Nonostante l’ultima bozza di legge dell’AI Act preveda il ban assoluto dei sistemi di riconoscimento biometrico negli spazi pubblici urbani, c’è la possibilità che i prossimi triloghi al Parlamento Europeo, in programma a breve, ribaltino la situazione.
Sono trascorsi più di due anni dalla prima presentazione ufficiale dell’AI Act, il regolamento che – se approvato dall’Unione Europea – normerà l’utilizzo dell’intelligenza artificiale in tutti gli Stati Membri. Si teme però che l’effettiva entrata in vigore possa essere ulteriormente rimandata rispetto ai termini sperati, cioè la fine di quest’anno, prima delle elezioni 2024.
«Ci vorrà almeno un anno, se non due, all’entrata in vigore dell’AI Act» ha dichiarato in un’intervista a Bruxelles Margrethe Vestager, vicepresidente della Commissione europea e Commissario europeo per la concorrenza. Il testo, ultimato a fine aprile e votato al Parlamento europeo l’11 maggio scorso, attende ancora la plenaria di settimana prossima(13 giugno) a Strasburgo.
Nel frattempo, Vestager si augura di «arrivare al primo trilogo prima dell’estate, in modo da ottenere un risultato significativo entro la fine del 2023». È pur sempre vero che si tratta del primo regolamento dedicato all’intelligenza artificiale, tecnologia in costante evoluzione, anche se chi vende e lavora con questa tecnologia è già soggetto, in teoria, alla legislazione europea in materia di diritti fondamentali, tutela dei consumatori e sicurezza dei prodotti.
A rallentare il percorso legislativo dell’AI Act sono alcuni punti “spinosi”, già in precedenza oggetto di contestazioni, come l’impiego dell’AI nei sistemi di riconoscimento biometrico. Queste tecnologie funzionano grazie ad algoritmi in grado di riconoscere e identificare un individuo a partire dai cosiddetti “dati biometrici”, ovvero impronta digitale, immagine facciale, voce, DNA e altre caratteristiche uniche per ognuno di noi.
Cosa accadrebbe se istituzioni e/o privati entrassero in possesso delle informazioni sensibili raccolte tramite reti di videosorveglianza poste in aree pubbliche? Sono numerosi i precedenti, fuori dall’Europa, che fanno riflettere sui risvolti antidemocratici di questo ipotetico scenario. Sia i recenti arresti in Iran sia le incursioni della polizia statunitense nelle case dei manifestanti BLM nel 2020, infatti, sono una diretta conseguenza dell’identificazione biometrica.
Insieme a info.nodes e The Good Lobby Italia abbiamo lanciato, la campagna “Don’t Spy On Us EU”, volta a sensibilizzare gli europarlamentari rispetto al proprio voto sull’AI Act. Presentato poco prima della seduta dell’11 maggio, il sito è unico nel suo genere: sulla piattaforma è possibile sottoporre i volti degli europarlamentari a un algoritmo di riconoscimento facciale e generare deepfakes, con tanto di premi per le proposte migliori.
La nostra richiesta è chiara e semplice: vogliamo che le tecnologie di riconoscimento biometrico siano vietate negli spazi pubblici delle nostre città.
La bozza attuale dell’AI Act (consultabile a questo link) sembra essere in linea con le istanze presentate dalle organizzazioni europee impegnate nella tutela dei diritti digitali del cittadino – tra cui, oltre a noi, EDRi – European Digital Rights, la più importante rete europea in questo settore. L’ultimo voto ha infatti confermato il divieto assoluto dell’utilizzo di tecnologie di riconoscimento biometrico negli spazi pubblici urbani. È una promessa? Si vedrà nella prossima plenaria e soprattutto nei successivi triloghi.
Per questo continueremo a monitorare l’iter dell’AI Act e a fare pressione sulle istituzioni europee, perché non cedano su questo punto per noi cruciale in termini di libertà e tenuta democratica.
con il contributo diRiccardo Coluccini, Vincenzo Tiani
In questo numero 3 di Monitor la notizia della quale siamo più orgogliosi è relativa al blocco di Clearview AI in Italia! Abbiamo scritto un post in merito, e crediamo possa essere un ottimo esempio per dimostrare la forza che hanno le azioni condivise con altre associazioni in Europa.
Vi aggiorniamo poi sulle ultime novità della campagna Reclaim Your Face, sulle nostre attività ad ampio spettro sul tema della sorveglianza biometrica e tutela dei dati personali, le più rilevanti novità sul progetto tracking.exposed, e alcune notizie sui diritti digitali direttamente da Bruxelles. Bonus per questo weekend: un indie game sul tema dell'hacking. Enjoy it!
Se vuoi contribuire a Monitor segnalandoci ricerche, pubblicazioni o notizie interessanti, scrivici a media@hermescenter.org.
Clearview AI: illegale e sanzionata per 20milioni di euro!
Una sanzione da 20 milioni di euro per trattamento illecito di dati biometrici per finalità di riconoscimento facciale, e l’ordine di cancellare i dati relativi a soggetti che si trovano in Italia. Questa la decisione espressa dal Garante privacy nell’ordinanza di ingiunzione resa nota ieri dall’Autorità nei confronti della compagnia Clearview AI. L’azienda americana utilizza sistemi automatici per effettuare lo scraping di immagini, scandagliando il web e i social media raccogliendo foto in cui rileva la presenza di un volto umano. Questi volti sono poi analizzati dall’algoritmo di riconoscimento facciale creato da Clearview AI per costruire un gigantesco database di dati biometrici (secondo stime dell’azienda si aggirerebbe intorno a 10 miliardi di immagini facciali), di cui spesso vende l’accesso a forze dell’ordine e aziende private. Tutte le immagini possono poi essere collegate anche ai metadati associati: titolo dell’immagine o della pagina web, geolocalizzazione, data di nascita, link della fonte, nazionalità, genere.
