Apple, i controlli sulla pedopornografia e i rischi per la privacy

A partire da iOS 15 e iPadOS 15, l’azienda di Cupertino potrà verificare la presenza di materiale pedopornografico nelle foto degli utenti. Una decisione che secondo attivisti e ricercatori rappresenta un pericoloso precedente

5 minuti di lettura

Apple ha annunciato due nuove funzioni software per la protezione dei minori che verranno attivate più avanti quest’anno su iOS 15, iPadOS 15, watchOS 8 e macOS Monterey.
Nell’ambito di un piano di estensione delle protezioni dei minori, i sistemi operativi della Mela saranno in grado di rilevare l’invio di materiale a sfondo sessuale su Messaggi e potranno verificare la presenza di contenuti pedopornografici all’interno della libreria di foto dell’utente. Il tutto, dicono da Apple, avverrà nel rispetto della privacy grazie a sistemi avanzati di verifica basati sull’Intelligenza Artificiale. La decisione ha però attirato le veementi critiche di attivisti e ricercatori, secondo cui le funzioni introdotte da Apple sono da considerarsi come uno strumento pericoloso, che i governi autoritari potranno sfruttare per fini assai meno nobili. 


Messaggi e i contenuti pornografici
Una delle due novità operative annunciate da Apple riguarda l’app  Messaggi. A partire dai prossimi aggiornamenti di sistema, i genitori potranno attivare sull’iPhone dei figli minorenni una funzione che rileva lo scambio di materiale pornografico tramite l’app di messaggistica. 

“Quando questo tipo di contenuti viene ricevuto, la foto apparirà sfocata e il bambino verrà avvisato, gli verranno indicate risorse utili sul tema e verrà rassicurato che non ci sono problemi se non vorrà vedere quella foto ”, spiega Apple. “Come precauzione aggiuntiva, al bambino potrà anche essere comunicato che, per la sua sicurezza, i genitori verranno avvisati con un messaggio se visualizzerà la foto”. 

La funzione rientrerà fra i controlli parentali di iPhone, iPad e Mac e potrà essere attivata o disattivata dai genitori. Apple assicura che il controllo dei contenuti avverrà tramite un algoritmo di machine learning installato direttamente sul dispositivo, senza che alcun dato o contenuto venga inviato ai server Apple. 

Nuovi livelli di controllo
L’intenzione è chiara: fornire ai genitori nuovi strumenti di controllo, per evitare così che i più piccoli possano essere esposti a contenuti non adatti alla loro età. O peggio, che i sistemi di messaggistica sicura degli iPhone possano essere utilizzati da predatori sessuali per circuirli. 

Come fa notare la Electronic Frontier Foundation, però, la scelta di Apple è un vulnus irrimediabile nella narrativa di marketing che descrive Messaggi come una delle piattaforme di messaggistica più sicure e private sul mercato. 

“Dal momento che il rilevamento di una immagine sessualmente esplicita utilizzerà l'apprendimento automatico sul dispositivo per analizzare il contenuto dei messaggi, Apple non sarà più in grado di dire onestamente che Messaggi utilizza la crittografia end-to-end (quella in cui solo mittente e ricevente possono conoscere il contenuto del messaggio, nda)”, dicono dalla EFF. “Apple può sostenere che la scansione prima o dopo che un messaggio sia criptato o decriptato mantiene intatta la promessa di una crittografia end-to-end, ma sarebbe una manovra semantica per coprire uno spostamento enorme nella posizione della società sul tema della crittografia forte.”

 

I controlli sulle foto contro la pedopornografia
Fra le due protezioni software annunciate da Apple quella che ha fatto più discutere è però un’altra. Sempre a partire dai prossimi aggiornamenti software, l’azienda di Cupertino sarà in grado di scansionare le foto caricate su iCloud Photos per individuare contenuti di natura pedopornografica. Apple asserisce di aver sviluppato un sistema capace di rilevare i contenuti problematici senza compromettere la privacy degli utenti.
Il sistema non effettuerà infatti una scansione delle foto online, bensì controllerà tutte le foto presenti sui dispositivi raffrontandole con i database di contenuti pedopornografici forniti dal National Center for Missing and Exploited Children (NCMEC) e da altri enti americani per la protezione dei minori. La ricerca della corrispondenza non avverrà comparando le immagini stesse, bensì i loro “hash”, cioè codici alfanumerici derivati dal file sulla base del contenuto ed elaborati ulteriormente da Apple a partire dai database delle autorità.
“Prima che l’immagine venga caricata su iCloud Photos, viene eseguito un processo di matching sul dispositivo per verificare la corrispondenza dell’immagine con gli hash noti”, spiega Apple.
Una tecnologia crittografica chiamata “private set intersection” consente inoltre di effettuare questa operazione senza che l’eventuale corrispondenza venga rivelata. Un nuovo codice viene generato in caso di contenuto positivo, e caricato su iCloud assieme alle foto. A questo punto Apple utilizza ancora un’altra tecnologia per verificare solo gli account che dovessero superare una certa soglia di codici di allarme. In quel caso, e solo allora, i contenuti indicati come problematici verranno verificati manualmente da un umano, e in caso di positività l’account dell’utente verrà bloccato e partirà una segnalazione al NCMEC. 

