Riconoscimento facciale: risorsa o minaccia?

Quando parliamo di privacy informatica è inevitabile scontrarsi presto o tardi con il discorso sul riconoscimento facciale.Il dibattito a riguardo è sempre piuttosto polarizzante. Da un lato, chi sostiene che se non ho nulla da nascondere, non c’è motivo di preoccuparsi.

Dall’altro chi, invece, è uno strenuo oppositore dell’utilizzo di tali tecnologie.

Come sempre, la realtà dei fatti è piuttosto complessa, e va analizzata – o provata ad analizzare – nelle sue sfaccettature.Ad oggi tutti quanti, chi più e chi meno, siamo sottoposti al riconoscimento facciale.Facebook lo utilizza per riconoscere le singole persone-profili all’interno delle foto che vengono postate. Google lo sfrutta, tra le varie cose, per “aiutarci” a raggruppare le nostre fotografie. Alcuni smartphone hanno integrate delle tecnologie che consentono lo sblocco del telefono solamente al proprietario, riconoscendone i tratti del volto attraverso la fotocamera.Ora, come funziona il riconoscimento facciale?

Cerchiamo di semplificare il tutto all’osso: il riconoscimento facciale utilizza quelli che vengono definiti dati biometrici.

Si tratta di un particolare tipo di dati personali, relativi a caratteristiche fisiologiche, fisiche o comportamentali dei singoli individui. Le impronte digitali, il timbro della voce, la conformazione e i tratti del viso sono tutti dati biometrici, che vengono rilevati tramite videocamere, microfoni e algoritmi che vanno poi ad elaborarli e a confrontarli con altri.

Essendo così importanti e delicati, è dedicato loro un trattamento speciale all’interno delle normative per la tutela dei dati personali, e in alcuni casi ne è vietato l’utilizzo.

Tuttavia ciò accade soltanto in caso questi ultimi vengano sfruttati per “identificare in modo univoco una persona fisica”. E, in particolare, questo divieto decade qualora “l’interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche”.
I famosi Termini e condizioni che spesso accettiamo meccanicamente, senza leggerli, di cui parlavamo nel primo episodio.

Come sempre, non è nostra intenzione demonizzare l’uso della tecnologia e degli algoritmi in toto. Al contrario.
L’uso di tecnologie di riconoscimento facciale può, senza dubbio, avere dei vantaggi.
Facciamo qualche esempio pratico.

È in corso lo sviluppo di applicazioni, da usare in ambito medico, che sarebbero in grado di rilevare la presenza di malattie genetiche nei pazienti solamente analizzandone i tratti facciali attraverso delle fotografie.
Qualora il progetto andasse in porto, e venisse implementato all’interno di ospedali e studi medici, si avrebbe un risparmio considerevole di tempo, impiegato per riuscire a rilevare e diagnosticare la malattia, e di denaro, poiché non sarebbe più necessario effettuare, del tutto o almeno in parte, i tradizionali test medici.

Parliamo poi della sicurezza, che è tendenzialmente l’area in cui si parla maggiormente dei vantaggi dati dalle tecnologie di riconoscimento facciale. Pensiamo, “banalmente”, alla possibilità di essere gli unici a poter sbloccare il nostro smartphone o ad effettuare prelievi di denaro con le nostre carte.
Stesso discorso per quanto riguarda i controlli, ad esempio nelle stazioni e negli aeroporti, che possono essere effettuati in maniera non solo più rapida, ma anche senza doversi interfacciare con dei controllori “umani”. E mai come in periodo di Covid-19 abbiamo imparato quanto possa essere utile limitare il più possibile i contatti con altri individui.

Tuttavia, è proprio riguardo la sicurezza, e in particolare l’uso da parte delle autorità e delle forze di polizia, che le cose iniziano a farsi già più fumose in maniera evidente.

In Italia abbiamo il cosiddetto SARI, il Sistema Automatico di Riconoscimento delle Immagini, utilizzato dalla Polizia di Stato.
Ne avrete sentito parlare, forse, nel 2018, quando le autorità bresciane sarebbero state in grado di identificare e arrestare dei ladri proprio confrontando le immagini acquisite dalle telecamere di sorveglianza dell’appartamento svaligiato con le immagini già presenti nel software.
Utile.

Almeno, sulla carta.

