L’applicazione delle nuove tecnologie per scopi di sorveglianza delle persone è un elemento di forte preoccupazione per l’opinione pubblica, e oramai non è più un’esclusiva dei paesi totalitari o dei periodi di guerra.
Da tempo molte associazioni a difesa dei diritti umani stanno lanciando l’allarme, con la speranza che venga recepito dalle istituzioni.
L’esplosione dello scandalo Datagate
Nella storia recente c’è stato un momento in cui il Mondo – o una gran parte di questo – ha scoperto l’esistenza della sorveglianza di massa. È il 6 giugno 2013 quando i giornali The Guardian e The Washington Post pubblicano la prima inchiesta del cosiddetto Datagate, denunciando la raccolta indiscriminata di tabulati telefonici di milioni di cittadini americani.
Appena pochi giorni dopo, lo scandalo assume una portata mai vista prima, in quanto gli stessi quotidiani rivelano come la National Security Agency (NSA) – l’organismo del Dipartimento della difesa degli Stati Uniti d’America che, insieme alla CIA e all’FBI, si occupa della sicurezza nazionale – avesse anche accesso diretto ai dati degli utenti di diverse Big Tech statunitensi al fine di controllarne le conversazioni, estrarre contatti e monitorare le interazioni nell’ambito di un programma di sorveglianza di massa chiamato Prism.
Dietro le rivelazioni c’era Edward Snowden, ex tecnico della CIA e collaboratore di un’azienda consulente della NSA. Quest’ultimo uscì allo scoperto pochi giorni dopo l’inizio dello scandalo, aggiungendo ulteriori dettagli all’inchiesta, come il fatto che tra i soggetti sopposti a sorveglianza vi fossero anche la cancelliera tedesca Angela Merkel e il Presidente della Repubblica francese Nicolas Sarkozy.
Per capire la portata del fenomeno, in un documento riservato diffuso da Snowden si affermava che i servizi segreti americani controllassero l’1,6% del traffico quotidiano sul web. In Francia, in un solo mese, risultavano essere state intercettate 70 milioni di telefonate.
Da quel momento, si accesero le proteste degli attivisti e si infiammò la lotta delle associazioni a difesa dei diritti umani che, come mai fatto prima, focalizzarono la loro attenzione sull’utilizzo improprio delle tecnologie per scopi di controllo e sorveglianza. Ma soprattutto, con lo scandalo Datagate il Mondo capì due aspetti essenziali: la sorveglianza era entrata a far parte anche delle strategie dei paesi democratici, e non aveva più bisogno di essere giustificata da crisi internazionali e guerre.
Gli scandali successivi – come Cambridge Analytica – e la cronaca recente hanno dimostrato come il fenomeno non sia cessato con le rivelazioni di Snowden ma, al contrario, un solo elemento è cambiato: la tecnologia si è sempre più evoluta, e i fattori di rischio sono aumentati.
Come la sorveglianza influenza la guerra
Uno degli esempi più lampanti e significativi di sorveglianza dall’alto in campo bellico, può davvero essere definito col termine “dall’alto”, poiché lo è a tutti gli effetti.
Ad inizio aprile è circolato sul web, diventando virale in poco tempo, il filmato di un soldato russo in fuga da un drone ucraino. Il militare, infatti, sentito il rumore dell’apparecchio che sta volando sopra di lui, inizia a correre disperatamente convinto che stia per essere attaccato. Il filmato è anche piuttosto angosciante, poiché si vede l’uomo voltarsi più volte a guardare se la minaccia è ancora in cielo ma, nonostante i suoi sforzi, il velivolo telecomandato è troppo veloce e arriva sopra di lui. Il drone ha però un altro obiettivo, ossia due mezzi blindati più avanti che vengono distrutti.
Intelligenza artificiale e droni in guerra: in Ucraina il dado è tratto
L’uso dei droni nella guerra in Ucraina
In questo caso, infatti, si trattava dei droni statunitensi Switchblade, capaci di individuare e colpire autonomamente i bersagli assegnati grazie all’intelligenza artificiale, potendo addirittura rimanere in attesa in aria fino a quando arriva il momento giusto per portare a termine la missione.
I droni sono quindi un primo strumento particolarmente utilizzato nel contesto bellico recente, sia come armi che come strumenti di sorveglianza.
Da quest’ultimo punto di vista, infatti, è evidente come possano essere importanti per svolgere diverse funzioni di sorveglianza e controllo, come individuare eventuali nemici posizionati o verificare il rispetto del coprifuoco.
