Panopticon Cloud (ep.3)

giannigatti6561,

Dal blog lospiegone@substack.com

Lo Spiegone mag 31

sorveglianza, privacy e diritti nell’era di Internet, intervista a Riccardo Apa (Privacy Network) – Estera, TecnoLeviatano #12

Nel primo numero di Panopticon Cloud, abbiamo introdotto la vasta tematica della sorveglianza digitale nel mondo moderno. Nel secondo abbiamo analizzato nel dettaglio la crittografia, con un caso studio che ne ha ripercorso la storia, l’utilità sociale e la situazione attuale nell’ambito dei servizi offerti (o rimossi) delle BigTehc. In questo numero conclusivo chiudiamo la serie di “Estera – TecnoLeviatano” con un’intervista a Riccardo Apa, studioso laureato in giurisprudenza che si occupa di sorveglianza e tutela dei diritti digitali all’interno di Privacy Network, associazione del terzo settore attiva nella difesa dei diritti fondamentali nell’ambito delle nuove tecnologie. All’interno dell’organizzazione segue principalmente le tematiche legate al rapporto tra cittadini, autorità e sistemi di sorveglianza, con un approccio di natura giuridica.

Inizierei partendo da uno dei punti già di per sé più spinosi, ma che getta le basi per il dibattito sull’uso e la regolamentazione delle nuove tecnologie: quello relativo al consenso libero e informato. È un concetto che viene utilizzato spesso in sede di negoziato e di contrattazione con le Big Tech. A tuo giudizio, il concetto di consenso libero e informato è qualcosa che effettivamente esiste e viene praticato, o è piuttosto un ideale normativo al quale si tende, ma che poi nella realtà è difficile da attuare.
Bisogna fare una distinzione importante: una cosa è il consenso previsto dal GDPR, un’altra è l’accettazione di termini e condizioni. Molto spesso, nel rapporto con Big Tech e piattaforme digitali, non stiamo davvero “consentendo” al trattamento dei dati in senso giuridico: stiamo semplicemente aderendo a un contratto imposto dal servizio.Il problema di fondo è lo squilibrio contrattuale. È una dinamica che esiste anche in altri ambiti, come nei rapporti tra consumatori e banche, ma che con le piattaforme digitali si amplifica enormemente.
Per questo non basta scaricare tutta la responsabilità sull’utente: quando un modello di business produce effetti socialmente dannosi, dovrebbero intervenire Stato e autorità pubbliche, vietando a monte determinate pratiche, indipendentemente dal fatto che l’utente abbia cliccato “accetto”.Un esempio sono le clausole vessatorie: a un certo punto si è riconosciuto che certi squilibri contrattuali non potevano essere lasciati alla libera negoziazione tra le parti.
Lo stesso principio dovrebbe valere anche per l’economia dei dati.Il GDPR nasce proprio da questa impostazione. Supera l’idea del dato personale come semplice bene commerciale e lo considera invece un’estensione dell’identità della persona. Il punto centrale non è “vendere” i propri dati, ma mantenere controllo e tutele sul loro utilizzo.
Oggi però questo principio entra in conflitto con il modello economico dominante del digitale, basato sul data broking: raccolta massiva di dati, profilazione, inferenze e rivendita a terzi. Quando accettiamo cookie o utilizziamo i social network, i nostri dati iniziano a circolare in modo opaco e ne perdiamo rapidamente il controllo.
Il consenso libero e informato si scontra quindi con due limiti principali: da un lato informative lunghe e incomprensibili, che portano gli utenti ad accettare tutto pur di accedere al servizio; dall’altro modelli di business che dipendono strutturalmente dall’estrazione dei dati e che difficilmente rinunceranno spontaneamente a queste pratiche.
Se il test su Facebook “Quale principessa Disney sei?” costasse 5 euro, nessuno lo farebbe; lo si fa perché è “gratis”, ma lo si paga con i dati.
A questo si aggiunge una cultura tecnologica che spinge gli utenti a cercare soltanto lo strumento più comodo, senza interrogarsi su cosa accada “dietro” software e piattaforme. Esistono alternative etiche e basate sul software libero, ma la maggior parte delle persone cresce già all’interno dell’ecosistema delle Big Tech, senza sapere davvero che potrebbero esistere altri modelli.

