Tag: Cybersicurezza

Categorie
Tecnologia

Intelligenza artificiale, i 10 punti ancora irrisolti del regolamento europeo

Author: Wired

Dopo anni di negoziati, entro il 2023 è prevista l’approvazione del regolamento dell’Unione europea sull’intelligenza artificiale. Ma su molti punti dell’Artificial Intelligence Act (Ai Act) ancora non c’è accordo. Il Consiglio europeo ha idee opposte a quelle del Parlamento sul riconoscimento facciale in tempo reale, mentre all’interno dello stesso Europarlamento ci sono posizioni contrastanti sui sistemi di identificazione delle emozioni. Wired ha parlato con Brando Benifei, correlatore dell’Ai Act per l’Europarlamento e con Patrick Breyer, europarlamentare del Partito pirata tedesco, per identificare i 10 punti più controversi, che saranno al centro dei negoziati del trilogo, ovvero le riunioni tra Parlamento, Consiglio e Commissione che dovranno trovare una mediazione.

  1. Riconoscimento facciale in tempo reale
  2. Analisi delle emozioni
  3. Poligrafi e macchine della verità
  4. Verifica di impatto sui diritti fondamentali
  5. Il social scoring
  6. Punteggio sociale “di fatto”
  7. Repressione di una società libera e diversa
  8. Rischio disinformazione con Chat GPT
  9. Rischio di sostenere regimi che usano l’Ai per la repressione
  10. Rischio di fermare un gran numero di innocenti (soprattutto tra migranti e minoranze)

Brando Benifei, Mattia Fantinati e Max Schrems al Wired Next Fest 2022 di FirenzeBrando Benifei al Wired Next Fest 2022: “Tra un anno avremo le regole sull’intelligenza artificiale”

Nell’incontro di Firenze si è parlato con Max Schrems e Mattia Fantinati dello stato dell’arte della legislazione europea in fatto di digitale e intelligenza artificiale

Riconoscimento facciale in tempo reale

I sistemi di sorveglianza che identificano le persone mentre camminano in luoghi pubblici, come quando salgono le scale di una metropolitana sono proibiti nel regolamento proposto dalla Commissione. Ma sono previste eccezioni – come la lotta al terrorismo e la ricerca di persone scomparse – che permetterebbero a un giudice di attivarli. “Nel sistema informativo degli stati in qualsiasi momento ci sono centinaia di migliaia di ricercati per terrorismo – sottolinea Breyer -. Probabilmente i tribunali ordinerebbero di identificarli e questo significherebbe sorveglianza di massa biometrica permanente”. “Non abbiamo dati che il riconoscimento facciale in tempo reale aiuti la sicurezza conferma Benifei -, ma sappiamo, invece, che crea problemi di sicurezza”. Il grosso dei gruppi politici dell’Europarlamento sono stati convinti dalla campagna Reclaim your face per un bando totale alla sorveglianza di massa, ma il Consiglio ha aggiunto la “sicurezza nazionaletra le eccezioni per il suo utilizzo.

Analisi delle emozioni 

L’analisi biometrica dei movimenti per l’identificazione delle emozioni non è vietata dall’Ai Act, ma solo qualificata come tecnologia “a rischio”. Significa che i sistemi che usano questa applicazione dell’intelligenza artificiale sono elencati in un allegato al regolamento (che dovrà essere periodicamente aggiornato) e sono soggetti a specifiche procedure di certificazione. “Per me il riconoscimento delle emozioni andrebbe vietato con la sola eccezione della ricerca medica – afferma Benifei – ma il Parlamento non ha una maggioranza su questo, perché liberali di destra (Ppe) e i conservatori, sono contrari a vietare queste tecnologie ritenendo che possano essere utilizzate per la sicurezza”.

article imageLa “macchina della verità” alle frontiere di cui l’Europa preferiva non parlare

Poligrafi e macchine della verità

Tra le tecnologie di analisi biometrica delle emozioni considerate a rischio ma non vietati dall’Ai Act ci sono prodotti che promettono di identificare chi si muove in modo pericoloso nella folla (ad esempio, chi lascia un bagaglio incustodito), e ci sono poligrafi, ovvero vere e proprie macchine della verità. Tra queste, il sistema Iborder: basato su un algoritmo che analizza i micro-movimenti del viso è stato sperimentato ai confini dell’Europa per identificare sospetti terroristi. Nonostante abbia fornito risposte sbagliate a chi lo ha testato, la sua sperimentazione è stata descritta come una storia di successo dalla Commissione europea.