Un’arma impropria per i governi autoritari
Apple assicura che un utente a questo punto può comunque fare ricorso se pensa che il suo account sia stato bloccato per sbaglio. Inoltre, dicono da Cupertino, grazie a queste tecnologie, il rischio di “flaggare” un account per errore ha una probabilità inferiore a uno su un miliardo di miliardi. Precisazioni che non bastano a rassicurare e a sciogliere i dubbi su una tecnologia che potrebbe essere usata in maniera impropria. Le nuove funzioni per ora saranno disponibili infatti soltanto negli Stati Uniti, infatti, ma nulla vieta a paesi autoritari come la Cina o l’Arabia Saudita, in cui Apple è attiva nel rispetto delle leggi locali, di imporre l’utilizzo degli stessi sistemi per scoprire chi condivide, rispettivamente, foto delle proteste di Piazza Tienanmen, oppure contenuti LGBTQ. Se Apple è infatti in grado di riconoscere le immagini pedopornografiche a partire da una lista di hash, non c’è alcuna ragione per cui il sistema non dovrebbe funzionare con un database di foto qualsiasi.

L’esistenza e l’implementazione di questa tecnologia, dunque, è essa stessa l’unica conferma di cui un governo autoritario ha bisogno per costringere Apple a verificare i contenuti degli utenti su iPhone e iPad. A quel punto l’azienda di Cupertino avrà solo due opzioni: opporsi all’uso della tecnologia a fini di controllo, con il rischio di perdere l’accesso a un intero mercato, oppure ottemperare alla richiesta del governo autoritario di turno e farsi controllore di eventuali contenuti ritenuti eversivi. 

Rimane irrisolto anche il problema dei falsi positivi. La rassicurazione di Apple secondo cui la tecnologia ha una probabilità di errore di uno su un miliardo di miliardi è un’affermazione vuota, se non suffragata dalla completa trasparenza sulla tecnologia utilizzata. Il fatto che l’algoritmo di machine learning utilizzato per verificare le corrispondenze delle immagini non sia pubblico né pubblicamente verificabile è un problema. I casi di falsi positivi legati all’uso improprio di tecnologie di controllo e verifica basate sull’AI sono troppi perché Apple possa cavarsela in questo caso con un semplice “fidatevi di noi”. 

 

Il perché di queste scelte
Le ragioni dietro la scelta di Apple di introdurre queste nuove funzioni non sono chiare. Soprattutto non è chiaro perché l’azienda tecnologica che più di ogni altra ha fatto della privacy uno dei propri pilastri valoriali e di marketing abbia deciso di implementare soluzioni così controverse. La difesa dei minori dagli abusi a sfondo sessuale è un’operazione encomiabile e necessaria, ma è di solito anche una facile giustificazione di facciata per l’introduzione di regolamenti e leggi liberticide da parte di governi autoritari. Che proprio Apple colleghi a questo tipo di tematiche una revisione delle proprie posizioni sulla privacy non è dunque un buon segno.

L’impressione è che Apple abbia ceduto in parte alle crescenti pressioni di chi vorrebbe trovare un modo per indebolire i sistemi di comunicazione basati sulla crittografia. È una tentazione comune non solo per i governi autoritari, ma anche per molte democrazie occidentali, inclusi i paesi europei. Queste nuove funzioni a protezione dei minori hanno tutta l’aria di un compromesso: anziché opporre un muro contro muro alle richieste anti-privacy e anti-crittografia di attori governativi e istituzionali, Apple ha ceduto a proprio modo creando sistemi di controllo che non compromettano del tutto la sicurezza e la privatezza della propria piattaforma. Il rischio, altrimenti, era quello di andare incontro a regolamentazioni più stringenti che avrebbero potuto compromettere la natura stessa dell’ecosistema sicuro della Mela. 

È l’unica spiegazione logica che si può trovare a una decisione che, da ovunque la si guardi, intacca l’immagine pubblica di Apple come azienda paladina della privatezza dei dati. A Cupertino, siamo sicuri, sono perfettamente consapevoli del rischio d’immagine correlato a questa decisione. Come è possibile infatti che la stessa Apple che si è opposta strenuamente all’implementazione di una backdoor per rendere meno sicuri gli iPhone, arrivando allo scontro istituzionale con l’FBI, ora accetti di buon grado di implementare un sistema contro la pedopornografia che di fatto si può equiparare a una backdoor sotto mentite spoglie? Con questa posizione Apple sta ammettendo che c’è un limite alla privatezza dell’individuo, e che esistono crimini per i quali si può pensare di indebolire le protezioni crittografiche di un sistema altrimenti efficacissimo. Il fatto che un sistema crittografico possa difendere gli attivisti per i diritti civili e i giornalisti come nascondere le malefatte di spacciatori e pedofili è da sempre la contraddizione profonda di una posizione radicale a difesa della privacy e della crittografia nelle comunicazioni private. 

La domanda, difficilissima, è questa: per catturare un pedofilo, è giusto mettere a rischio la privatezza dei dati di milioni di altri individui, rendendo possibile un controllo capillare da parte dei governi e delle autorità? La risposta di Apple finora era stata no, tanto da rifiutare lo sblocco dell’iPhone di un terrorista dichiarato, ma forse a Cupertino hanno cambiato idea. È una posizione comprensibile, adeguata ai cambiamenti della società e alle pressioni dei governi, ma che inevitabilmente renderà meno credibili tutte le altre affermazioni, dichiarazioni e funzioni software pro-privacy di Apple. Renderà un po’ meno credibile anche Tim Cook e tutti gli altri dirigenti della Mela quando proveranno a dirci ancora una volta che, secondo loro, la privatezza dei dati e delle comunicazioni è un diritto inalienabile e fondamentale dell’uomo.