Le modalità di funzionamento e impiego attuale di queste tecnologie favoriscono i medesimi danni a cui la normativa intende porre rimedio. Se non sanzionate, queste pratiche potrebbero avere gravi ripercussioni sulla nostra società. Nell’era digitale, tra tali ripercussioni possiamo includere: un effetto deterrente sulla partecipazione delle persone ai processi democratici mediante Internet, limitazioni allo sviluppo delle identità socio-politiche dei cittadini e danni nella “vita reale” come ad esempio la vulnerabilità allo “stalking” e l’impossibilità di svolgere le attività quotidiane senza la paura di essere sorvegliati.
Siamo soddisfatti della decisione del Garante privacy e dell’azione congiunta che abbiamo portato avanti insieme ai partner PrivacyInternational, Noyb.eu e Homo Digitalis inviando segnalazioni da 4 paesi! Se volete saperne di più qui il nostro ultimo post al riguardo.
La mappa dei paesi che hanno definito illegale Clearview AI e dei procedimenti ancora pendenti. Fonte: Privacy International
Reclaim Your Face: come procede?
Abbiamo superato le 3.800 firme in Italia contro le tecnologie biometriche nello spazio pubblico! Se non hai ancora firmato o vuoi sapere di cosa stiamo parlando, puoi cliccare il bottone qua sotto oppure leggere questo post.
La campagna Reclaim Your Face sta per arrivare nelle città italiane!
Nei prossimi mesi scenderemo nelle piazze e nelle università di alcune città italiane per portare il tema della sorveglianza di massa laddove le persone si incontrano: allestiremo dei banchetti dove sarà possibile capire meglio cosa sono le tecnologie biometriche e perché siamo preoccupati del loro impatto sulla società, e nel caso anche firmare la nostra petizione europea. Non mancheranno inoltre borse, magliette, flyer attraverso i quali potrete sostenere la campagna RYF e il lavoro del Centro Hermes.
Nelle prossime settimane seguiranno aggiornamenti (e qualche preview di magliette e borse), ma le città che saranno coinvolte saranno molto probabilmente Milano, Torino, Roma, Perugia. Presto più informazioni!
6 – 11 aprile: festival internazionale del giornalismo di perugia
La campagna Reclaim Your Face sarà al Festival di Perugia con un banchetto e del materiale informativo, nonché copie della nostra ultima ricerca (che potete leggere qui). Saremo felici di incontrarvi e di parlare un po’ del nostro lavoro e delle vostre curiosità al riguardo.
All’interno del programma ci sono alcuni dei nostri soci e fellow:
Davide sarà presente al festival in un panel con Laura e Riccardo: domenica 10 aprile alle ore 10.30, Sala del Dottorato. Più info qui
Laura sarà presente poi ad un altro panel, insieme a Diletta Huyskes (privacy network) e Simone Pieranni (Il Manifesto): domenica 10 aprile alle ore 17, Hotel Brufani – Sala Raffaello. Più info qui.
Vincenzo sarà presente in un panel, insieme a Bruno Saetta (avvocato): domenica 10 aprile, ore 15.30, Hotel Brufani – Sala Priori. Più info qui.
Per sapere chi sono gli speaker di quest’anno e cosa prevede il programma, fate un giro a questa pagina. Ci vediamo lì!
Novità da chi ci gravita intorno. Il progetto tracking.exposed, che studia la profilazione e il monitoraggio degli utenti di Internet, è stato ripreso dal The Guardian per aver dimostrato, utilizzando indirizzi IP russi per accedere a contenuti non russi, come la celebre applicazione TikTok abbia agevolato il blocco di questi ultimi, consentendo però a quelli caricati in precedenza di rimanere online (inclusi i video di servizi multimediali sostenuti dallo stato). Secondo tracking.exposed la mossa di TikTok ha creato una spaccatura all’interno di una piattaforma di social media globale: “è la prima volta che una piattaforma di questo tipo divide la disponibilità dei contenuti su tale scala”. Kudos!
News a breve poi anche su MAKHNO, il progetto finanziatoci dal Mozilla Tech Fund e che per tutto l’anno ci porterà ad approfondire i temi della censura e del content takedown operato dalle piattaforme social mainstream. Stay Tuned!
Nel caso in cui non l’aveste ancora visto, il nostro ultimo report su Tecnologie per la sorveglianza e il controllo delle frontiere è stato tradotto anche in inglese e lo trovate qui. Grazie al nostro partner Privacy International per la traduzione!
✨We are very proud to announce that our latest research on tech borders control, published in December, is now available also in English ✨ Thanks to our supporter @privacyint for the translation!
Appena inaugurata alla Fondazione Modena Arti Visive Decompressed Prism di Salvatore Vitale. Il suo lavoro ci mostra come la società in cui viviamo assomigli sempre più ad un aeroporto, in cui la vita pubblica è sottoposta a livelli sempre più elevati di sorveglianza e sicurezza. Gli aeroporti sono infatti i luoghi più controllati e pur essendo zone di transito, è qui che la sorveglianza ha un impatto profondo sul comportamento umano.
Bonus per il weekend: Indie Game
Girando qua e là per la piattaforma di videogame indipendente Itch.io, abbiamo trovato IO Interloper: un gioco di hacking ambientato in un mondo prossimo al futuro in cui le aziende sono quasi invincibili per chiunque, o forse no.