Hai parlato del fatto che esiste un numero ristretto di aziende, tendenzialmente non europee, che offrono una quantità enorme di prodotti e servizi in settori chiave civili, amministrativi e persino militari.Abbiamo quindi due elementi: da un lato il ruolo di gatekeeping di questi soggetti, dall’altro la loro extraterritorialità, visto che rispondono alla giurisdizione statunitense, regolata da norme molto diverse dalle nostre. In che modo questi due elementi influenzano il rispetto della privacy individuale e la protezione dei dati in Europa? Come pesano all’interno dei negoziati?
La prima osservazione è quasi banale: siamo in una situazione di dipendenza strutturale per quanto riguarda le infrastrutture. Dipendiamo quasi interamente dagli Stati Uniti. Non puoi pensare di regolamentare in maniera forte un fenomeno se il controllo dell’infrastruttura è in mano a qualcun altro.
L’azienda forte ha sempre il coltello dalla parte del manico e può dirti: “Se la tua legge non mi piace, io faccio comunque quello che voglio o, al limite, ti stacco il cloud e ti spengo i server”. Di fronte a questo potere di ricatto, la legge diventa uno strumento spuntato.In Europa ci siamo vantati per anni di essere all’avanguardia sul piano normativo.
Molti sostengono che abbiamo un eccesso di burocrazia che blocca innovazione e investimenti, impedendo la nascita di azienda europee. Io non sono affatto d’accordo. Mancano gli investimenti strutturali, la formazione, la capacità degli Stati di trattenere i talenti e la volontà politica di investire in soluzioni proprie.
La Francia sta provando a fare da apripista adottando Linux o testando piattaforme sovrane nella Pubblica Amministrazione, ma sono ancora tentativi troppo timidi. Quando mancano le competenze interne, ci si rivolge inevitabilmente al privato americano.Inoltre, la nostra legislazione ha un difetto: è spesso performativa.
Ci preoccupiamo di scrivere la legge, ma raramente ci occupiamo di come applicarla concretamente. Si va avanti a colpi di sanzioni e multe, ma manca l’applicazione sistematica. Questo si inserisce in una più ampia crisi delle istituzioni e della rappresentanza.
Le istituzioni hanno perso la volontà di ascoltare la società civile. Gli interlocutori principali di chi scrive le leggi sono i lobbisti delle grandi aziende.Report recenti mostrano che gli investimenti in lobbying delle Big Tech hanno superato persino quelli del settore farmaceutico.
Se parli solo con i giganti del mercato, produrrai leggi che fanno comodo a loro: norme che magari introducono adempimenti burocratici fastidiosi, ma che non scardinano il sistema, tanto al massimo si paga una multa… che per loro è ordinaria amministrazione.Infine, quest’anno stiamo assistendo a un’inversione di tendenza verso la deregolamentazione. Si inizia a dire che abbiamo fatto troppe regole e che bisogna allentare la presa.
Ma a chiederlo sono gli stessi che producono sistemi ad alto rischio e che vogliono immettere prodotti sul mercato senza assumersene le responsabilità