Verifica di impatto sui diritti fondamentali

Oggetto di accesa discussione tra il Parlamento e il Consiglio è la verifica di impatto per gli utilizzatori di sistemi di intelligenza artificiale qualificati come ad alto rischio. “Attualmente il regolamento prevede solo una certificazione per i produttori di questi sistemi. Si tratta di auto-verifiche su qualità dei dati e rischi di discriminazione, su cui vigilerà l’autorità nazionale di ogni paese membro e l’ufficio europeo sull’intelligenza artificiale spiega Benifei -. Noi vogliamo inserire un ulteriore obbligo di controllo da parte degli utilizzatori, ovvero pubbliche amministrazioni e imprese che utilizzano questi sistemi, ma il Consiglio non prevede questo meccanismo”.

article imageAnche in Italia il Garante della privacy blocca la più controversa startup di riconoscimento facciale al mondo

L’Autorità multa Clearview AI con una sanzione da 20 milioni di euro e il divieto di raccogliere foto di persone italiane e cancellare quelli esistenti. Ad accendere il faro sulla società anche l’inchiesta condotta da Wired Italia

Il social scoring

L’utilizzo dell’intelligenza artificiale per dare punteggi alle persone in base al loro comportamento è vietato nella proposta di regolamento, con un’eccezione per le piccole imprese contenuta nella bozza approvata dal Consiglio, ma cancellata in quella di mediazione redatta dalla commissione Giustizia dell’Europarlamento: “È opportuno esentare i sistemi di Ai destinati alla valutazione dell’affidabilità creditizia e del merito creditizio nei casi in cui sono messi in servizio da microimprese o piccole imprese per uso proprio”. 

Punteggio sociale di fatto

C’è il rischio che le tecnologie di riconoscimento delle emozioni vengano utilizzate per controllare minoranze nelle stazioni ferroviarie e alle frontiere con i migranti, nelle carceri e anche negli eventi sportivi – aggiunge Breyer -. In tutti i luoghi dove queste tecnologie sono state già testate”. L’esponente del Partito pirata sottolinea poi che “molte delle telecamere utilizzate per la registrazione e il monitoraggio dei movimenti sono tecnicamente in grado di riconoscere i volti, soprattutto se si acquistano da produttori cinesi”. Inoltre, “sarebbe molto facile per le forze dell’ordine attivare la funzione del riconoscimento facciale”, anche se non permesso dalla normativa europea. 

Repressione di una società libera e diversa

Nonostante il divieto di dare crediti sociali, per Breyer esiste il pericolo che le informazioni provenienti da sistemi di riconoscimento delle emozioni finalizzate a ragioni di sicurezza, possano essere utilizzate per identificare chi si comporta in modo diverso dalla massa e costituire, di fatto, un sistema di credito sociale che reprime chi voglia adottare comportamenti diversi da quelli della massa, come partecipare a manifestazioni politiche. 

Rischio disinformazione con ChatGPT

Nella proposta di compromesso dell’Europarlamento, i contenuti generati dall’intelligenza artificiale che sembrano scritti da una persona, così come le immagini deepfake – sono soggetti a obbligo di trasparenza verso gli utenti. Si obbliga a informare gli utenti, durante il momento dell’esposizione al contenuto (chatbot o deepfake) che è stato generato da un algoritmo. “Questo obbligo di trasparenza è previsto nella bozza dell’Europarlamento ma non nella posizione del Consiglio“, sottolinea Benifei.

fumettiLe risposte di ChatGPT e delle altre intelligenze artificiali sono piene di pregiudizi

Da Google Translate a Character.AI fino a Chatsonic, i sistemi di deep learning addestrati per conversare non riescono fare a meno di ripetere i più classici stereotipi, nonostante le premure dei programmatori

Rischio di sostenere regimi che usano l’Ai per la repressione

L’Iran ha annunciato di utilizzare il riconoscimento facciale per segnalare le donne che non indossano correttamente il velo, la Russia per identificare le persone da arrestare. L’utilizzo di questa tecnologia su larga scala in Europa, porterebbe le aziende a rafforzarne la produzione e questo avrebbe un impatto anche su regimi autoritari fuori dal continente”, avverte Breyer.

