Ma Apple non diceva "privacy first"? La privacy degli utenti è a rischio oin nome di altre priorità.

Per tutelare i minori Apple vuole azzerare i fondamentali della privacy degli utenti

«La privacy degli utenti è in cima ai nostri pensieri». Questo è stato il ‘claim’ ricorrente delle ultime campagne Apple nonché il cuore di molte delle loro strategie di digital marketing.

Peccato che ora – in nome della protezione dei minori e per la limitazione della diffusione di materiale pedopornografico – la casa americana vogli introdurre un sistema di monitoraggio automatico capace di controllare le immagini personali degli utenti per scovare foto e video illegali che azzera proprio i fondamentali di quella privacy.

 

Apple ha da poco annunciato di voler di aggiungere una funzione di scansione che si applicherà a tutte le foto mentre vengono caricate sul Cloud, per controllare se corrispondono a un campione di riferimento contenuto nel database gestito dal National Center for Missing & Exploited Children.
Scansionerà anche tutte le immagini di iMessage, inviate o ricevute da account indicati come in uso ai minorenni, alla ricerca di materiale sessualmente esplicito.
È anche previsto un sistema parallelo per allertare i genitori nel momento in cui un minore riceva o invii materiale esplicito.

«Vogliamo aiutare a proteggere i bambini dai predatori che utilizzano strumenti di comunicazione per reclutarli e sfruttarli e limitare la diffusione di materiale sugli abusi sessuali su minori», scrive la società. È quindi probabile che questa novità venga introdotta entro la fine dell’anno, in un aggiornamento per iOS 15, iPadOS 15, watchOS 8 e macOS Monterey.

Minori e privacy degli utenti

Da Cupertino affermano che tutto ciò verrà fatto tenendo in considerazione la privacy degli utenti. «Anziché scansionare le immagini nel cloud, il sistema cercherà la corrispondenza sul dispositivo utilizzando un database di hash di immagini fornite da varie organizzazioni per la sicurezza dei minori», dicono. «Apple trasformerà ulteriormente questo database in un insieme illeggibile di hash che verrà archiviato in modo sicuro sui dispositivi degli utenti».

Senza nulla togliere alla bontà del proposito, si tratta comunque di un sofisticato sistema di sorveglianza di massa sulle implicazioni del quale l’utente non ha in realtà il ben che minimo controllo e tanto meno reale contezza. Una sorta baratro che si apre nella privacy degli utenti. Perché lo stesso sistema, potenzialmente, può venire riconfigurato all’occorenza per segnalare ben altri contenuti: da quelli terroristici a quelli antigovernativi, in relazione a comportamenti sediziosi fino a ricercare possibili ‘reati di opinione’.

Questa scelta rischia di presentare alla fine un conto salato alla privacy degli utenti. Apple può spiegare fin che vuole come la sua implementazione tecnica sarà garantirà tanto quanto lo sarà la sicurezza della backdoor utilizzata per lo scopo, ma alla fine anche una backdoor ben documentata, attentamente controllata e con policy di utilizzo ferree rimane pur sempre una backdoor. Cioè un un metodo nascosto, per superare la normale autenticazione in un sistema informatico.

Il pericolo lo si intuisce facilmente. Apple, più o meno volontariamente, può finire per mettere nelle mani dei governi e delle loro polizie, ovunque nel mondo, uno strumento dalle molteplici implicazioni. Affiancandogli per giunta un canale di sorveglianza sofisticatissimo e al contempo ricondigurabile.

Inoltre, va considerato che – se Apple lo fa – è altrettanto lecito pensare che ciò possa finire per aumentare la pressione dei governi sulle altre aziende del settore che si vedrebbero così costrette a seguirne l’esempio per non subire penalizzazioni.

Matthew Green, professore di crittografia alla Johns Hopkins University, scrive: «Non importa scoprire se Apple abbia ragione o torto. Tutto questo romperà la diga: i governi lo richiederanno a tutti. E quando scopriremo che è stato un errore, sarà troppo tardi».
Green aggiunge che Apple sembra stia approcciando la cosa limitandosi a ‘valutare’ foto non E2E (end-to-end, cioè crittografate) e che quindi è presumibile che non intenda danneggiare la privacy degli utenti, ma c’è da chiedersi perché qualcuno dovrebbe sviluppare un sistema come questo se anche la scansione delle foto E2E non fosse l’obiettivo. Per non dimenticare come questi sistemi si basino su database di “hash multimediali problematici” che non possono essere esaminati.

