Secondo un’inchiesta di BuzzFeed News, sembrerebbe che agenti delle forze dell’ordine e delle autorità governative di almeno 24 Paesi si sarebbero serviti del programma di riconoscimento facciale Clearview AI senza l’autorizzazione dei superiori oppure a loro insaputa, sia per finalità investigative che per semplici test.
Inoltre, almeno 130 tra le 14.000 ricerche effettuate utilizzando il software in questione sarebbero state eseguite da personale della Polizia di Stato italiana. Eppure, nonostante le critiche, tutto ciò non sembra rappresentare una violazione della privacy.
La società produttrice ha offerto infatti un periodo di prova gratuita della durata di 30 giorni in occasione di incontri con le forze dell’ordine, presentando il proprio sistema di riconoscimento facciale come un prodotto mirato all’identificazione di pedofili e delle loro vittime.
In Europa, il software è stato presentato a una conferenza organizzata dalla EUROPOL in Olanda nell’ottobre del 2019, dopo la quale alcuni partecipanti hanno preso l’iniziativa di testarlo. All’appello risultano paesi come Francia, Spagna, Portogallo, Svezia, Olanda, Danimarca e, appunto, Italia.
Tale sistema funziona confrontando l’immagine di un volto, catturata per esempio da un agente di polizia, con un database di più di 3 miliardi di foto prese sul web grazie alla tecnica del data scraping, una raccolta dati automatica e, anche se non direttamente autorizzata, perfettamente legale, effettuata da software che spesso simulano le modalità di navigazione di un normale utente per aggirare eventuali misure di sicurezza poste in essere dal gestore dei contenuti.
Web scraping: cos’è, perché si usa e come difendersi da “intrusioni” indesiderate
Indice degli argomenti
Clearview AI e le ricerche in Italia
L’indagine ha rivelato l’esecuzione di alcune centinaia di ricerche da parte della Polizia di Stato italiana, che non ha però risposto alla richiesta di chiarimenti da parte dei giornalisti di BuzzFeed. Il deputato del Partito Democratico, Filippo Sensi, che già in passato si era occupato di intelligenza artificiale e di Clearview AI, ha presentato lo scorso 6 settembre un’interrogazione parlamentare al Ministro dell’Interno per sapere se appartenenti alle forze di polizia abbiano utilizzato o no questo programma, e se lo abbiano fatto senza autorizzazione (4/10137 : CAMERA – ITER ATTO).
Eppure, la Polizia ha già a disposizione e utilizza regolarmente dal 2018 un software di riconoscimento facciale sviluppato in Italia, il meno famoso Sari Enterprise. Per contro, però, l’Autorità Garante della Privacy ha ritenuto opportuno bloccare il Sari Real Time, un secondo software che fa parte del progetto riguardo l’uso del riconoscimento facciale a supporto delle attività di pubblica sicurezza del Viminale, in quanto “allo stato non sussiste una base giuridica idonea a consentire il trattamento dei dati biometrici” in oggetto (Parere sul sistema Sari Real Time – 25 marzo 2021 [9575877] – Garante Privacy).
La denuncia dei maggiori social network e le risposte di Clearview
Di fronte agli scandali suscitati da precedenti inchieste di BuzzFeed e New York Times, le principali piattaforme online quali Facebook, Twitter, Venmo, LinkedIn e YouTube hanno pubblicamente denunciato l’operato di Clearview AI.
I colossi del web, attraverso una “cease-and-desist letter” indirizzata alla startup hanno richiesto una immediata sospensione della raccolta di immagini dei propri utenti perché non in linea con le proprie policy aziendali.
Dinanzi a simili reazioni, i vertici dell’azienda Clearview AI hanno dichiarato che l’applicazione è stata creata per essere utilizzata dalle forze dell’ordine esclusivamente al fine di facilitare le ricerche investigative e, per tali ragioni, l’azienda non si ritiene responsabile dei possibili errori che gli agenti possono commettere tramite l’utilizzo della piattaforma. Il CEO Ton-That ha inoltre più volte ribadito come dietro le attività di Clearview AI non vi sia nulla di illecito: le immagini e le informazioni che l’applicazione acquisisce sono pubblicamente disponibili nel web e per tale ragione non necessitano di un consenso da parte dell’utente.
Clearview AI rispetta il GDPR?
La diffusione dell’utilizzo dell’applicazione sia da parte di enti privati che da parte delle forze di polizia ha generato nell’Unione Europea, dove Clearview AI deve fare i conti con una normativa comunitaria rigorosa, numerosi dibattiti circa la legalità delle funzioni della piattaforma.
Il Regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR) stabilisce, infatti, l’obbligo per le aziende di proteggere in qualsiasi modo i dati biometrici dei propri utenti e tutte le loro informazioni personali, e che vi sia un consenso informato da parte dell’interessato affinché questi dati possano essere trattati.
A tale riguardo, nel febbraio 2021, il Garante della privacy di Amburgo ha espressamente imposto alla startup di cancellare le informazioni di un cittadino tedesco, Matthias Marx, acquisite a sua insaputa.
Nonostante ciò, la decisione del Garante tedesco non ha imposto la cancellazione delle foto, ma semplicemente dei codici associati a ciascuna immagine che sono funzionali al riconoscimento facciale dell’individuo stesso.
Conclusioni
Senza dubbio, l’intelligenza artificiale fornisce e sempre più fornirà supporto e potenziamento alla gestione dell’ordine pubblico e della sicurezza nazionale.
Se non è dunque ipotizzabile l’esclusione dell’utilizzo del riconoscimento automatico dei dati biometrici da parte delle forze di polizia, è necessario che la discrezionalità sia contenuta e che si tenga sempre conto dell’approssimazione di qualsiasi misura basata sulle stime statistiche della corrispondenza tra confronti, come consigliato dall’Autorità Garante della Privacy italiana in occasione del parere contrario sul sistema Sari Real Time citato in precedenza.
I diritti dei cittadini dovrebbero essere stabiliti in modo chiaro e le condizioni d’uso rese esplicite e senza ambiguità da parte dell’azienda produttrice, ma anche gli Stati possono fare la propria parte.
L’obiettivo non deve essere la messa al bando di tali sistemi, fondamentali in molte indagini, ma una corretta regolamentazione. Lo Stato del Maine, per esempio, ha adottato di recente la legislazione più restrittiva degli Stati Uniti riguardo le tecnologie di riconoscimento facciale (LD 1585), che impedisce che un sospettato possa essere arrestato esclusivamente a causa del mero riconoscimento facciale.
Un ulteriore esempio è costituito da una proposta della Commissione Europea che ha l’obiettivo di armonizzare le legislazioni nazionali sull’uso dell’intelligenza artificiale e di garantire il riconoscimento facciale automatico in caso di necessità, come la ricerca di vittime o di autori di reati gravi.
In sintesi, non deve stupire che le forze dell’ordine facciano ricorso a sistemi di riconoscimento facciale durante le indagini.
Nonostante ciò, nell’era dell’IoT e dei social network, è necessario che l’impiego di tali software sia normato con un duplice scopo: tutelare la privacy degli interessati, impedendo che i dati biometrici siano utilizzati in modo irregolare, ma allo stesso tempo permettere alle Istituzioni di svolgere uno dei loro compiti più importanti, cioè proteggere i propri cittadini.