Vorrei applicare queste riflessioni al caso Palantir, ottimo esempio per due motivi. Il primo è la dipendenza strutturale in settori ipersensibili: persino la Francia, che spinge per l’autonomia digitale, nell’intelligence si affida pesantemente a Palantir, dimostrando come nella sicurezza nazionale i fardelli pratici siano difficili da superare. Il secondo riguarda l’efficacia delle norme UE su tecnologie in continua evoluzione: come si pone il caso Palantir rispetto a regolamenti come l’AI Act, che vieta alcune pratiche ma concede ampie eccezioni proprio all’intelligence e alla polizia predittiva?
Sul caso Palantir si può ragionare su più livelli. La prima considerazione di base è che in Italia e in Europa scontiamo una profonda ipocrisia sul tema della gestione della sicurezza. Sulla carta difendiamo la privacy, ma poi nei settori strategici ci affidiamo tranquillamente a privati che compiono operazioni contrarie alla nostra impostazione costituzionale.
Nel secondo dopoguerra, le istituzioni europee avevano impostato il rapporto tra cittadini e autorità sulla limitazione dei poteri della polizia.
Era un’impostazione logica per quel momento storico. Oggi, però, questa tutela esiste quasi solo sulla carta.
Se guardiamo l’AI Act, si nota chiaramente come l’eccezione della “sicurezza nazionale” legittimi qualsiasi cosa.
Si definiscono parametri rigidi, ma poi si aggiunge una clausola d’eccezione talmente sfumata che permette alle autorità di fare ciò che vogliono.Più che un’anomalia tollerata, io la definirei una falla strutturale del sistema, che ormai è stata normalizzata. Stiamo assistendo a un’inversione radicale della prospettiva giuridica: l’impostazione costituzionale classica prevede che lo Stato si interessi a un cittadino solo se c’è il forte sospetto o l’evidenza che abbia commesso un reato.
La pratica odierna della sorveglianza digitale prevede invece l’accumulo preventivo e massivo di dati (”rastrelliamo tutto, poi vedremo chi è innocente e chi no”).
In questo modo crolla il principio della presunzione di innocenza.
A questo si somma l’efficacia del lobbying di aziende come Palantir, che si presentano ai governi dicendo: “Avete un problema di sicurezza, noi ve lo risolviamo con la nostra intelligence”. Poco importa se questi sistemi siano davvero efficaci; nel settore degli appalti pubblici i risultati reali si possono nascondere o manipolare per anni.
Anche sul fronte delle agenzie europee siamo poco tutelati. Il caso recente di Europol lo dimostra: è emersa l’esistenza di un vero e proprio “database ombra” gestito al di fuori delle regole e dei controlli, contenente dati massivi di cittadini non indagati. Banalmente, una violazione macroscopica del GDPR.
Abbiamo recentemente pubblicato un report sul riconoscimento facciale in Italia, confrontandolo con altre realtà europee. I dati mostrano che le polizie europee compiono regolarmente gravi violazioni delle linee guida della Corte di Giustizia UE. Avere splendide leggi sulla carta non serve a nulla se mancano l’organo e la volontà di attuarle.

Negli anni ‘90, con le prime Crypto Wars, la crittografia è diventata di uso civile, ma il vero salto è avvenuto post-Snowden, quando WhatsApp ha integrato il protocollo di Signal, trasformando uno strumento di nicchia nello standard per miliardi di persone. Oggi la sensazione è opposta: ci sono forti spinte regolatorie mondiali che, con il pretesto di contrastare la pedopornografia o tutelare i minori, implicano un indebolimento della crittografia. La crittografia è il vero terreno di scontro, un proxy, del nostro approccio alla sorveglianza di massa?
Assolutamente sì, la crittografia è la battaglia del momento. Il dibattito europeo sulla proposta di regolamento nota come Chat Control riflette lo scontro più ampio sul tema della riservatezza. La retorica securitaria sostiene che la riservatezza sia un ostacolo insormontabile per le indagini di polizia e che quindi i cittadini debbano rinunciare a questo scudo protettivo.
Si fa leva su argomenti fortemente emotivi e polarizzanti, come il terrorismo o l’abuso sui minori. Nessuno mette in dubbio la gravità di questi fenomeni, ma è l’approccio tecnico a essere sbagliato. Ad esempio, non si vede lo stesso accanimento politico contro la crittografia quando si parla di reati altrettanto gravi e diffusi, come la violenza di genere, il revenge porn o i deep fake.
Come evidenziato anche dalla ricercatrice Silvia Semenzin, le piattaforme spesso non collaborano con la polizia nei casi di stalking, eppure lì il dibattito non esplode con la stessa violenza politica.
Questo dimostra che determinati temi vengono usati come grimaldello emotivo per rendere accettabile la sorveglianza di massa.
C’è un problema tecnico che la politica ignora: la matematica non ammette eccezioni politiche. Se crei una chiave di accesso speciale per lo Stato, quella stessa difesa viene abbassata per tutti. Un sistema crittografico indebolito espone i cittadini ad attacchi di criminali informatici, attori statali ostili, phishing e spionaggio industriale.
Se approvassimo il controllo totale, cosa succederebbe in ambito aziendale?
Dubito che i manager accetterebbero canali di comunicazione aziendali completamente in chiaro, dove chiunque potrebbe intercettare i segreti industriali.Inoltre, va smontata la narrazione secondo cui la crittografia è ciò che permette il reato. Telegram, per dire, non ha la crittografia end-to-end attiva di default nelle chat normali, eppure è finita al centro delle polemiche. Le forze dell’ordine hanno già moltissimi strumenti legali e tecnici per indagare senza distruggere la sicurezza della rete: possono sequestrare fisicamente i dispositivi (e una volta sbloccato l’hardware la crittografia non serve a nulla), possono usare trojan di Stato (spyware) o fare attività di intelligence mirata.