In questo caso parliamo infatti di “identificazione” biometrica. Per capirci, laddove la cosiddetta “autenticazione” biometrica usa i nostri dati per rispondere alla domanda “sei davvero chi dici di essere?” – l’impronta digitale o i connotati del viso per sbloccare il nostro smartphone -, l’“identificazione” biometrica risponde piuttosto alla domanda “chi sei?”.

E il suo utilizzo è controverso.

Nel 2020 il giornalista Fabio Chiusi aveva fatto notare la poca (se non nulla) trasparenza riguardo il funzionamento di SARI. Come vengono acquisite le immagini che si trovano all’interno del software?
Come vengono elaborate?
Siamo sicuri che non possa essere utilizzato anche per altri scopi?
Ad esempio, schedare chi partecipa a delle manifestazioni di protesta?

E non stupisce che nel 2021 il Garante per la Privacy abbia giudicato parte del funzionamento di SARI – in particolare la funzione che consentirebbe l’acquisizione di informazioni e la “profilazione” in tempo reale – non conforme all’attuale normativa per la privacy.
Eppure è stato utilizzato per anni, raccogliendo solo fino al 2019 circa nove milioni di profili – sebbene anche riguardo questo numero ci sia stata ben poca trasparenza e un bel po’ di confusione, senza che sia chiaro come sia stato possibile.

Ulteriore aspetto non trascurabile, come fatto notare da Algorithm Watch, è che non bisogna cadere nella trappola di giudicare gli algoritmi che utilizzano il riconoscimento facciale come assolutamente infallibili. Al contrario, in molti casi sembrerebbero non solo poco accurati, ma anche “razzisti” (passateci il termine), restituendo una percentuale non trascurabile di falsi positivi quando si tratta di analizzare volti che non possiedono tratti caucasici.

Se ciò non bastasse per riconsiderare seriamente l’uso delle tecnologie di facial recognition, il pericolo, in fin dei conti, è e resta in ogni caso sempre lo stesso: la poca trasparenza riguardo chi ci osserva, quanto tempo terrà i nostri dati, come li utilizzerà e, non meno importante, se sia contemplata o meno l’ipotesi che le nostre informazioni possano essere cedute o vendute a terzi.
Tuttavia capite bene che in quest’ultimo caso non si tratta di un’app che utilizziamo e che ci ha avvisati (in maniera opaca e poco fruibile, certo, come ha fatto recentemente TikTok) della raccolta dei nostri dati biometrici e la nostra eventuale “schedatura”, bensì di qualcosa che davvero non possiamo controllare.

Senza contare infine che i dati biometrici, se conservati, possono comunque venire sottratti da dei malintenzionati. Immaginate il recente data breach di Facebook, con oltre 500milioni di nomi, cognomi, email e numeri di telefono degli utenti sono stati sottratti e postati online.
Immaginate qualcosa di simile, ma con le nostre impronte digitali, i connotati del viso, le nostre voci.
Qualcuno potrà obiettare che si tratta di un timore un po’ estremo, equiparabile al decidere di non uscire portando con sé il portafogli per timore che ci venga rubato.

È vero. Tuttavia, è un’eventualità reale e che in ogni caso va tenuta presente.

Anche perché è già successo.

La domanda che ci si pone adesso è: le tecnologie di riconoscimento facciale in grado di effettuare meccanismi di sorveglianza di massa, sono implementabili all’interno di una società democratica?
La risposta sembra essere scontata. No, non lo sono. Soprattutto allo stato attuale delle cose.

Lo abbiamo già accennato nel primo episodio, parlando delle proposte pubblicate sull’edizione 2020 dell’Automatic Society Report. In particolare, il terzo punto richiede esplicitamente la messa al bando di questo tipo di tecnologie.

Anche perché parliamoci chiaro: attualmente, non ci è quasi mai consentito prestare un consenso specifico alla raccolta dei nostri dati biometrici.

Il guaio è che, sebbene in un primo momento l’Unione Europea avesse effettivamente deciso, o comunque preso seriamente in considerazione l’idea di vietare i sistemi di identificazione biometrica da remoto nei luoghi pubblici, si è poi tirata indietro.

E paradossalmente, e ancora una volta come riportato da Algorithm Watch, le stesse FAQ compilate dalla Commissione Europea in materia ammettono che l’identificazione biometrica è la forma di riconoscimento facciale più intrusiva, al punto da renderla “proibita in linea di principio”.

La realtà, come stiamo avendo modo di vedere, è piuttosto diversa.