Rischio di fermare un gran numero di innocenti

Anche se le tecnologie di riconoscimento facciale raggiungono un’accuratezza del 99%, quando sono applicate su migliaia di persone, rischiano di identificare un numero enorme di cittadini innocenti – ricorda Breyer -. Uno studio dell’Istituto nazionale per la standardizzazione della tecnologia degli Stati Uniti ha rilevato la scarsa attendibilità di molte tecnologie di riconoscimento facciale biometrico sul mercato quando si tratta di persone non bianche – evidenzia l’europarlamentare -, probabilmente perché i dati di addestramento dell’algoritmo erano viziati: queste tecnologie tendono a essere utilizzate in zone con alti tassi di criminalità, dove vivono principalmente minoranze etniche”.

Categorie
Tecnologia

Apple, il nuovo e insidioso bug scoperto su iOs e macOs

Author: Wired

Da anni Apple rafforza i sistemi di sicurezza dei suoi dispostivi. A riprova del fatto che nessuna azienda è però immune dai problemi, una nuova ricerca ha rivelato l’esistenza di una nuova classe di bug in grado di colpire i sistemi operativi di Apple per iPhone e Mac che, se sfruttati, potrebbero consentire a un malintenzionato di raccogliere messaggi, foto e la cronologia delle chiamate degli utenti.

Il 21 febbraio i ricercatori dell’Advanced research center della società di sicurezza Trellix hanno pubblicato un rapporto relativo a un bug che potrebbe consentire ai criminali informatici di eludere le protezioni di sicurezza di Apple e impartire i loro comandi illeciti. Il team dell’azienda riporta che le falle, classificate come di gravità medio-alta, permettono di aggirare le protezioni messe in campo da Apple per proteggere gli utenti.

L’aspetto chiave è che le vulnerabilità infrangono il modello di sicurezza di Apple a un livello fondamentale“, afferma Doug McKee, direttore della ricerca sulle vulnerabilità di Trellix. McKee sottolinea che alla luce della scoperta della nuova classe di bug, i ricercatori e Apple saranno potenzialmente in grado di scovare vulnerabilità simili e migliorare le protezioni di sicurezza della società. Apple ha già corretto i bug rilevati da Trellix e non ci sono prove che le vulnerabilità siano state sfruttate.

Le scoperte di Trellix si basano su un precedente lavoro di Google e Citizen Lab, un ente di ricerca della University of Toronto. Nel 2021 le due organizzazioni avevano scoperto ForcedEntry, un exploit zero-click e zero-day per iOs, collegato al produttore israeliano di spyware Nso Group. (l’exploit, descritto come molto sofisticato, era stato trovato sull’iPhone di un attivista saudita e utilizzato per installare il malware Pegasus di Nso).

L’analisi di ForcedEntry ha permesso di capire che l’exploit era diviso in due parti. Nella prima, si induce un iPhone ad aprire un file pdf dannoso camuffato da gif, mentre la seconda componente consente agli aggressori di eludere la sandbox di Apple, un meccanismo che impedisce alle app di accedere ai dati memorizzati da altre app o ad altre parti del dispositivo. La ricerca di Trellix, condotta dal ricercatore Austin Emmitt, si concentra su questa seconda parte e ha sfruttato le falle per aggirare la sandbox.

Categorie
Tecnologia

16 anni l’età minima per iscriversi ai social network: la proposta

Author: Wired

Sette proposte per rendere il web un luogo virtuale più sicuro per i minorenni. È il pacchetto di misure che il 6 e il 7 febbraio scorsi, in occasione del Safer Internet Day, ricorrenza annuale istituita dalla Commissione europea per promuovere un uso consapevole della rete, il Telefono Azzurro ha presentato nell’aula dei gruppi parlamentari della Camera.

Il progetto, che come priorità ha identificato l’innalzamento dagli attuali quattordici ai 16 anni della cosiddetta età di connessione, nasce con l’obiettivo di tutelare i diritti dei bambini e degli adolescenti. “Sono – ha spiegato il presidente della onlus Ernesto Caffo – gli stessi ragazzi a chiederlo”. Ecco perché occorre “sensibilizzare – ha aggiunto – non solo l’opinione pubblica, ma anche i legislatori affinché adottino misure di maggiore tutela del minore che naviga sul web e utilizza i social network”.

Il Telefono Azzurro ha proposto al governo di rendere “invalidi” i contratti conclusi dai minori di sedici anni con i fornitori dei servizi delle società di informazione e di obbligare questi ultimi a verificare l’età dell’utente all’atto del perfezionamento del contratto stesso. La onlus ha inoltre invitato l’esecutivo a limitare la possibilità di manifestare il consenso al trattamento dei propri dati solo ai maggiori di 16 anni.