L’obiettivo è infiltrarti in un edificio per uffici e rubare preziosi segreti aziendali, il tutto da dietro un terminale a migliaia di chilometri di distanza. Potrai capire cosa significa volare con droni, scrutare attraverso le telecamere di sicurezza, entrare in database protetti disconnettendoli senza lasciare traccia. Have a nice game time!
Il trailer autoprodotto dallo sviluppatore del gioco. Disponibile sia per ambiente Windows che macOS.
Pillole da Bruxelles
Un Data Space europeo per i dati sulla salute
La Commissione europea è pronta a proporre un nuovo quadro di governance per i dati sanitari con requisiti di interoperabilità transfrontaliera e un’infrastruttura paneuropea nella prima legislazione settoriale di questo tipo.
Gli obiettivi principali del regolamento sono quelli di rendere il settore sanitario più efficiente e far progredire la ricerca scientifica nel settore della telemedicina, e “liberare l’economia dei dati sanitari”, favorendo lo sviluppo di nuovi servizi e prodotti sanitari digitali.
Una dichiarazione europea sui diritti digitali
Il 26 gennaio la Commissione europea ha presentato la sua proposta per una Dichiarazione europea sui diritti e i principi digitali per la prossima decade. Questa volta si tratta di qualcosa di meno vincolante dal punto di vista giuridico ma di più ampio respiro e significato: una “dichiarazione solenne congiunta” delle tre istituzioni europee, che raccoglie i principi ispiratori cui istituzioni, Stati membri e imprese europee devono guardare nel settore digitale da qui in avanti. La proposta della Commissione europea punta a tutelare la libertà individuale, limitare l’invadenza degli algoritmi, proteggere la privacy e premiare la trasparenza.
In arrivo il Data Act
Il 23 febbraio la Commissione Europea ha presentato il Data Act, la proposta di un regolamento europeo che consenta a cittadini ed imprese di esercitare maggior controllo su tutti quei dati, personali e non, che generiamo ogni giorno. Si tratta di un altro tassello nella strategia digitale europea presentata da Bruxelles nel 2020. Introduce diverse novità rilevanti, una su tutte è l’estensione del diritto alla portabilità dei dati, introdotto per i soli dati personali con il regolamento generale sulla protezione dei dati, il cd. GDPR, a qualsiasi dato generato dall’uso di macchine e device. I dati dovranno essere accessibili in modo semplice, sicuro e, possibilmente, direttamente dall’utente. Quanto ai gatekeeper, il regolamento vieterebbe di poter trasferire loro i dati richiesti. Per quanto riguarda l’accesso ai dati da parte del settore pubblico, questo sarà possibile solo in casi eccezionali, come la risposta o la prevenzione di una emergenza, o la difficoltà nel reperirli sul mercato per adempiere ad obiettivi motivati dal pubblico interesse.
Cos’abbiamo letto questo mese (e dovresti leggere anche tu)
Anche in Italia il Garante della privacy blocca la più controversa startup di riconoscimento facciale al mondo → Wired Italia
LEAK: The EU Commission’s data space for unleashing health data → Euractiv
Fact check: Pro-Russia social media accounts spread false claims that old videos show Ukrainian ‘crisis actors’ → CNN Politics
How to Archive Telegram Content to Document Russia’s Invasion of Ukraine → Bellingcat
Attack on Ukrainian Government Websites Linked to GRU Hackers → Bellingcat
E’ stata presentata una dichiarazione europea sui diritti digitali → Wired Italia
Staccare la Russia dall’Internet globale non è una buona idea → Wired Italia
Clearview AI ha monitorato i cittadini italiani. Garante privacy: illegale
L’ordinanza di ingiunzione e la sanzione amministrativa di 20 milioni di euro, la più alta prevista, originano anche da una segnalazione inviata dal Centro Hermes nel maggio 2021
Una sanzione da 20 milioni di euro per trattamento illecito di dati biometrici per finalità di riconoscimento facciale, e l’ordine di cancellare i dati relativi a soggetti che si trovano in Italia. Questa la decisione espressa dal Garante privacy nell’ordinanza di ingiunzione resa nota ieri dall’Autorità nei confronti della compagnia Clearview AI. L’azienda americana utilizza sistemi automatici per effettuare lo scraping di immagini, scandagliando il web e i social media raccogliendo foto in cui rileva la presenza di un volto umano. Questi volti sono poi analizzati dall’algoritmo di riconoscimento facciale creato da Clearview AI per costruire un gigantesco database di dati biometrici (secondo stime dell’azienda si aggirerebbe intorno a 10 miliardi di immagini facciali), di cui spesso vende l’accesso a forze dell’ordine e aziende private. Tutte le immagini possono poi essere collegate anche ai metadati associati: titolo dell’immagine o della pagina web, geolocalizzazione, data di nascita, link della fonte, nazionalità, genere.
L’istruttoria del Garante italiano è iniziata anche grazie alla segnalazione inoltrata dal Centro Hermes in un’azione congiunta con Privacy International, Homo Digitalis e Noyb a maggio 2021 (oltre ai reclami di alcuni soggetti individuali), e che si è aggiunta ad una serie di istruttorie avviate sulla scia delle rivelazioni del 2020. In continuo aggiornamento, lo stato delle segnalazioni inviate dai partner europei è diverso: nel Regno Unito la decisione è ancora pendente e si aspetta a metà 2022 con una multa che raggiunge la cifra massima; in Francia l’autorità garante ha ordinato lo stop nella raccolta dei dati e la cancellazione di questi ultimi, minacciando sanzioni in caso di inottemperanza; per quanto riguarda Grecia e Austria, la decisione è ancora pendente.