L’uso di strumenti wami
A tal proposito, merita conoscere uno strumento noto come wami (wide-area motion imagery). Si tratta di droni utilizzati per la prima volta in Iraq dall’esercito americano per rintracciare coloro che piazzavano bombe lungo la strada. Quando una bomba esplodeva, era possibile eseguire il filmato al contrario e tracciare gli eventi che avevano portato all’esplosione. Ciò ha spesso permesso di identificare e affrontare gli attentatori, ma l’utilità di wami può essere sfruttata per molti altri compiti legati all’intelligence. Questo soprattutto in virtù dello sviluppo delle tecnologie di machine learning che consentono a questi strumenti di essere sempre più sofisticati e, di conseguenza, utili in un contesto bellico. Per fare un esempio, wami ha implementato una tecnologia chiamata higher-order moments anomaly, la quale permette al drone di distinguere in modo affidabile gli oggetti in movimento dal disordine sullo sfondo semplicemente osservando e analizzando gruppi di pixel in un video per decidere se si è di fronte ad un movimento effettivo.
L’Open Source Intelligence
Un altro ruolo fondamentale nel recente conflitto ucraino – e non solo – è svolto dall’Open Source Intelligence (OSINT). Si tratta, in sostanza, della ricerca, raccolta e analisi di dati e di notizie d’interesse pubblico tratte da fonti aperte e legali, come mezzi di comunicazione e dati pubblici.
Crimini di guerra svelati con l’Open Source Intelligence: vantaggi e limiti
In realtà questo tipo di attività di intelligence ha radici ben più lontane ma, con le nuove tecnologie, ciò che un tempo poteva essere proibitivo o particolarmente difficile, oggi richiede molti meno sforzi. Da questo emerge la sempre maggiore disponibilità di informazioni e, di conseguenza, la quasi impossibilità di rimanere anonimi, non solo per i normali cittadini ma anche per i membri di forze dell’ordine, eserciti e comunità di intelligence. In altri termini, anche i “sorveglianti” possono diventare a loro volta “sorvegliati”. Durante una guerra, l’analisi OSINT può rivelarsi un elemento fondamentale, poiché lo scopo delle attività di intelligence è essenzialmente quello di avere un vantaggio conoscitivo rispetto al nemico; d’altronde, se ne ha una dimostrazione anche in Ucraina, dove si è tornati a parlare di ricorso all’OSINT. Ad ogni modo, questo fa la fortuna di quei Paesi politicamente chiusi come la Corea del Nord o – specialmente da febbraio – la Russia, poiché sono in grado di raccogliere le informazioni di una società aperta, impedendo – o rendendo estremamente difficile – l’accesso a informazioni analoghe da parte di avversari politici interni o esterni.
La sorveglianza dall’alto tramite il reperimento di informazioni, anche riservate, diventa quindi uno strumento utile a prescindere dalla forma di Stato o di governo. Da un lato, gli Stati in cui non regna la democrazia possono reprimere eventuali correnti di opposizione politica, dissidenti, giornalisti non allineati e chiunque possa in qualche modo danneggiare la stabilità politica del Paese. Al contempo, negli Stati democratici, le attività di intelligence mediante il ricorso alle nuove tecnologie può servire da strumento di difesa della sicurezza nazionale, oltre che come mezzo per avere un vantaggio rispetto a Paesi ostili.
Non che la democraticità di un Paese sia di per sé un ostacolo all’utilizzo di strumenti talvolta particolarmente invasivi per la privacy dei cittadini, come dimostrano le applicazioni dell’intelligenza artificiale in contesti che, di fatto, rispondono da sempre alle regole più accettate del diritto internazionale.
Sorveglianza dall’alto nella quotidianità
Per ricollegarsi al discorso introduttivo sul caso Snowden, quando si parla di sorveglianza di massa nella quotidianità non si può non fare riferimento ai social network. Questi sono infatti una fonte di informazioni notevole, che può interessare diverse categorie di soggetti per i più disparati motivi.
A tal proposito, anche senza scomodare nuovamente le rivelazioni di Snowden, gli esempi non mancano.
Si pensi al caso Schrems, il procedimento avviato dall’omonimo avvocato e attivista austriaco nei confronti di Facebook che ha condotto all’annullamento di ben due accordi tra UE e USA sul trasferimento dei dati. Schrems aveva deciso di scagliarsi contro la nota società californiana – oggi chiamata Meta – dopo che, in occasione di un viaggio negli Stati Uniti per scrivere la sua tesi, si era reso conto che Facebook conservava migliaia di pagine di dati personali estrapolati dagli account degli utenti, oltre alle chat e alle varie interazioni come like e commenti.
Un altro caso emblematico è il famoso scandalo Cambridge Analytica. La vicenda era iniziata ancora una volta da un ’attività di inchiesta giornalistica culminata nel marzo del 2018, quando i giornali The Guardian e The New York Times pubblicarono diversi articoli che dimostravano la raccolta e il trattamento scorretti di un’enorme quantità di dati prelevati da Facebook da parte di un’azienda di consulenza chiamata Cambridge Analytica. I risultati dell’inchiesta, partita dalle rivelazioni di una ex dipendente della società, dimostravano ancora una volta quanto Facebook avesse problemi a controllare l’utilizzo improprio dei dati degli utenti.