In materia di sextorsion, il Telefono Azzurro suggerisce di rafforzare il potere del garante della privacy. Questa particolare forma di estorsione si verifica quando alla vittima viene richiesto il pagamento di una somma di denaro sotto la minaccia di diffusione di video o immagini vere o presunte che la ritraggono in pose o atteggiamenti sessualmente espliciti

Le altre proposte della onlus riguardano poi il potenziamento del servizio del 114, Emergenza infanzia, attraverso la previsione del “contatto di emergenza in app” e l’introduzione dell’educazione civica digitale e di una nuova governance dell’agenda digitale dei bambini.

article imageI problemi della legge francese per vietare ai minori l’accesso ai siti porno

Il governo vuole introdurre nuovi meccanismi per verificare l’identità. Che comportano grossi rischi per la privacy degli utenti in rete

La posizione del governo

Le richieste dell’associazione presieduta da Caffo hanno trovato il pieno appoggio del governo. “La tutela dell’infanzia e dell’adolescenza rispetto al mondo digitale – ha infatti affermato nel corso dell’evento il viceministro del Lavoro e delle Politiche sociali Maria Teresa Bellucciè certamente una priorità di questo esecutivo”. 

Troviamo – ha aggiunto – che ci debbano essere una responsabilità e una consapevolezza della responsabilità a tutti i livelli: a livello istituzionale; a livello delle piattaforme, che devono essere sempre più capaci di introdurre dei sistemi di misurazione dell’età; a livello della scuola, che deve formare ed educare per fare in modo che le nuove generazioni che vivono in un mondo digitale possano vedere in quel mondo un luogo delle opportunità e non di malessere e devianza“. 

Categorie
Tecnologia

Cybersecurity, al via gli allenamenti per le Olimpiadi nazionali

Author: Wired

È stata inaugurata oggi, in presenza a Torino, la prima giornata dei Training Camp del Cybersecurity National Lab: un’iniziativa rivolta ai giovani ragazzi e ragazze degli istituti superiori di secondo grado che hanno superato la prima fase di ammissione di OliCyber, le Olimpiadi nazionali di sicurezza informatica. Il raduno, primo di tre che si svolgeranno tra gennaio e febbraio in tutta Italia, è la grande novità della terza edizione di OliCyber, che intende offrire a 360 ragazzi l’opportunità di aderire a uno speciale percorso di formazione in vista delle selezioni territoriali che stabiliranno chi può competere alle Olimpiadi vere e proprie, la cui finale si terrà il 27 maggio. 

I camp (due a Torino e uno a Salerno) sono organizzati in collaborazione con la Fondazione Serics e si fregiano dello speciale patrocinio del Garante per la protezione dei dati personali e dell’Agenzia per la cybersicurezza nazionale (Acn). I manager e gli esperti dell’Agenzia per la cybersicurezza nazionale, provenienti dalle aree specializzate in threat intelligence e gestione incidenti dello Csirt Italia (Computer Security Incident Response Team) prenderanno parte attivamente all’addestramento degli allievi, affiancando i membri del TeamItaly, la nazionale italiana dei cyberdefender, e i vincitori delle gare nazionali di CyberChallenge.IT, il programma nazionale di formazione in cybersicurezza considerato un’eccellenza a livello europeo.

Ciascun camp si svolgerà nell’arco di 6 giornate, dal lunedì al sabato e prevede 40 ore di formazione valevoli come Pcto (Percorsi per le Competenze Trasversali e l’Orientamento), durante le quali gli allievi avranno l’opportunità di affrontare simulazioni e addestramenti specifici nel campo della sicurezza informatica, perfezionando così le proprie capacità di attacco e difesa cibernetica. 

Inaugurata nel 2021, OliCyber non è solo una competizione rivolta ai più brillanti talenti informatici nella fascia 14-19 anni, ma una vera e propria opportunità di formazione avanzata nel campo della cybersicurezza, l’unica in Italia rivolta a ragazzi e ragazze tanto giovani. Le adesioni per l’edizione 2023 sono state più di 4.000, con un’importante crescita tra le ragazze iscritte (+296% dall’anno precedente) e una distribuzione omogenea tra nord e sud Italia. 

“Confidiamo che la novità dei camp contribuisca ad arricchire OliCyber e l’esperienza dei giovani partecipanti ai programmi di formazione”, ha commentato Gaspare Ferraro, coordinatore nazionale di OliCyber: “Di certo sarà un’esperienza unica – come sempre quando si permette a tanti giovani di stare insieme anche al di fuori del reame cibernetico – e contiamo che il contatto diretto con gli esperti dell’ACN possa rendere ancora più memorabile quest’occasione di arricchimento professionale e umano”. 