Come emerge dall’ingiunzione, al contrario di quanto dichiarato dall’azienda, ovvero che Clearview AI sarebbe “un’applicazione per la ricerca di immagini che fornisce risultati di ricerca con collegamenti a siti web di terze parti”, la compagnia americana effettua il tracciamento di cittadini italiani o di persone che sono in Italia, detenendone i dati biometrici e di geolocalizzazione illecitamente. Come sottolineato dal Garante, l’azienda non solo raccoglie immagini dal web per renderle disponibili ai propri clienti (ad esempio come Google) ma le tratta attraverso un algoritmo proprietario che permette la ricerca di una corrispondenza tra un volto che si sta ricercando e quelli presenti nel suo enorme database. Clearview AI elabora le immagini con tecniche biometriche, crea di esse delle impronte (hash) e le associa ai metadati eventualmente a disposizione. Non è pertanto un semplice motore di ricerca, anche e soprattutto perché non fornisce il proprio servizio a tutti bensì ad alcune categorie di clienti come le forze dell’ordine.
“Siamo soddisfatti della decisione del garante privacy e del lavoro svolto con le associazioni che tutelano i diritti digitali in Europa da anni. Internet è un luogo aperto nel quale sono favoriti diritti e libertà importanti, e ciò non dev’essere minacciato da un’azienda come Clearview AI. Internet non può e non dev’essere considerato uno spazio nel quale le informazioni e i dati delle persone sono considerati a disposizione di chiunque, e per essere utilizzate a qualunque scopo.”
Laura Carrer, Head of Digital Rights Unit – Hermes Center
In Italia il Ministero dell’Interno non ha ancora chiarito se abbia utilizzato Clearview, e un’interrogazione parlamentare proprio su questo tema ha visto il Ministero dell’Interno eludere la risposta. Inoltre, viste le pratiche di marketing aggressive messe in pratica da Clearview, non si può escludere che singoli funzionari abbiano effettuato dei test, o che altre forze dell’ordine italiane, non facenti capo al Ministero dell’Interno, abbiano usato Clearview. L’incertezza e la mancanza di trasparenza intorno all’uso della tecnologia di riconoscimento facciale negli spazi privati e pubblici in Italia è inaccettabile, considerando la grave interferenza, senza precedenti, che questa tecnologia presenta nei confronti della privacy.
Le modalità di funzionamento e impiego attuale di queste tecnologie favoriscono i medesimi danni a cui la normativa intende porre rimedio. Se non sanzionate, queste pratiche potrebbero avere gravi ripercussioni sulla nostra società. Nell’era digitale, tra tali ripercussioni possiamo includere: un effetto deterrente sulla partecipazione delle persone ai processi democratici mediante Internet, limitazioni allo sviluppo delle identità socio-politiche dei cittadini e danni nella “vita reale” come ad esempio la vulnerabilità allo “stalking” e l’impossibilità di svolgere le attività quotidiane senza la paura di essere sorvegliati.
Al momento, i paesi che hanno dichiarato illecito l’utilizzo del sistema di web scraping e riconoscimento facciale sono il Canada, l’Italia, la Francia, l’Australia, il RegnoUnito.
In Canada, a febbraio 2020 l’Ufficio del Commissario in materia di protezione dei dati, insieme alle autorità preposte alla regolamentazione sulla privacy a livello provinciale, ha avviato un’indagine sulla condotta di Clearview. Il rapporto sui risultati di tale indagine è stato pubblicato il 2 febbraio 2021 con la raccomandazione che Clearview (i) cessi di offrire i suoi servizi in Canada, (ii) “interrompa la raccolta, l’utilizzo e la divulgazione di immagini e matrici biometriche facciali di soggetti in Canada”, e (iii) “cancelli le immagini e le matrici biometriche facciali raccolte dagli individui canadesi in suo possesso”.
Nel RegnoUnito e in Australia, a luglio 2020 le autorità preposte alla regolamentazione in materia di protezione dei dati hanno avviato un’indagine congiunta sulle “pratiche di gestione delle informazioni personali” di Clearview. I paesi nei quali si stanno portando avanti dispute giudiziarie sono gli Stati Uniti, paese di provenienza di Clearview AI, la Svezia (dove è stato scoperto che la polizia di stato ha utilizzato illegalmente il sistema), la Grecia, la Germania e l’Austria.
La quantità di casi diversi sollevati in Europa e altrove dimostra che le singole persone e le autorità preposte alla regolamentazione nutrono una viva e diffusa preoccupazione con riferimento alla condotta di Clearview. Tuttavia, ad oggi non sono stati profusi sforzi per adottare un approccio coordinato a questo problema prettamente globale. Un approccio coordinato è atteso da tempo in Europa, continente che vanta uno dei quadri normativi sulla privacy e la protezione dei dati più stringente al mondo.
La mappa della sorveglianza di Clearview AI. – Fonte: Privacy International
Come funziona questa tecnologia
Il brevetto depositato dall’azienda lo scorso anno, utilizzato dall’Autorità garante italiana nell’istruttoria, così come l’indagine svolta dal Centro Hermes attraverso fonti pubblicamente disponibili e competenze tecniche, hanno permesso di definire il funzionamento della tecnologia di Clearview AI in cinque passaggi:
1. Web scraping automatico delle immagini: un sistema ricerca all’interno delle pagine Internet pubblicamente accessibili volti umani. Oltre alle immagini il sistema raccoglie anche i metadati ad esse associati.