Va precisato, e non è un mistero, che già adesso vi sono diversi Paesi (tra cui gli USA e l’India) che spingono per ottenere libero accesso o suppergiù alla vita digitale dei propri cittadini in nome della sicurezza. Altrove, come in Cina, questi sistemi sono già operativi, e proprio grazie all’iniziativa presa della stessa Apple per garantirsi quote di mercato o agevolazioni commerciali.

 

Privacy degli utenti, una backdoor dentro iMessage?

 

Come funzionerà il neuralMatch

Quasi tutti i maggiori social media e le soluzioni di archiviazione in cloud già eseguono delle routine per l’identificazione di possibile materiale pedopornografico depositato sui propri cloud.
La differenza fondamentale introdotta dal sistema di Apple attraverso i prossimi aggiornamenti (iOS 15, iPadOS 15, watchOS 8 e macOS Monterey) è che agirà direttamente sul dispositivo, scansionando attivamente la libreria dei contenuti per trovare correlazioni con il materiale di riferimento contenuto in un database governativo. Inizialmente il progetto partirà solo negli Usa per poi venire esportato ovunque se ne faccia richiesta.

L’azienda californiana chiama il suo algoritmo di monitoraggio neuralMatch, un chiaro riferimento alle reti neurali.
Si tratta di una tecnica di machine learning per cui un’intelligenza artificiale impara autonomamente a distinguere e correlare le immagini addestrandosi su banche dati immense, per poi operare decisioni anche su materiale mai visto prima (le applicazioni più note sono nella sorveglianza pubblica e nel riconoscimento facciale). In questo caso, il sistema si è addestrato su un archivio di oltre 200.000 immagini di abusi sessuali raccolte da alcune Ong americane, tra cui – come detto – il National Center for Missing and Exploited Children (Centro nazionale per i bambini scomparsi e sfruttati, ndr).

La meccanica di funzionamento ed i suoi codici sono tuttavia riservati: le fotografie e i video personali degli utenti vengono trasformati in stringhe numeriche attraverso un processo detto hashing, e il confronto con il database governativo avviene sulla base di questi codici, già salvati preventivamente su ogni dispositivo in ‘forma cieca’. Ogni foto (o video) verrà marcata come sospetta o meno finché, raggiunta una data soglia di materiale sospetto, Apple consentirà a un team di analisti umani di decrittarlo. Solo allora, se a seguito di una valutazione umana l’équipe lo riterrà illegale, il tutto verrà inviato alle autorità assieme alle informazioni dell’account. Non solo…

Apple ha anche elaborato una tecnica per monitorare attivamente le conversazioni private sulla propria applicazione di messaggistica. Senza che Apple possa accedervi e solo se il dispositivo appartiene ad un minore. Se il/la giovane riceve un contenuto che il sistema segnala come sessualmente esplicito, lo vedrà sfocato assieme a una serie di avvertimenti e spiegazioni. Se deciderà di visualizzarlo per intero, i genitori riceveranno un avviso. Idem se il minore decide di mandare materiale esplicito anche dopo un avvertimento (“sei sicuro/a?”) del sistema. Infine, ultimo ma non meno importante, a tutti gli utenti verranno inviati avvertimenti e link di supporto se avvieranno una ricerca web utilizzando parole-chiave associabili alla pedopornografia.

 

privacy matter 1600x792 1

 

Standard crittografico vanificato dalla backdoor

Per quanto la cosa possa apparire buona e giusta, occorre valutare l’aspetto tecnologico e quindi il rischio potenziale di un falso riscontro positivo. Potrebbe – per esempio – accadere che foto assolutamente legittime e private di un utente vengano prelevate e spedite al governo.
Apple garantisce che queste possibilità di errore siano infinitesimali: “meno di una su mille miliardi all’anno“. Ben comprendendo le ragioni un’affermazione come questa, ci si dovrebbe tuttavia concentrare sulle reti neurali e sulla loro tendenza (dimostrata più e più volte) di risultare tanto meno precise quanto più il materiale all’esame diverge da quelli di riferimento contenuti nei database. Senza entrare troppo nei dettagli, basti sapere che negli Usa questi software hanno già portato all’arresto erroneo di persone di colore (un esempio sono i vari casi collegati a Clearview AI, che fornisce alle forze dell’ordine software di riconoscimento facciale).

