Negli ultimi mesi, parlando di Cybersecurity, ho avuto l’occasione di approfondire alcuni temi che da tempo volevo studiare con maggiore attenzione.
Tra questi, uno in particolare mi ha colpito per la sua nobiltà d’intenti ma anche per le gravi implicazioni che si nasconderebbero dietro di esso sul piano delle libertà digitali: la "Child Sexual Abuse Regulation", nota ai più come Chat Control.
A prima vista, la norma vuole rafforzare la protezione dei minori online, contrastando la diffusione di materiale illegale e gli abusi commessi attraverso Internet. Un obiettivo che nessuno, naturalmente, può mettere in discussione!!!
Tuttavia, il modo in cui l’Unione Europea e alcuni stati extra europei stanno cercando di perseguirlo rischia di compromettere principi fondamentali come la privacy individuale, la riservatezza delle comunicazioni e la libertà d’espressione.
In sintesi, la proposta prevede che le piattaforme digitali - come WhatsApp, Gmail o qualsiasi servizio di messaggistica o social network per fare degli esempi - dovrebbero scansionare o permettere di scansionare automaticamente i contenuti delle comunicazioni private degli utenti, alla ricerca di potenziali immagini o testi riconducibili ad abusi su minori.
Per fare ciò, verrebbero utilizzati algoritmi di intelligenza artificiale in grado di analizzare messaggi, foto e video, anche nelle chat di applicazioni che utilizzano la cifratura.
Tutto ciò si tradurrebbe in una scansione preventiva e indiscriminata delle comunicazioni. Una sorta di controllo generalizzato che trasforma la presunzione di innocenza in una presunzione di colpevolezza “per default”, dove ogni cittadino digitale diventa un potenziale sospettato e soggetto da "indagare", con la corrispondenza digitale messa al setaccio da sistemi automatizzati di aziende private. Una sorta di sorveglianza di massa.
Andrebbe tra l'altro ricordato che l’Unione Europea ha recentemente introdotto il cosiddetto AI Act, che prevede il divieto – almeno in linea di principio – per i sistemi di intelligenza artificiale di orientare decisioni con impatti giuridici o sensibili senza supervisione umana. Tuttavia, questa tutela non elimina il rischio che mascherati algoritmi “di filtro” o di "raccomandazione" possano aggirare le regole, rimanendo appena al di fuori delle definizioni giuridiche strette. In altre parole, l’arsenale normativo non è immune da buchi, ambiguità e (potenziali) abusi, creando anche su questo specifico tema un'ambiguità di fondo che meriterebbe un dibattito approfondito piuttosto che norme emanate a raffica.
Cosa voglio dire? Immaginiamo una semplice conversazione tra genitori e figli, oppure uno scambio di fotografie familiari su un gruppo chiuso: un algoritmo potrebbe fraintendere il contenuto, segnalandolo alle autorità e fare partire un'indagine. E sappiamo benissimo come questi algoritmi, già oggi, ci chiudono per errore profili e pagine social per avere male interpretato una nostra azione che viene vista come contraria alla politiche del servizio erogato.
Certamente se non abbiamo nulla da nascondere, nulla abbiamo da temere. Ma siamo così convinti che ci faccia piacere che qualcuno possa leggere la nostra corrispondenza quotidiana?
Nel frattempo, i veri criminali, che operano nel web più profondo o attraverso sistemi informatici decentralizzati, difficilmente verrebbero colpiti da questi controlli.
Ho la sensazione che si stia andando a colpire la superficie del problema, creando un precedente pericoloso: la normalizzazione della sorveglianza preventiva, senza mandato, senza limite e senza distinzione. Il rischio è che la giustificazione della “protezione dei minori” diventi la porta d’ingresso per un controllo sociale sempre più pervasivo, dove la privacy individuale è percepita come un ostacolo, non come un diritto.
Nel frattempo, guarda caso, alcune aziende stanno già muovendosi in anticipo rispetto alla normativa, adottando misure che formalmente servono a tutelare i minori ma che, nella pratica, finiscono per ampliare il controllo sugli utenti adulti raccogliendo dati personali delicati oltre il necessario.