2. Conservazione dell’immagine e dei metadati: le immagini e i relativi metadati raccolti mediante il processo di web scraping vengono conservati sui server di Clearview. La conservazione è a tempo indeterminato, cioè permane anche dopo che la foto precedentemente raccolta o la pagina web su cui si trovava è stata rimossa o resa privata.
3. Estrazione delle caratteristiche facciali mediante reti neurali di elaborazione delle immagini: ogni volto contenuto in ciascuna immagine raccolta viene scansionato ed elaborato per estrarne le caratteristiche identificative. I volti vengono tradotti in rappresentazioni numeriche qui denominate “vettori”. Questi vettori sono costituiti da 512 punti dati che rappresentano le diverse linee uniche che formano un volto. A questo punto, i volti vengono convertiti da immagini riconoscibili all’occhio umano a identificatori numerici biometrici unici, leggibili elettronicamente dalle macchine.
4. Conservazione e indicizzazione/hashing delle caratteristiche facciali: Clearview conserva i vettori in un database sui propri server, lì sono associati alle immagini e alle altre informazioni raccolte tramite web scraping. Questi vettori vengono quindi sottoposti ad hashing per due finalità correlate: l’indicizzazione del database e l’identificazione futura dei volti. Ciascuna foto di un volto nel database ha un diverso vettore e un valore hash a esso associato per permetterne l’identificazione e il matching.
5. La quinta e ultima fase nel ciclo del prodotto Clearview è il matching: viene eseguito quando un utente di Clearview desidera identificare una persona e a tale scopo carica un’immagine del soggetto stesso e avvia una ricerca. A questo punto la piattaforma analizza l’immagine, estrae un vettore dal volto del soggetto, lo sottopone quindi ad hashing e lo confronta con tutti i vettori hash precedentemente salvati nel database. Infine, lo strumento Clearview estrae dal database dei vettori tutte le immagini che presentano una stretta corrispondenza e le mostra all’utente come risultato della ricerca, insieme a tutti i metadati associati, permettendo all’utente di vedere la pagina sorgente originale da cui sono state estratte le immagini risultanti dal matching.
con il contributo diRiccardo Coluccini, Vincenzo Tiani
In questo numero 2 di Monitor trovate alcune info sull'universo che ci circonda. Abbiamo vinto il Mozilla Tech Fund 2022, ad esempio! E poi, come diventare attivisti e attiviste contro la sorveglianza biometrica di massa e alcune notizie sui diritti digitali direttamente da Bruxelles.
Se vuoi contribuire a Monitor segnalandoci ricerche, pubblicazioni o notizie interessanti, scrivici a media@hermescenter.org.
Siamo nella Mozilla Tech Fund 2022 cohort!
A gennaio siamo risultati vincitori della coorte 2022 di Mozilla Tech Fund, il programma che finanzia lo sviluppo di tecnologie che contribuiscono alla creazione di un Internet più aperto e inclusivo. Il nostro progetto è uno sforzo congiunto insieme agli amici di tracking.exposed e OONI, che abbiamo ribattezzato MAKHNO proprio la scorsa settimana. Ha lo scopo di monitorare il take down dei contenuti politici o legati alla sfera sessuale e di capire perché e come venga effettuato. Ovviamente vi terremo aggiornati quando avremo delle informazioni pubbliche da poter condividere!
Se per caso doveste essere a conoscenza di pagine/canali sui social network soprattutto su temi quali migrazioni, politica, LGBTQ+ che hanno subìto cancellazione di contenuti (post, immagini, video) scriveteci a media@hermescenter.org.
Reclaim Your Face: il Bootcamp!
Vuoi essere parte del movimento Reclaim Your Face in prima linea? Invia la tua candidatura al bootcamp entro il 22 febbraio.
CHIUNQUE può candidarsi per diventare un attivista della campagna, meglio se:
Avete accesso a una community di potenziali firmatari (cittadini dell’UE)
Vi impegnate ad aiutare la campagna Reclaim Your Face a raggiungere il suo obiettivo
Siete disposti ad assistere ad un workshop online di 3 ore (probabilmente il 25 febbraio 2022) e ad impiegare ulteriore tempo per raccogliere un minimo di 50 firme.
Mostrate un alto grado di consapevolezza dei diritti umani.
22 febbraio 2022: Deadline dell’application 24 febbraio 2022: Ti invieremo il materiale e tutte le informazioni dei workshop! Fine febbraio-primi di marzo: Prima sessione Marzo-giugno: Raccolta delle firme cartacee
Siamo stati ospiti di Radio3 Scienza
Insieme a Luca Zorloni, web editor di Wired Italia, abbiamo chiacchierato ai microfoni di Radio3 Scienza condotti da Elisabetta Tola. Se volete riascoltare la puntata, dove discutiamo di come l’Unione Europea (e non solo) se la canti e se la suoni in termini di sorveglianza di massa e tecnologie biometriche, questo è il link.
Europol sta diventando un’agenzia di sorveglianza di massa
In questo DataGate all’europea la battaglia per tutelare i nostri diritti è in mano al garante europeo per la privacy, che infatti il 10 gennaio rende pubblica la sua decisione di ordinare a Europol di cancellare la parte di dati trattenuta in modo illegittimo.
Prossimamente ci troverete ad uno dei gruppi studio di Tech Worker Coalition Italia, per parlare di sorveglianza, biometria e tutto ciò che è connesso al tema. Ci vediamo lì!
