianza privati (accusate di raccogliere quantità elevatissime di dati sui propri utenti e di non comportarsi in modo trasparente con gli stessi, specificando per quali finalità tali dati vengono raccolti), non viene fatta menzione delle reti di riconoscimento facciale che il governo cinese avrebbe, negli anni, costruito, in grado di tracciare e valutare i cittadini in tempo reale.

Ciò che è certo è che le bozze sinora pubblicate, sebbene oggetto di forti critiche, costituiscono comunque un timido ma importante passo avanti da parte della Cina nel riconoscimento del diritto alla riservatezza ed alla tutela dei dati personali dei propri cittadini, ancora troppo acerbo per poter essere concretamente paragonato a quanto, invece, stiamo assistendo in Europa, cuore pulsante di una volontà normativa chiara, che ha visto nel GDPR il primo passo per la costruzione di un futuro digitale sostenibile e gradualmente più vicino agli interessi dei cittadini e degli utenti finali.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4