Riconoscimento facciale made in EU: si studia il database unico

di Umberto Stentella 03—Mar—2020 / 10:22 AM

Il The Intercept ha messo le mani su alcuni documenti interni e riservati dell’Unione Europea: la Commissione e il Consiglio si preparano a potenziare il sistema di Prüm includendo anche i dati ottenuti dal riconoscimento facciale.

Sebbene la Commissione non abbia ancora avviato l’iter legis, nel silenzio generale i funzionari europei stanno studiando un database unico, centrale, e condiviso tra tutte le forze dell’ordine con i dati biometrici facciali. Già oggi le forze dell’ordine degli Stati membri hanno accesso ad un database unico con le impronte digitali e i DNA rilevati dai colleghi di tutta l’Europa. Ma non solo, in passato sono stati stretti diversi accordi anche con gli USA, facilitando l’arresto in Europa di un criminale con precedenti in America, e viceversa.

Oggi il trattato di Prum sulla cooperazione nel contrasto al terrorismo e al crimine “transfrontaliero” è firmato dalla maggior parte degli Stati membri. Sebbene l’Italia nel 2009 abbia ratificato il trattato, nel 2016 la Commissione aveva avviato una procedura di infrazione per la mancata condivisione di due delle tre categorie di dati previste da Prum. Nei documenti esaminati dal The Intercept si auspica l’adozione di un database unico per il riconoscimento facciale, condiviso da tutti gli Stati membri «nei tempi più rapidi possibili».

Negli ultimi anni abbiamo assistito ad un acceso dibattito sull’uso dei dati biometrici facciali da parte delle forze dell’ordine. È una questione estremamente delicata, e lascia quantomeno allibiti che l’UE abbia iniziato a muoversi in questa direzione cercando di non passare per il radar dell’opinione pubblica.

Lo scorso gennaio era trapelata l’intenzione da parte dell’UE di introdurre una moratoria sull’uso del riconoscimento facciale negli spazi pubblici, sia da parte di attori pubblici che privati, per un periodo di 5 anni – ve ne avevamo parlato qua. Sembrava che l’UE non volesse dare luce verde ad una tecnologia così controversa finché non si fosse raggiunta una piena conoscenza di tutte le possibili conseguenze per la privacy e per i diritti umani.

Ora, nel silenzio generale, la Commissione ha completamente stralciato ogni riferimento al ban del riconoscimento facciale dal suo White Paper sull’IA.

Ma il repentino cambio di posizione non è passato inosservato a tutti:

All’inizio dell’anno il leak di alcuni documenti aveva lasciato intendere che la Commissione europea, nell’ambito del suo White Paper sull’Intelligenza Artificiale, stesse valutando una possibile moratoria dalla durata di 5 anni sulla tecnologia di riconoscimento facciale. Ad ogni modo, il documento finale pubblicato la scorsa settimana di fatto mostra un cambio di strategia della Commissione: preferiscono optare per un “dibattito a livello diffuso in UE sull’uso dell’identificazione biometrica da remoto”, depotenziando così il loro impegno precedente sul riconoscimento facciale.

Possiamo considerarlo come un tentativo per occultare e sopprimere il dibattito pubblico su una tecnologia estremamente controversa come il riconoscimento facciale.

mi ha spiegato per email Riccardo Coluccini, portavoce dell’Hermes Center for Transparacy and Human Rights. Insomma, di moratoria non si parla più, e una decisione definitiva sull’uso del riconoscimento facciale all’interno dell’Unione Europea è rimandata a data da destinarsi.

Sono anche gli stessi membri del Parlamento europeo a protestare per l’assenza di comunicazione da parte della Commissione sui lavori in corso per adottare un database centrale unico.