Nel caso di specie, Cambridge Analytica aveva raccolto i dati di quasi 90 milioni di persone per finalità di propaganda politica. In questo caso, quindi, le informazioni venivano raccolte e trattate per svolgere studi statistici ricollegati alle elezioni americane avvenute appena un anno prima dell’esplosione dello scandalo. Tuttavia, la raccolta massiccia di dati può avvenire anche per finalità di marketing e per proporre annunci pubblicitari. Si tratta, in altri termini, di quei casi in cui si suole dire che i social network sono gratuiti da un punto di vista economico perché il corrispettivo reale sono i dati personali che vengono raccolti.
Spesso, poi, le informazioni dei soggetti estrapolate dai social non si limitano ad elementi che potremmo definire “testuali” o di “condivisione”, ma comprendono anche i volti degli utenti.
Quest’ultimo aspetto si ricollega al tema centrale di questi anni quando si parla di sorveglianza dall’alto, ossia il riconoscimento facciale, una pratica diventata molto utilizzata in varie parti del mondo per finalità di tutela della sicurezza pubblica. Diverse metropoli, infatti, sono oramai disseminate di telecamere che, tramite l’intelligenza artificiale, non si limitano a filmare ciò che avviene in una determinata strada, ma riescono a captare i volti dei soggetti e, tramite le caratteristiche facciali ne rilevano l’identità confrontando le immagini con quelle presenti nei database. Ciò che maggiormente inquieta gli attivisti e i difensori dei diritti umani è che questi database sono spesso nutriti da fotografie estrapolate dai social network senza che l’interessato sia stato minimamente coinvolto o interpellato. Il più grande e famoso archivio al mondo è quello gestito da Clearview AI, una società con sede legale negli Stati Uniti che opera nel settore IT e che fornisce software di riconoscimento facciale principalmente per le forze dell’ordine.
Grazie a questa collaborazione stretta tra un’azienda privata e le pubbliche autorità, si crea una sorta di occhio costante sulla popolazione, dove chiunque attraversi una determinata strada sarà oggetto di ripresa e riconoscimento grazie alla combinazione tra analisi biometrica da parte delle telecamere e confronto dell’immagine raccolta con quelle presenti nel database.
Una pratica di questo tipo viene giustificata con la necessità, tra le altre, di prevenire la commissione di reati o individuarne gli autori, per reprimere sul nascere cellule terroristiche, o ancora per sostenere indagini su rapimenti e sequestri di persona.
Le denunce delle associazioni per i diritti umani
Ciononostante, questo non ha fermato in primo luogo le associazioni per i diritti umani, le quali hanno denunciato l’utilizzo massiccio del riconoscimento facciale nelle città, ed in particolare a New York. Proprio per quest’ultima si è recentemente mossa Amnesty International con i propri partner, lanciando una campagna chiamata Ban the Scan per denunciare gli abusi delle nuove tecnologie e creare una sorta di mappa delle videocamere presenti nella Grande Mela. Peraltro, è stato anche rivelato, all’esito di un’inchiesta, come il problema del riconoscimento facciale nella metropoli non sia soltanto legato alle evidenti implicazioni per la privacy, ma si estenda anche a dei preoccupanti profili discriminatori. Infatti, la tecnologia tenderebbe ancora a commettere errori che penalizzerebbero le minoranze afroamericane, asiatiche ed ispaniche. Infatti, nei quartieri newyorkesi come il Bronx, Brooklyn e Queens è presente la maggiore percentuale di abitanti non bianchi e, al contempo, la maggiore concentrazione di telecamere a circuito chiuso per il riconoscimento facciale e il più alto tasso di perquisizioni da parte della polizia. Inoltre, secondo le rilevazioni delle stesse, l’intelligenza artificiale sembrerebbe ritenere le persone non caucasiche più inclini a commettere reati, e questo sulla base dei soli tratti facciali.
Ciò renderebbe l’uso massiccio e indiscriminato della sorveglianza di massa non solo un’attività lesiva della riservatezza e dei principi sulla tutela dei dati personali, ma anche un pericolo per altri diritti e libertà fondamentali. Su questo punto sembrano essere concordi anche il Garante Privacy italiano e la controparte francese, che di recente hanno duramente criticato Clearview AI emanando due provvedimenti per chiedere l’immediata cancellazione di tutte le immagini dei loro concittadini dal database della società al fine di tutelarne la privacy.
Sorveglianza, l’approccio Ue vs l’approccio Usa
I due provvedimenti di cui si è fatto cenno in conclusione del precedente paragrafo sono due chiari esempi di quello che è l’approccio prevalente nell’Unione europea, il quale tende a mettere la persona al centro della regolamentazione delle nuove tecnologie, focalizzandosi soprattutto sulla tutela dei diritti della stessa, a partire dal diritto fondamentale alla privacy.