Misure come l’Online Safety Act nel Regno Unito, che propongono l’accesso obbligatorio o la condivisione dei manuali hardware con la polizia, minano alla base la sicurezza collettiva. Tra l’altro, i legislatori non hanno mai presentato statistiche scientifiche a supporto delle loro tesi. Non abbiamo mai visto dati che dicano: “Su 100 processi, l’80% è fallito perché non abbiamo potuto leggere le chat a causa della crittografia end-to-end”. È un discorso puramente ideologico sul potere. La crittografia è, a tutti gli effetti, il proxy della nostra battaglia per la sopravvivenza della riservatezza.

Vorrei portarti un argomento che viene puntualmente citato in ogni dibattito sulla privacy: la classica obiezione “Se non hai nulla da nascondere, non hai nulla da temere”
. È un cavallo di battaglia estremamente criticato, eppure continua a essere sollevato anche da persone di alto livello intellettuale. Dal tuo punto di vista, qual è la risposta più efficace a questa obiezione?
La risposta magica e definitiva purtroppo non la conosciamo, visto che anni di attivismo non sono bastati a eradicare questo cliché. Io di solito rispondo su più livelli.
Quello più immediato e terra-terra consiste nello smontare l’ipocrisia individuale. A chi dice di non aver nulla da nascondere, basta chiedere: “Ma tu le hai le tende in casa? Mi daresti il pin della tua carta di credito, la cronologia clinica dei tuoi familiari o i dettagli della tua vita sessuale?”. Nella vita analogica tutti proteggiamo la nostra sfera intima per una questione di sani rapporti umani; è solo online che perdiamo il valore della riservatezza.
Il livello più complesso e importante, tuttavia, riguarda la dimensione collettiva. Il problema non è cosa hai da nascondere come singolo, ma l’enorme asimmetria di potere che si crea nel sistema se un unico soggetto sa tutto di tutti.
Chi detiene questa mole di dati può fare estrazioni, inferenze e profilazioni per manipolare il comportamento di massa.
Se un algoritmo rileva che sei un soggetto con tendenze al gioco d’azzardo e decide di bersagliarti con annunci di scommesse nel momento esatto della giornata in cui rileva che sei psicologicamente più vulnerabile, questo è accettabile?
Questo è un tema sistemico, non individuale.Se chi è al potere sa tutto di tutti, la democrazia si irrigidisce: diventa facilissimo soffocare il dissenso, prevenire le critiche e bloccare qualsiasi cambiamento dei valori sociali.
I regimi totalitari del Novecento non avevano il digitale, ma cercavano il controllo capillare proprio per questo motivo. Se elimini la riservatezza, l’unica valvola di sfogo del dissenso rischia di diventare la violenza, perché mancano gli spazi protetti per organizzare l’opposizione politica.
È come l’alimentazione: io nel mio piccolo posso essere libero di mangiare cibo spazzatura ogni giorno, ma se l’intera società mangia solo cibo spazzatura e non fa sport, il sistema sanitario nazionale crolla. L’impatto va oltre il singolo.Infine, ricordiamoci sempre che ciò che c’è “da nascondere” varia nel tempo e nello spazio. Un comportamento perfettamente legale oggi può diventare illegale domani a causa di un cambio di governo o di legislazione. Pensiamo agli Stati Uniti: fino a pochi anni fa, prima della cancellazione della sentenza Roe v. Wade, una donna che cercava informazioni sull’aborto online non doveva nascondersi dalle autorità.
Oggi, in alcuni Stati, quelle stesse ricerche digitali possono essere usate come prove in un processo penale. O pensa alla forte censura e profilazione che stiamo vedendo negli ultimi anni sul conflitto israelo-palestinese rispetto a cinque anni fa. La privacy serve a proteggerci dai futuri abusi di chi detiene il potere.
Su queste note un po’ pessimistiche, vorrei concludere invece con qualcosa di positivo. Cosa si dovrebbe fare, secondo te e secondo Privacy Network, per avanzare verso una società digitale che sia quanto più etica e sicura possibile? Quali sono le leve politiche e sociali sulle quali agire nell’immediato e quali i prossimi step desiderabili?