Tecnosorveglianza e Biometria – Gruppo di Studio – TWC Italia x Hermes Center
Come anticipato lo scorso mese, è uscito un report in collaborazione tra OONI e Mozilla. In quest’ultimo, utilizzando un dataset fornito da Mozilla – Telemetry – è stato analizzato il fenomeno degli internetblackout, ossia il momento in cui la connettività internet in un certo paese o regione viene completamente interdetta. Lo studio realizzato da OONI dimostra come è possibile usare questo dataset per confermare casi di blackout già analizzati in passato utilizzando altri dataset: in sostanza, una nuova fonte permette di caratterizzare meglio alcuni degli eventi.
Segnaliamo poi anche questo blogpost sulla misurazione della censura su HTTP/3 scritto dalla fellow OONI Kathrin Elmenhorst.
Pillole da Bruxelles
Il Digital Services Act passa al trilogo, dopo l’approvazione del parlamento
Il DSA è stato votato dal Parlamento europeo e ora si avvia al trilogo, la discussione con la Commissione e il Consiglio dell’UE (aka i governi) per trovare la quadra in un testo finale. Alcuni punti segnati per la tutela dei diritti fondamentali:
La possibilità di bloccare il tracciamento in App (sul modello di quello che consente ora iOS 15);
Niente più dark pattern con pulsanti grandi e colorati per accettare T&C e privacy policy;
Niente tracciamento pubblicitario basato su dati relativi a preferenze politiche, religiose, sessuali, o se si tratta di dati di minori;
Per il momento le chat cifrate restano al loro posto.
Google Analytics sotto la lente del Garante austriaco
La Commissaria europea Vestager, responsabile per i file “digitali” ha detto a POLITICO che la Commissione Europea è consapevole che a breve bisognerà porsi la domanda se servono nuove regole per il Metaverso. Con nuovi business in arrivo il rischio è che le posizioni monopolistiche già esistenti possano trasferirsi anche lì.
C’è una proposta europea per regolare i gig worker
Il 9 dicembre la Commissione europea ha presentato la sua proposta di direttiva per migliorare le condizioni dei lavoratori delle piattaforme. Secondo la Commissione sono 5,5 milioni i gig worker erroneamente identificati come autonomi e che dovrebbero pertanto rientrare nella categoria di lavoratori dipendenti. La direttiva si propone di risolvere gli attuali problemi promuovendo la trasparenza, l’equità e la responsabilità nella gestione degli algoritmi alla base del funzionamento delle piattaforme. La novità introdotta è la presunzione legale che un lavoratore sia dipendente, al di là quanto stabilito contrattualmente tra le parti, quando ricorrano alcuni requisiti requisiti.
Inoltre.. L’EDPS ha pubblicato un’opinion in cui chiede il ban del microtargeting politico.
Cos’abbiamo letto questo mese (e dovresti leggere anche tu)
Europol sta diventando un’agenzia di sorveglianza di massa → Domani
Il Parlamento EU approva le nuove regole su big tech e contenuti online → Wired Italia
Una mappa delle telecamere cinesi in uffici e luoghi pubblici d’Italia → Wired Italia
Unsafe anywhere: women human rights defenders speak out about Pegasus attacks → Access Now
con il contributo diRiccardo Coluccini, Vincenzo Tiani
In questo numero 1 di Monitor trovate il nostro report Tecnologie per il controllo delle frontiere in Italia, ricerca che abbiamo realizzato grazie al sostegno di Privacy International. Per ascoltare di che si tratta abbiamo realizzato anche un mini podcast, lo trovate qui sotto.
Vi aggiorniamo poi sulle ultime novità della campagna Reclaim Your Face, sulle nostre attività ad ampio spettro sul tema della sorveglianza biometrica e tutela dei dati personali, le più rilevanti novità sui progetti OONI e tracking.exposed, e alcune notizie sui diritti digitali direttamente da Bruxelles.
Se vuoi contribuire a Monitor segnalandoci ricerche, pubblicazioni o notizie interessanti, scrivici a media@hermescenter.org.
Report: Tecnologie per il controllo delle frontiere in Italia
Domenica 5 dicembre è uscito il nostro report Tecnologie per il controllo delle frontiere in Italia – parte del progetto proTECHt migrants supportato da Privacy International – accompagnato da un’ inchiesta sullo stesso tema per L’Espresso (online/cartaceo). Il report è consultabile al link https://protecht.hermescenter.org, ed è anche scaricabile in pdf.
Leggi il report qui: https://protecht.hermescenter.org
Il progetto proTECHt migrants è iniziato a giugno 2021 e prevedeva due fasi: la prima di mappatura e contatto con le associazioni nazionali che si occupano di accoglienza su territorio nazionale. Le associazioni che abbiamo coinvolto sono: Mediterranea, Progetto 20k, Pensare Migrante, LasciateCIEntrare, ASGI, A Buon Diritto, Associazione NAGA, COSPE. Con loro abbiamo parlato delle problematiche relative all’utilizzo della tecnologia nel settore dell’immigrazione. Attraverso una survey sono emerse ancor più profondamente alcune preoccupazioni e necessità sul tema, quali il timore che le tecnologie biometriche (come ad esempio il riconoscimento facciale) siano utilizzate senza nessun controllo su migranti, rifugiati e richiedenti asilo; che i database creati a livello nazionale ed europeo siano sempre più interoperabili tra di loro; oppure che i dati anagrafici e biometrici a loro prelevati, senza un consenso davvero informato, siano poi trattati senza le dovute tutele che si applicano invece ai cittadini italiani ed europei.
