Videosorveglianza, AI e riconoscimento facciale

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, CSO e DPO, membro del comitato tecnico-scientifico del CESPIS, Centro Studi Prevenzione, Investigazione e Sicurezza

Concludiamo in questo numero “for Dummies” lo spigoloso tema della videosorveglianza integrata da potenti algoritmi supportati dall’intelligenza artificiale (AI) con l’annessa, quanto delicata, questione della sicurezza dei dati raccolti e archiviati all’interno delle varie “nuvole” (cloud), sparse in vari territori UE, e ahinoi, molti ExtraUE.

Con la pubblicazione del nuovo paper, secondo il quale Bruxelles valuterà concretamente l’ipotesi di mettere in stand-by, per il prossimo quinquennio, l’impiego di alcuni sistemi di identificazione biometrica tramite la videosorveglianza intelligente presente nei luoghi pubblici dell’intera Unione, si potranno aprire scenari nuovi per le future tecnologie video. Una logica artificiale che interfaccerà sempre di più l’uomo alla macchina, dove gli algoritmi saranno sempre di più il tramite multiplo (giuridico, tecnologico, etico) del collegamento cyber, perché aggregando, analizzando milioni di dati istantaneamente, profileranno comportamenti preordinando scenari, monetizzando dati, minacciando pesantemente però la nostra libertà, con la loro “intelligenza di plastica”. 

AI e biometria

Non dimentichiamoci che negli ultimi venti anni la tecnologia è passata da un semplice codice numerico (PIN) ai lettori della geometria della mano, dalla lettura delle impronte digitali alla scansione dell’iride, sino ad arrivare, oggi, alla grande rivoluzione biometrica della geometria del volto e dei vasi. Infatti, un esempio su tutti è proprio rappresentato dalla mappatura dei vasi sanguigni, rilevata dalle termocamere, dalle quali poi, si estrapoleranno le immagini infrarosse (IR) (in buona sostanza i nostri dati biometrici), utilizzate per ricostruire la conformazione geometrica (informazione univoca) dei vasi interni al singolo volto umano; mappe (dati personali), queste, utilizzate come vere impronte digitali facciali, biologicamente uniche.

Proprio alla luce di questi propositi la Commissione europea avrebbe predisposto un dossier dove elenca tutte le criticità emerse fino ad oggi nel perimetro del riconoscimento facciale, affinché si possano valutare i rischi, adottando poi le adeguate contromisure, tanto dal punto di vista legislativo quanto da quello tecnologico, elaborando contestualmente delle linee guida di indirizzo a prevenzione degli abusi e le istruzioni obbligatorie da dettare agli addetti ai lavori (professionisti), ma sopratutto ai cittadini telesorvegliati.

5 ipotesi regolatorie

Un documento che preannuncia uno specifico quadro regolatorio su AI e videosorveglianza intelligente, che potrebbe includere un divieto temporaneo (scadenza 2027) sull’utilizzo di tale tecnologia; insomma, uno stop temporale all’interno del quale dovrà essere elaborata “una solida metodologia per valutare gli impatti di questa tecnologia e le possibili misure di gestione del rischio“; sul tavolo di lavoro sono state messe in discussione ben cinque opzioni possibili, dove nella prima ipotesi si parla di una generica compliance, ma esclusivamente su base volontaria (una sorta di bollino che garantirà o certificherà?), mentre in una seconda si opterà verso requisiti specifici, vincolandoli però alla sola pubblica amministrazione, adottando una sorta di directive on automated decision making, tenendo in debita considerazione il vincolo del Regolamento GDPR sul diritto a non essere soggetti a una decisione basata esclusivamente sull’elaborazione automatizzata, inclusa la profilazione. La terza opzione si fonda sui requisiti obbligatori impostati sui livelli di rischio, delineando quei settori cd sensibili, individuati nelle aree sanità, trasporti, autorità di polizia e giudiziaria; una quarta opzione è relativa alla tematica della governance, e su questo proposito si fa strada la creazione di un efficiente sistema di attuazione e controllo delle regole, mediante supervisione pubblica, coinvolgendo le singole autorità nazionali, mentre l’ultimo importante aspetto è relativo alle misure cyber (cloud) e alla responsabilità (trattamento), perché su questi due delicati temi potrebbero essere necessari specifici adeguamenti regolatori.

Software di riconoscimento facciale

Sappiamo bene come l’uso della videosorveglianza intelligente stia crescendo in maniera esponenziale, e non solo per finalità legate alla sicurezza, ma in ambiti sempre più disparati, come abbiamo già visto accadere nei centri commerciali, o nella GDO per profilarne la clientela. Chiudiamo con due esempi di scuola; nel 2018 la polizia di Stato australiana testò un software di riconoscimento facciale connesso a un sistema di videosorveglianza pubblica, indirizzato all’identificazione di alcuni target high profile; ebbene, il sistema è stato in grado di identificare solamente 5 delle 268 persone sorvegliate, un clamoroso flop che spinse ancor di più l’Australian Human Rights Commission (AHRC, agenzia governativa), a confermare l’inaffidabilità di questa tecnologia, insicura anche dal punto di vista degli attacchi hacker. In Francia, timori geograficamente opposti, ma simultaneamente identici: lo scorso anno un hacker impiegava poco più di un’ora per bucare una App istituzionale (con identificazione facciale) in uso alla messaggistica governativa, definita inviolabile.

Ma non sarà allora il caso di ascoltare bene chi se ne intende? “La sicurezza informatica sarà sempre una chimera finché esisterà il fattore umano, l’anello più debole della catena della sicurezza”, frase tratta dal libro “L’arte dell’inganno”, saggio scritto da Kevin Mitnick, considerato dal bureau statunitense (FBI) il miglior e più abile Hacker del mondo, il massimo esperto di tecniche di social engineering.