Secret plans to allow #facialrecognition by police forces in Europe?! We ask the @EU_Commission and @EDPB for clarification! ⁦@moritzkoerner⁩ ⁦@OChastel⁩ ⁦@RamonaStrugariu⁩ ⁦@maitepagaza⁩ ⁦@MSimecka⁩ ⁦@RenewEurope⁩ pic.twitter.com/ioIyExE4w8

— Sophie in 't Veld (@SophieintVeld) February 25, 2020

L’UE sta finanziando diversi studi sul riconoscimento facciale

Ad oggi non abbiamo ancora conoscenza di una procedura formale per inserire il riconoscimento facciale all’interno dei dati condivisi dagli Stati aderenti al sistema di Prum, ma è chiaro che le istituzioni europee si stanno muovendo in questa direzione. Lo scorso novembre –riporta sempre The Intercept– la Commissione aveva comunicato al Parlamento europeo di aver commissionato all’azienda di consulenza Deloitte uno studio da 700.000 euro su una possibile riforma del sistema di Prum. Una parte rilevante del lavoro dei consulenti avrebbe riguardato le tecnologie di riconoscimento facciale. La Commissione europea ha già destinato mezzo milione ad un consorzio di aziende pubbliche guidato dall’Estonian Forensic Science Institute. Scopo del lavoro del consorzio? “Mappare l’attuale stato dell’uso del riconoscimento facciale nelle indagini penali in tutti gli Stati membri dell’UE”. Anche in quel caso si parlava della possibilità di iniziare ad inserire i dati facciali nel rapporti di cooperazione previsti dal trattato.

Ma una simile condivisione, argomentano gli attivisti per la privacy, apre le porte a possibili abusi — a maggior ragione se si considera che non tutti gli Stati membri guardano ai diritti umani allo stesso modo.

This is concerning on a national level and on a European level, especially as some EU countries veer towards more authoritarian governments

ha detto a The Intercept Edin Omanovic, advocacy director di Privacy International.

Dello stesso parere è anche l’Hermes Center, che sottolinea anche il rischio che un patrimonio di dati così delicati e personali possa finire nelle mani sbagliate:

Siamo preoccupati per un possibile uso improprio di questo database da parte delle forze dell’ordine europee. Si pensi alla sorveglianza politica — per sopprimere le proteste politiche contro i governi, ad esempio— ma anche alle preoccupazioni per la privacy, considerando che ogni giorno apprendiamo di nuovi data breach: raccogliere e connettere le facce dei cittadini dell’UE in un unico database mette in pericolo al loro privacy e la loro integrità.

La tecnologia di riconoscimento facciale si presta ad operazioni di sorveglianza pervasive e ingiustificate: non possiamo scollegarci dai nostri dati biometrici.

ci spiega sempre Coluccini.

Il riconoscimento facciale in Italia e nel mondo

In Italia le forze dell’ordine usano una tecnologia chiamata SARI

In Italia le forze dell’ordine utilizzano già il riconoscimento facciale per il contrasto al crimine. La polizia scientifica usa dal 2018 il sistema SARI (acronimo di Sistema automatico di riconoscimento facciale), che può contare su un database di 16 milioni di volti — che non necessariamente corrispondono a 16 milioni di individui. Parliamo di persone note alle forze dell’ordine, con dei precedenti e già schedate.

Una inchiesta di Wired pubblicata ad aprile del 2019 era risalita ad un numero di circa 9 milioni di individui schedati dal sistema SARI, di cui soltanto 2 milioni di nazionalità italiana.

Peraltro Wired avanzava il dubbio che le forze dell’ordine avessero iniziato ad usare il sistema SARI con largo anticipo rispetto all’annuncio al pubblico del settembre del 2018 – quando due rapinatori georgiani vennero identificati in questo modo a Brescia.

Una esemplificazione del sistema SARI Real Time mostrata durante il servizio di Sky TG24

Il sistema attualmente in uso funziona attraverso un match tra una persona sospetta e le identità già schedate e inserite nel database SARI. Cosa ben diversa da un sistema in grado di riconoscere un volto e associarlo ad una identità in un contesto dinamico e in tempo reale — ad esempio usando le telecamere di videosorveglianza per monitorare l’ingresso negli stadi. Una tecnologia di questo tipo è attualmente in fase di progettazione, ma essendo ancora acerba non è in uso. Si chiama SARI Real Time, e la polizia potrebbe utilizzarla in scenari circoscritti (come i grandi eventi) in un futuro non troppo lontano da oggi.