Il paradosso dei nuovi obblighi di identificazione
È il caso, per esempio, di servizi online che in alcuni Paesi hanno iniziato a richiedere la verifica dell’età tramite documento d’identità per sbloccare funzioni specifiche, anche sperimentando la verifica facciale automatizzata per “stimare” l’età dell’utente. Una tecnologia invasiva, basata su algoritmi di riconoscimento facciale, che introduce nuovi rischi di abuso o di gestione impropria dei nostri dati biometrici.
Capisco quando si parla di siti web con contenuti vietati ai minori ma la deriva è un potenziale allargamento dell'obbligo di registrazione tramite dati personali per accedere a siti e piattaforme online di uso comune come - per esempio - YouTube, Wikipedia, Spotify, oppure i più classici social network. Si sta spingendo verso un modello di rete in cui ogni utente deve essere identificato e tracciato anche solo per accedere a servizi apparentemente innocui come, paradossalmente, un motore di ricerca.
L’obiettivo dichiarato è quello di verificare l’età degli utenti per impedire ai minori l’accesso a contenuti inappropriati. Ma in realtà ciò comporterebbe la creazione di enormi banche dati di identità digitali, gestite da soggetti privati. Le grandi piattaforme e i fornitori di servizi di identificazione digitale si troverebbero miliardi di dati sensibili "certificati" con un potere senza precedenti.
Un gigantesco controsenso se pensiamo che, parallelamente, si parla nel GDPR di data minimization e di riduzione dei dati trattati.
La tutela dei minori come le varie azioni a tutela della sicurezza più in generale, sono un dovere, ma non possono diventare il cavallo di Troia per introdurre sistemi di sorveglianza universale in mano a privati. Credo ci siano altre strade da percorrere prima di arrivare ad una tracciatura automatica delle conversazioni e delle abitudini personali dei cittadini: formazione nella scuola, cultura, azione investigativa, un apparato giudiziario efficiente e un sistema informatico nazionale capace di garantire le identità ma anche l'uso e la conservazione dei dati senza doppi fini.
Da parte mia, ritengo certamente necessari gli strumenti di controllo, se proporzionati e rispettosi dei diritti fondamentali, se misurati attraverso una discussione pubblica informata, capace di coinvolgere cittadini, esperti, giuristi e quindi i rappresentanti politici. Per evitare che decisioni di questo peso vengano prese nel silenzio generale.
Tra questi, uno in particolare mi ha colpito per la sua nobiltà d’intenti ma anche per le gravi implicazioni che si nasconderebbero dietro di esso sul piano delle libertà digitali: la "Child Sexual Abuse Regulation", nota ai più come Chat Control.
A prima vista, la norma vuole rafforzare la protezione dei minori online, contrastando la diffusione di materiale illegale e gli abusi commessi attraverso Internet. Un obiettivo che nessuno, naturalmente, può mettere in discussione!!!
Tuttavia, il modo in cui l’Unione Europea e alcuni stati extra europei stanno cercando di perseguirlo rischia di compromettere principi fondamentali come la privacy individuale, la riservatezza delle comunicazioni e la libertà d’espressione.
In sintesi, la proposta prevede che le piattaforme digitali - come WhatsApp, Gmail o qualsiasi servizio di messaggistica o social network per fare degli esempi - dovrebbero scansionare o permettere di scansionare automaticamente i contenuti delle comunicazioni private degli utenti, alla ricerca di potenziali immagini o testi riconducibili ad abusi su minori.
Per fare ciò, verrebbero utilizzati algoritmi di intelligenza artificiale in grado di analizzare messaggi, foto e video, anche nelle chat di applicazioni che utilizzano la cifratura.
Tutto ciò si tradurrebbe in una scansione preventiva e indiscriminata delle comunicazioni. Una sorta di controllo generalizzato che trasforma la presunzione di innocenza in una presunzione di colpevolezza “per default”, dove ogni cittadino digitale diventa un potenziale sospettato e soggetto da "indagare", con la corrispondenza digitale messa al setaccio da sistemi automatizzati di aziende private. Una sorta di sorveglianza di massa.