Durante lo svolgimento della ricerca abbiamo cercato di rispondere il più possibile a questi timori e preoccupazioni, concentrandoci su 4 direttrici considerate fondamentali: una breve disamina sui flussi migratori e sul sistema di accoglienza in Italia, le pratiche di pre-identificazione ed identificazione all’arrivo negli hotspot, il riconoscimento facciale utilizzato dal ministero dell’Interno, e infine i finanziamenti europei in Italia proprio per l’acquisto di tecnologie biometriche che facilitino l’identificazione dei migranti. Da questa analisi emergono i 4 output di ricerca:
La criminalizzazione della persona migrante, rifugiata o richiedente asilo è inscritta nell’infrastruttura tecnologica italiana;
I migranti, rifugiati e richiedenti asilo effettuano un vero e proprio baratto dei loro dati personali e biometrici in cambio di accoglienza;
La gestione e il controllo dei flussi migratori in Europa non passa più solo attraverso le politiche dei flussi o il mero controllo delle frontiere;
Il riconoscimento facciale usato in Italia nelle attività di indagine rischia di avere già conseguenze più gravi su migranti e richiedenti asilo.
Attraverso un webinar abbiamo condiviso alcuni di questi risultati con le associazioni, allo scopo di formare coloro che prima di tutti si trovano a lavorare all’intersezione tra migrazione, diritti umani e tecnologia. Questo è sicuramente uno dei principali motivi per i quali svolgiamo un lavoro su questi temi. Per avere un assaggio del report, ecco un breve riassunto da ascoltare:
La morsa dei garanti privacy su Clearview AI
Stupende notizie dal Regno Unito: l’Information Commissioner’s Office (ICO), autorità per la privacy britannica, ha dichiarato l’intenzione di multare per 17 milioni di sterline la controversa azienda di riconoscimento facciale Clearview AI. L’azienda raccoglie di nascosto le foto che gli utenti caricano online per poi offrire un database alle forze dell’ordine in cui fare ricerche durante le indagini. L’opinione preliminare dell’ICO è che Clearview AI Inc sembra non aver rispettato le leggi britanniche sulla protezione dei dati, non avendo un motivo legittimo per raccogliere quei dati e non informando le persone nel Regno Unito su ciò che stesse accadendo alle loro foto. Clearview AI ora dovrà rispondere alle accuse e l’importo della multa potrebbe persino diminuire considerevolmente. Secondo Privacy International si tratta di un importante risultato e le conclusioni dell’ICO rispecchiano quanto segnalato dall’associazione in un reclamo che aveva inviato a maggio 2021. In quel mese anche il Centro Hermes, noyb e Homo Digitalis avevano inviato segnalazioni e reclami contro Clearview AI alle autorità garanti per la privacy in Italia, Austria e Grecia. Attendiamo quindi notizie dal Garante italiano!
Abbiamo superato le 3.500 firme in Italia contro le tecnologie biometriche nello spazio pubblico! Se non hai ancora firmato o vuoi sapere di cosa stiamo parlando, puoi cliccare il bottone qua sopra oppure leggere questo post.
Una moratoria zoppa sul riconoscimento facciale
All’interno del DL Capienze il Parlamento italiano ha approvato una moratoria per i sistemi di videosorveglianza che usano il riconoscimento facciale. La durata prevista della moratoria è fino al 31 dicembre 2023, a meno che non sia introdotta una nuova legge sul tema della sorveglianza biometrica. Autorità pubbliche e tutti i soggetti privati non potranno usare questa tecnologia in luoghi pubblici o aperti al pubblico: pensiamo a mezzi di trasporto, centri commerciali e negozi. Pur essendo un primo risultato importante, i problemi della moratoria sono molteplici: non si applica a sistemi come quelli di Clearview AI o altre tecnologie che usano dati biometrici, e in più lascia carta bianca alle autorità giudiziarie e ai pubblici ministeri che potranno usare durante le indagini i sistemi di riconoscimento facciale senza dover consultare il Garante Privacy. La moratoria adottata è comunque un risultato importante, che ci ricorda ancora di più però come l’unica soluzione accettabile sia ottenere il divieto di utilizzo di tutte le tecnologie per la sorveglianza biometrica nei confronti di tutti i soggetti, e non solo limitato al riconoscimento facciale.
Anche in Svizzera c’è una petizione contro il riconoscimento facciale
La Svizzera non è uno stato membro dell’UE e per questo motivo fino ad ora i cittadini svizzeri non hanno potuto firmare per la nostra iniziativa Reclaim Your Face che chiede alla Commissione europea di vietare tecnologie come il riconoscimento facciale. Ora però grazie all’azione di Digitalen Gesellschaft, Amnesty International Svizzera e AlgorithmWatch CHc’è una petizione anche in Svizzera. La petizione per il momento si focalizza sulle città di Losanna e Zurigo.
Il sito della petizione è qui. L’annuncio del lancio, invece è qui.
La campagna Reclaim Your Face in una città olandese vicino a te!
Se vivi nei Paesi Bassi potresti esserti imbattuto/a in una campagna pubblicitaria che parla dei sorveglianza biometrica. Bits of Freedom, associazione olandese che si occupa di diritti digitali, ha tappezzato alcune città con poster sui rischi del riconoscimento facciale e delle tecnologie biometriche, e con un invito: firmare la nostra petizione!