Inoltre, l’implementazione di una backdoor per il monitoraggio attivo dei messaggi vanifica lo standard industriale per cui le comunicazioni private, ad oggi, sono end-to-end encrypted (cioè crittografate). Senza girarci tanto intorno, il meccanismo che consentirà ad Apple di scansionare le immagini in iMessage non è un’alternativa a una backdoor, è esso stesso una backdoor. La scansione dal lato del cliente della comunicazione viola la sicurezza della trasmissione. Informare una terza parte (il genitore) del contenuto della comunicazione mina la privacy degli utenti. Le organizzazioni di tutto il mondo stanno mettendo in guardia gli utenti contro la possibilità che vengano compiute queste scansioni, perché la cosa potrebbe venire utilizzata da governi e aziende per controllare il contenuto delle comunicazioni private.

A prescindere dalle buone intenzioni (la tutela dei minori) e sorvolando sul fatto che ogni cittadino verrebbe monitorato alla stregua di un sospettato criminale senza presunzione di innocenza, lo strumento in sé potrebbe trasformarsi in uno qualcosa di potenzialmente devastante, specie se messo nelle mani di uno Stato autocratico, ma altrettanto pericoloso (e illegittimo) in un ambiente democratico. Perché il database un domani potrebbe essere espanso secondo le volontà delle autorità e diventare un sistema efficientissimo di profilazione di massa.

Ripercussioni potenzialmente orwelliane

Già si parla di espandere gli attuali database americani per comprendere contenuti relativi al terrorismo, come ad esempio i video di decapitazioni, ma vale la pena ricordare che la definizione di terrorismo sta ai governi. Basta guardare alla Russia e alla Bielorussia per vedere come l’assoluta discrezionalità di questa capacità di definizione possa venire rivolta contro i dissidenti e gli attivisti politici.
Sarah Jamie Lewis, una valente ricercatrice, ha definito l’aggiornamento di Apple un “effetto Rubicone per la privacy degli utenti e la crittografia end-to-end”. «Quanto tempo si può immaginare che passi prima che il database venga ampliato per includere contenuti definibili come terroristici? Contenuti dannosi ma legali? Censura statale? Sono terreni scivolosi, ma se si guarda oltre la china pare di vedere come i governi di tutto il mondo li stiano rendendo ancora più insidiosi mentre Apple, ora, sta spingendo i suoi clienti oltre quel limite», aggiunge la Lewis.

In nome di un giusto fine si sta compiendo un passo indietro rispetto alla possibilità di intrusione delle autorità nella vita privata dei cittadini, pur con tutte le rassicurazioni e con ripercussioni potenzialmente orwelliane. Considerando che misure del genere sono allo studio anche in Europa, è opportuno che il confine tra privacy e sicurezza venga tracciato e deciso anche in virtù di un dibattito pubblico.

Sino ad oggi l’idea che Apple sia un azienda che si preoccupa della privacy degli utenti le ha portato buona stampa e soprattutto la fiducia dei consumatori. Va però ricordato che Apple è anche la stessa azienda che ha abbandonato il piano per la crittografia dei backup dopo che l’FBI si è lamentato, piegandosi alla pressione governativa.
Pur supponendo che Apple possa essere mossa dalle migliori intenzioni, non solo sta infrangendo le promesse di sicurezza e privacy degli utenti che sin qui hanno contraddistinto la sua politica, ma sta anche invitando gli utenti a fare affidamento sui propri governi suggerendo che non abuseranno di questo potenziale accesso ai loro dati personali; eventualità che non mostra affatto di avere una ragguardevole casistica di riscontri positivi.
Come dice l’EFF (l’organizzazione internazionale non profit di avvocati e legali rivolta alla tutela dei diritti digitali e della libertà di parola nel contesto dell’odierna era digitale), ciò che Apple sta facendo non è solo implementare una applicazione dalla valenza borderline, ma un sistema ben progettato che aspetta solo di ricevere una pressione esterna per innescare un effetto domino.

Comments are closed.