OliCyber fa parte – insieme a CyberTrials e CyberChallenge.IT (le cui iscrizioni sono ancora aperte fino al 2 febbraio – del Big Game: la filiera di formazione sulla cybersicurezza del Laboratorio, in collaborazione con la Fondazione SERICS, che si inserisce all’interno del Piano di Implementazione della Strategia Nazionale di Cybersicurezza (2022-2026). Ma del grande gioco fa parte anche CyberHighSchools: una rete di scuole e docenti nella quale non solo gli studenti, ma anche professoresse e professori hanno accesso a corsi avanzati e di aggiornamento. 

Categorie
Tecnologia

Pedopornografia online in aumento in Italia

Author: Wired

“Segnalo un sito di pornografia illegale. Recitava così una segnalazione arrivata intorno alla metà di novembre su WiredLeaks, la piattaforma di Wired che consente di comunicare in modo anonimo con la redazione. Illegale perché, come è stato possibile verificare, il portale in questione conteneva pedopornografia.

La segnalazione riportava un link .onion, ovvero ospitato nel dark web e raggiungibile solo attraverso browser come Tor, che per ovvie ragioni non riportiamo (non aggiunge nulla al nostro articolo e non vogliamo che abusi siano perpetrati) e che la redazione ha immediatamente segnalato alla Polizia postale. Al segnalante è stato chiesto di spiegare come sia entrato in possesso di questo collegamento, con l’obiettivo di poter provare a fare luce su come si diffonda la pedopornografia in rete. A oggi, però, non ci sono stati riscontri da parte sua. Con l’aiuto dei dati delle forze dell’ordine Wired ha cercato di quantificare la diffusione della pedopornografia online.

Il fenomeno della pedopornografia online

A occuparsi del contrasto a questo fenomeno è il Centro nazionale per il contrasto alla pedopornografia online (Cncpo) della Polizia postale. Organismo che, nel corso del 2022, si è occupato di 4.542 casi, che hanno consentito di indagare 1.463 soggetti, dei quali 149 sono stati arrestati. Un dato, quest’ultimo, in crescita dell’8% rispetto all’anno precedente. Sul fronte dell’attività di prevenzione del fenomeno della pedopornografia online, il Cncpo ha visionato 25.696 siti. Di questi, 2.622 sono stati inseriti in black list e quindi oscurati, in quanto presentavano contenuti pedopornografici. In entrambi i casi, si tratta di un incremento del 3% rispetto ai numeri fatti registrare nel corso del 2021.

La fine della fase acuta della pandemia e delle restrizioni alle libertà personali introdotte per contrastarla, si legge nella nota con cui la Polizia postale ha fornito i dati a Wired, ha fatto rilevare una riduzione della circolazione globale di materiale pedopornografico sui circuiti internazionali”. Il fatto che viaggino meno in rete, non significa però che questi materiali abbiano smesso di circolare. La conferma, appunto, dall’aumento “dei soggetti individuati e deferiti per violazioni connesse ad abusi in danno di minori.

Sono 424 i casi di adescamento online registrati dalla Polizia postale. La fascia più interessata è quella tra i 10 e i 13 anni, nella quale si concentra il 54% delle vittime. Preoccupa, invece, “il lento incremento dei casi relativi a bambini di età inferiore ai 9 anni adescati”. Un trend “diventato più consistente a partire dalla pandemia” e che vede come luogo di incontro tra minori e molestatori più frequenti i social network e i videogiochi. Prova, questa, del fatto che “il rischio si concretizza con maggiore probabilità quando i bambini e i ragazzi si esprimono con spensieratezza e fiducia, nei linguaggi e nei comportamenti tipici della loro età”.

Le indagini 

L’infografica che segue racconta le 12 più importanti operazioni di contrasto alla pedopornografia online condotte dalla Polizia postale e conclusesi lo scorso anno. Oltre ad indicare il numero di persone arrestate o denunciate, mette in luce quali siano le piattaforme attraverso le quali avveniva lo scambio di materiale pedopornografico. Il nome di fianco ad ogni simbolo è quello della relativa operazione.

L’operazione che ha portato al più alto numero di arresti si chiama Green Ocean, è stata condotta dalla Polizia postale di Palermo su alcune piattaforme di file sharing e di messaggistica. In carcere sono finite 13 persone, sul computer di una delle quali sono stati trovati file che “hanno messo in luce l’esistenza di abusi fisici in danno di due minori, all’epoca dei fatti dell’età di 2 e 3 anni.