In Germania il nuovo governo ha le idee chiare sul riconoscimento facciale
La nuova coalizione di governo tedesca ha chiesto un divieto a livello europeo del riconoscimento facciale in pubblico, e di altre tipologie di sorveglianza biometrica. Richieste che fanno eco a quelle che la nostra campagna Reclaim Your Face, coordinata da EDRi con oltre 65 gruppi della società civile, sta chiedendo all’UE e ai loro governi nazionali dal 2020. Chiaramente per il momento si tratta solo di una dichiarazione di intenti, per questo è fondamentale tenere alta l’attenzione e far sì che alle parole seguano i fatti.
Qui trovate il testo dell’accordo della coalizione di governo. Qui il nostro commento e della coalizione RYF.
Il kit per il supporter di Reclaim Your Face
Il sito della campagna Reclaim Your Face ha una novità: una nuova sezione dedicata alle informazioni sulle tecnologie biometriche spiegate con esempi chiari e storie di chi, quelle tecnologie, le sta combattendo ogni giorno. In più ci sono sticker, volantini e banner da scaricare per poter diffondere la campagna sia online che offline.
Riconoscimento facciale contro la popolazione palestinese
Dai territori occupati della Cisgiordania arriva l’ennesimo esempio di come il riconoscimento facciale possa essere usato per opprimere e controllare una popolazione. L’esercito israeliano usa tecnologie di riconoscimento facciale insieme a una rete di videocamere urbane e smartphone per individuare i palestinesi che devono essere fermati, arrestati o lasciati andare.
Qui trovate l’analisi del Washigton Post in merito (inglese). Qui invece quella di Valigia Blu, in italiano.
Quante videocamere incontri giornalmente?
Dalla Germania arriva unsurv-offline, un progetto open-source per un dispositivo in grado di monitorare quante videocamere incrociamo durante la nostra giornata. Per farlo utilizza un database delle posizioni delle videocamere preso da OpenStreetMap e caricato sulla scheda SD del dispositivo, salvando in maniera sicura i dati dei nostri spostamenti giornalieri senza caricarli online. Ci sono già progetti come Surveillance under Surveillance che mappano la posizione di videocamere negli spazi pubblici, e che contengono dati anche sull’Italia. Chiunque può contribuirvi.
Maggiori informazioni sul progetto unsurv-offline si possono trovare qui. La pagina uffiale di finanziamento è invece qui.
Novità da chi ci gravita intorno. Il progetto YouChoose.ai, sponsorizzato dal programma della Commissione Europa Next Generation Internet, si basa su youtube tracking exposed (un sistema di analisi passiva delle raccomandazioni di youtube al fine di analizzarne l’algoritmo) andando però oltre: YC affronta il problema del monopolio degli algorimiti. L’idea alla base è che i creatori di contenuti dovrebbero esercitare più potere nel gestire le loro raccomandazioni. Un’altra ipotesi esplorata è quella di dare il controllo degli algoritmi a chi naviga sulla piattaforma. Un’estensione del browser sviluppata dal team di YC permetterà proprio questo e sarà disponibile al di fuori di una beta chiusa da gennaio in poi. Qui intanto potete leggere l’analisi del progetto e l’analisi di interesse, svolta su 400 persone che hanno partecipato al questionario.
Il progetto di software libero OONI ha compiuto 9 anni! Tanti auguri!
Today is OONI's 9th birthday! 🥳🎂🐙
As of today, 9 years ago, the 1st OONI measurement was collected & published!
Today, 544 million measurements have been published from 23 thousand networks in 240 countries 🌍
Inoltre: ad ottobre OONI ha pubblicato il report How countries attempt to block Signal Private Messenger App around the world sul blocco di Signal in Iran, China, Cuba e Uzbekistan. Si tratta del primo report che analizza la censura di Signal in giro per il mondo. Il blocco è stato riscontrato per mezzo di tecnologia DPI a Cuba e Uzbekistan. In Iran e China viene invece implementato per mezzo di interferenza a livello DNS.
Come anticipato lo scorso mese, è uscito anche un report in collaborazione con Mozilla. In quest’ultimo, utilizzando un dataset fornito da Mozilla – Telemetry – è stato analizzato il fenomeno degli internetblackout, ossia il momento in cui la connettività internet in un certo paese o regione viene completamente interdetta. Lo studio realizzato da OONI dimostra come è possibile usare questo dataset per confermare casi di blackout già analizzati in passato utilizzando altri dataset: in sostanza, una nuova fonte permette di caratterizzare meglio alcuni degli eventi.
Fino al 31 gennaio 2022 sarà in mostra a Fondazione Modena Arti Visive Monitoring Control, di Paolo Cirio. Il titolo della mostra allude a una duplice forma di monitoraggio: quello esercitato dal potere e, viceversa, quello che le soggettività sociali possono esercitare sulle forme di controllo prendendo coscienza del fenomeno e contrastandolo.
Nuove regole in arrivo per la circolazione dei dati
A distanza di un solo anno dalla pubblicazione della proposta della Commissione Europea, il Data Governance Act è ad un passo dal voto finale. La norma regolerà lo scambio di dati, personali e non, tra pubblico e privato per fini di ricerca o di business offrendo regole chiare, trasparenza e indipendenza nella gestione, nel rispetto della protezione dei dati personali così come del segreto industriale.
Una super Autorità che neanche Mazinga
Riferisce POLITICO che l’EDPS, il garante europeo per la privacy, starebbe lavorando ad una nuova autorità che includa anche la tutela dei consumatori e l’Antitrust. Vero è che le tre autorità hanno, sempre di più, visto incrociare le spade come i tre moschettieri. Da qualche anno se ne parla anche in Italia ma solo come proposta.