Proprio su SARI Real Time è intervenuto recentemente il Garante della Privacy, Antonello Soro:

Il software SARI esercita una modalità automatizzata di verifica, che viene operata da una persona. Il regolamento europeo esclude che decisioni che riguardano una persona vengono prese da un procedimento automatizzato. Il modello di software che si immagina è in real timing: utilizza immagini provenienti da telecamere, e poi l’IA per verificare su un’altra banca dati. È un sistema sul quale abbiamo chiesto informazioni approfondite che non sono mai arrivate. Presumo quindi che non sia in uso.

Ha detto durante una puntata della trasmissione Sky “Progress”, per poi continuare:

Bisogna eseguire un bilanciamento tra mezzi e obiettivi, c’è una tendenza nell’ambito della pubblica sicurezza: tra legislatore e Governo si pensa spesso che l’obiettivo finale della sicurezza possa derogare dal regolamento europeo sulla privacy. Non è così, si tratta di un contrasto con il GDRP.

Un’idea degli abusi e delle criticità che l’adozione di un sistema di riconoscimento facciale potrebbe introdurre, se applicato su larga scala, ci arriva dai Paesi dove tecnologie di questo tipo sono già in uso. Tralasciamo volutamente il caso limite della Cina, e rimaniamo nell’ambito delle democrazie occidentali. Nel 2019 la Metropolitan Police di Londra ha utilizzato in via sperimentare la tecnologia di riconoscimento facciale per funzioni di ordine pubblico e contrasto alla criminalità. Un dettagliato report dell’Università dell’Essex aveva evidenziato un numero disarmante di problematicità della tecnologia in uso, ma la più emblematica è data dalla sua sostanziale inefficacia: secondo i test dei ricercatori il riconoscimento facciale dava un falso positivo con un rapporto superiore al 4 ad 1. Su 5 match, 4 erano falsi positivi.

In Nord America in questi giorni si è parlato molto del caso Clearview, azienda privata che gestisce miliardi di immagini ottenute scandagliando ogni angolo della rete. Se avete un profilo Facebook o Instagram, se cercando il vostro nome su Google esce almeno una foto su di voi, se siete comparsi almeno una volta su un video su Youtube, è molto probabile che nel database di Clearview ci siate anche voi. Da questa enorme mole di dati ne è nato un software usato dalle forze dell’ordine nordamericane (USA e Canada) e non solo, anche aziende e organizzazioni come Walmart e l’NBA. Sono 3 miliardi le immagini che si stima siano include nel database della Clearview, quando l’analogo database dell’FBI ne include 47 milioni. In questo caso, non soltanto pregiudicati e schedati, ma anche incensurati. Non è un caso che la super inchiesta del New York Times che ha svelato per la prima volta al grande pubblico l’esistenza di Clearview AI titolasse: «La fine della Privacy per come la conosciamo».

Grazie alle segnalazioni di @fabiochiusi presenterò atti di sindacato ispettivo DI NUOVO sul l’eventuale utilizzo di tecnologia Clearview AI in Italia. Avevo chiesto, non mi era stato risposto sul punto, ora il leak di @BuzzFeed impone di tornarci #facialrecognition #GDPR

— nomfup (@nomfup) February 28, 2020

Ciliegina sulla torta? I server della Clearview sono stati bucati la scorsa settimana. Gli hacker avrebbero messo mano sull’intera lista dei clienti dell’azienda, accedendo ad ogni ricerca mai realizzata, anche se Clearview esclude che tra le informazioni rubate ci fossero anche le ricerche effettuate dalle forze dell’ordine. Non è difficile immaginare che, in futuro, un attacco di questo tipo possa esporre i dati biometrici di milioni di persone.