Il punto fondamentale da cui partire è la conoscenza e la comprensione profonda dei fenomeni. Gran parte del lavoro che facciamo come Privacy Network sul riconoscimento facciale o sugli abusi della polizia è puramente divulgativo.
Senza un dibattito informato da parte della società civile non si va da nessuna parte, e quel dibattito oggi è impedito dall’analfabetismo digitale. Tutti parlano di Intelligenza Artificiale, ma quasi nessuno sa che quei sistemi possono essere intrinsecamente discriminatori a causa dei bias nei dati di addestramento, o che si basano sullo sfruttamento del lavoro sottopagato nei paesi del sud del mondo. Comprendere la realtà è necessario per poter pretendere il cambiamento.
Non possiamo delegare le scelte etiche a una nicchia di esperti che fanno lobby di segno opposto davanti alle istituzioni, né possiamo accettare che le regole calino paternalisticamente dall’alto. Serve una spinta di massa, che però richiede consapevolezza.
Per questo ringrazio te e chiunque faccia divulgazione seria: più si parla di questi temi, più si creano opinioni informate. L’importante è confrontarsi su dati reali e costruzioni logiche, non su slogan emotivi.La seconda grande leva è la volontà delle istituzioni di affrancarsi dagli interessi delle Big Tech, aprendo i processi decisionali alla cittadinanza. Lo vediamo sul digitale, ma anche sulla transizione ambientale o sul welfare: la società civile viene costantemente ignorata a favore dei grandi gruppi industriali.
Non possiamo aspettarci un cambio di paradigma etico spontaneo da aziende il cui unico obiettivo è il profitto.
Se un chatbot produce profitti ma genera materiale dannoso, o se addestrare un modello in Kenya calpesta i diritti dei lavoratori, l’azienda continuerà a farlo finché non ci sarà un’istituzione forte che lo impedirà.
La nota positiva con cui voglio chiudere è che, nonostante i tentativi di appiattire la partecipazione politica e spingere le persone verso l’individualismo, notiamo una grandissima fame di comprensione dal basso. Ogni volta che organizziamo eventi collettivi o usciamo con le nostre newsletter, riceviamo una quantità enorme di domande concrete.Stanno emergendo nuove forme di informazione e di partecipazione politica orizzontale. La richiesta dei cittadini c’è, ed è forte. Bisogna vedere se le istituzioni, oltre al terzo settore e a testate indipendenti, avranno finalmente la voglia di condividere strumenti, informazioni e valori per costruire una vera democrazia digitale. Ma la base di partenza c’è, ed è un ottimo segnale per il futuro.
Avatar di Sconosciuto

Pubblicato da giannigatti6561

Lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.