Andrebbe tra l'altro ricordato che l’Unione Europea ha recentemente introdotto il cosiddetto AI Act, che prevede il divieto – almeno in linea di principio – per i sistemi di intelligenza artificiale di orientare decisioni con impatti giuridici o sensibili senza supervisione umana. Tuttavia, questa tutela non elimina il rischio che mascherati algoritmi “di filtro” o di "raccomandazione" possano aggirare le regole, rimanendo appena al di fuori delle definizioni giuridiche strette. In altre parole, l’arsenale normativo non è immune da buchi, ambiguità e (potenziali) abusi, creando anche su questo specifico tema un'ambiguità di fondo che meriterebbe un dibattito approfondito piuttosto che norme emanate a raffica.
Cosa voglio dire? Immaginiamo una semplice conversazione tra genitori e figli, oppure uno scambio di fotografie familiari su un gruppo chiuso: un algoritmo potrebbe fraintendere il contenuto, segnalandolo alle autorità e fare partire un'indagine. E sappiamo benissimo come questi algoritmi, già oggi, ci chiudono per errore profili e pagine social per avere male interpretato una nostra azione che viene vista come contraria alla politiche del servizio erogato.
Certamente se non abbiamo nulla da nascondere, nulla abbiamo da temere. Ma siamo così convinti che ci faccia piacere che qualcuno possa leggere la nostra corrispondenza quotidiana?
Nel frattempo, i veri criminali, che operano nel web più profondo o attraverso sistemi informatici decentralizzati, difficilmente verrebbero colpiti da questi controlli.
Ho la sensazione che si stia andando a colpire la superficie del problema, creando un precedente pericoloso: la normalizzazione della sorveglianza preventiva, senza mandato, senza limite e senza distinzione. Il rischio è che la giustificazione della “protezione dei minori” diventi la porta d’ingresso per un controllo sociale sempre più pervasivo, dove la privacy individuale è percepita come un ostacolo, non come un diritto.
Nel frattempo, guarda caso, alcune aziende stanno già muovendosi in anticipo rispetto alla normativa, adottando misure che formalmente servono a tutelare i minori ma che, nella pratica, finiscono per ampliare il controllo sugli utenti adulti raccogliendo dati personali delicati oltre il necessario.
Il paradosso dei nuovi obblighi di identificazione
È il caso, per esempio, di servizi online che in alcuni Paesi hanno iniziato a richiedere la verifica dell’età tramite documento d’identità per sbloccare funzioni specifiche, anche sperimentando la verifica facciale automatizzata per “stimare” l’età dell’utente. Una tecnologia invasiva, basata su algoritmi di riconoscimento facciale, che introduce nuovi rischi di abuso o di gestione impropria dei nostri dati biometrici.
Capisco quando si parla di siti web con contenuti vietati ai minori ma la deriva è un potenziale allargamento dell'obbligo di registrazione tramite dati personali per accedere a siti e piattaforme online di uso comune come - per esempio - YouTube, Wikipedia, Spotify, oppure i più classici social network. Si sta spingendo verso un modello di rete in cui ogni utente deve essere identificato e tracciato anche solo per accedere a servizi apparentemente innocui come, paradossalmente, un motore di ricerca.
L’obiettivo dichiarato è quello di verificare l’età degli utenti per impedire ai minori l’accesso a contenuti inappropriati. Ma in realtà ciò comporterebbe la creazione di enormi banche dati di identità digitali, gestite da soggetti privati. Le grandi piattaforme e i fornitori di servizi di identificazione digitale si troverebbero miliardi di dati sensibili "certificati" con un potere senza precedenti.
Un gigantesco controsenso se pensiamo che, parallelamente, si parla nel GDPR di data minimization e di riduzione dei dati trattati.
La tutela dei minori come le varie azioni a tutela della sicurezza più in generale, sono un dovere, ma non possono diventare il cavallo di Troia per introdurre sistemi di sorveglianza universale in mano a privati. Credo ci siano altre strade da percorrere prima di arrivare ad una tracciatura automatica delle conversazioni e delle abitudini personali dei cittadini: formazione nella scuola, cultura, azione investigativa, un apparato giudiziario efficiente e un sistema informatico nazionale capace di garantire le identità ma anche l'uso e la conservazione dei dati senza doppi fini.
Da parte mia, ritengo certamente necessari gli strumenti di controllo, se proporzionati e rispettosi dei diritti fondamentali, se misurati attraverso una discussione pubblica informata, capace di coinvolgere cittadini, esperti, giuristi e quindi i rappresentanti politici. Per evitare che decisioni di questo peso vengano prese nel silenzio generale.