Questo era già evidente con l’entrata in vigore del Regolamento UE 2016/679 (GDPR) in materia di tutela delle persone fisiche rispetto al trattamento dei loro dati personali, adottato allo scopo di armonizzare il diritto degli Stati membri e predisporre un atto che definisse, anche nei rapporti con i Paesi terzi, gli standard europei. Questi ultimi si caratterizzano per una distanza particolarmente ampia rispetto ai principi che vengono invece applicati in altri contesti, ed in particolar modo negli Stati Uniti.
L’America, infatti, tende ad avere un approccio che potremmo definire più “aziendalista”, che concede cioè maggiori libertà e discrezionalità alle aziende nel trattamento dei dati dei cittadini. A questo si aggiunge un’altra caratteristica distintiva del diritto della privacy nel modello americano; questo guarda con maggiore attenzione alla sicurezza nazionale, la quale giustifica intromissioni nella vita privata che in Europa non sarebbero tollerate. D’altronde è sufficiente pensare alle due sentenze della Corte di giustizia dell’UE con le quali sono state annullate ben due decisioni di adeguatezza e, conseguentemente, fatti cadere entrambi gli accordi per il trasferimento dei dati tra l’Unione europea e gli Stati Uniti. In entrambi i casi, infatti, la Corte ha ravvisato che il diritto statunitense non fornisse agli interessati un grado di tutela dei dati personali sufficiente per soddisfare gli standard europei che, come preannunciato, mirano a garantire ai soggetti il più alto livello di tutela possibile.
Ciò significa che, ad esempio, sfruttare i social network per raccogliere informazioni personali indiscriminatamente o, addirittura, farlo per poi trasferire il tutto ad una società privata affinché li conservi senza che l’interessato sia al corrente o abbia in qualche modo ricevuto notizia, è un tipo di attività che in Europa è manifestamente in contrasto con i principi in materia di privacy.
Al contempo, deve essere tenuto presente anche il futuro Regolamento europeo sull’intelligenza artificiale.
Artificial Intelligence Act: l’UE regola l’AI ma dimentica di proteggere la mente
Anche in questo caso, sono già evidenti dei principi cardine in netta contrapposizione rispetto ad altri contesti, a partire dal divieto assoluto di utilizzare l’AI per finalità di punteggio sociale come nel caso della concessione di finanziamenti, una pratica che negli Stati Uniti è invece ritenuta lecita ed è stata più volte utilizzata, con conseguenze svantaggiose nei confronti delle persone non caucasiche, le quali venivano penalizzate in base all’etnia.
Un aspetto più controverso è invece quello sul riconoscimento facciale. In questo caso, il Comitato europeo per la protezione dei dati, il Garante europeo e il Parlamento europeo si sono schierati per un divieto assoluto all’applicazione del riconoscimento facciale da remoto e in tempo reale nei luoghi pubblici. Ciononostante, l’art. 5 della proposta di Regolamento sull’AI prevede la possibilità di utilizzo di tale tecnologia nel caso in cui ciò sia strettamente necessario per la ricerca di vittime di un reato compresi i bambini scomparsi, la prevenzione di una minaccia specifica ovvero al fine di individuare, localizzare, identificare o perseguire un criminale o un sospettato punibile con una pena di almeno 3 anni per alcuni reati.
Ciò che fa la differenza, però, è la seconda parte dell’articolo, nella quale l’utilizzo del riconoscimento facciale viene subordinato ad un’attenta valutazione circa la gravità effettiva della situazione, soppesando attentamente i rischi nel caso in cui non venisse usato. Si tratta, in sostanza, dell’approccio basato sul rischio che caratterizza il GDPR e che caratterizzerà, sembra, anche il futuro Regolamento sull’AI. Questo significa che il riconoscimento facciale sarà comunque un’eccezione applicabile soltanto se il suo utilizzo sarà il male minore, e soltanto bilanciando attentamente i diritti e gli interessi in gioco.
Conclusioni
Ad ogni modo, occorre sempre tenere presente che le sole regole non bastano a creare un contesto sicuro, privo di rischi e a misura di diritti. Bisogna, in ogni caso, fare i conti con la realtà, la quale impone di non crogiolarsi dietro principi certamente importanti e da rivendicare, ma che non sempre trovano applicazione nella quotidianità. In altri termini, abbassare la soglia di attenzione e subire una violazione anche grave dei propri dati è un evento che può impiegare pochi minuti. In questo caso, le regole interverranno ex post a sanzionare gli autori e, eventualmente, risarcire i danni. Ma come oramai è noto, prevenire è meglio che curare, e la prevenzione parte in prima battuta da ciascuno di noi.