Google, i pedofili e la lettura delle mail
7 min letturaIl Telegraph racconta la vicenda di un cittadino di Houston arrestato grazie alla segnalazione di Google. L'azienda di Mountain View ha verificato la presenza di immagini illegali di una minorenne nell'account Gmail e lo ha segnalato al National Center for Missing & Exploited Children (NCMEC), ente che si occupa della lotta agli abusi sui minori. La segnalazione è stata passata alla polizia che ha arrestato per possesso e diffusione di immagini pedopornografiche l'uomo, il quale aveva precedenti di abusi su minori.
La vicenda ha sollevato numerosi interrogativi, in particolare in relazione al fatto che Google scansiona il contenuto delle mail. È giusto, anzi, è legale che Google “legga” le mail ? Fino a che punto Google si spinge in questa “lettura”? Quanto incide questo comportamento sull'esenzione di responsabilità dei provider?
In realtà noi sappiamo già da tempo che il contenuto delle mail viene scansionato automaticamente da Google al fine di presentare offerte commerciali al lato della pagina. È una lettura automatica realizzata al solo fine di presentare la pubblicità, e comunque è già consentita dagli utenti al momento di accettare le policy di servizio.
Non è una novità, anche molte altre aziende leggono il contenuto di ciò che passa per i loro server, a fini di profilazione pubblicitaria, per motivi di sicurezza, per filtrare lo spam e così via. Si tratta di scansioni automatiche per fini specifici, ovviamente indicati (in maniera più o meno chiara) nei termini di servizio. Nel caso in questione, però, la situazione appare differente.
Da tempo i grandi gestori di servizi online, al fine di scrollarsi da dosso le accuse di favorire le illegalità in rete, si sono adoperati per combattere la pedopornografia online. Il Regno Unito aveva chiesto espressamente ai provider di servizi online di dotarsi di filtri in grado di proteggere i minori, e così fecero per evitare che fossero bollati come intermediari per la pornografia minorile online (dopo le resistenze per l'Economy Act britannico, la bocciatura delle leggi SOPA e PIPA negli Usa e di ACTA dal Parlamento europeo, i governi sono rapidamente passati ad "imporre" alle aziende tecnologiche -provider- dei dialoghi pubblico-privato per l'applicazione di strumenti a fini di regolamentazione delle rete).
Il programma CyberTipline Child Victim Identification Program del NCMEC, già nel 2011 aveva nel suo database quasi 20 milioni di immagini e video di sospetti abusi sessuali su minori, ed è il NCMEC che gestisce direttamente l'identificazione delle immagini pedopornografiche. Le immagini che girano in rete generalmente sono duplicati di altre immagini, talvolta con lievi modifiche, per questo è possibile analizzare le immagini (e i video) per estrarne una “impronta” identificativa (hash) in modo da compararla con quella di altre immagini presenti in rete. Ed è il NCMEC che effettua l'estrazione dell'hash grazie al software photoDNA realizzato da Microsoft e donato all'ente. È sempre il NCMEC che fornisce gli hash alle varie aziende, tra le quali Google.
Quindi è l'NCMEC, che agisce insieme alle autorità di polizia, all'Fbi, ai servizi segreti, che stabilisce quali sono le immagini pedopornografiche o comunque illecite da rimuovere online, non certo Google o qualche azienda privata. Non c'è, quindi, il rischio che l'immagine di vostro figlio neonato che fa il bagnetto porti ad una denuncia se la inviate per mail alla nonna dall'altra parte del mondo.
Ovviamente non è solo Google a scansionare le immagini che passano per i propri server. Il software photoDNA è ormai utilizzato da tantissimi provider, tra i quali Facebook, Microsoft ovviamente, e Twitter, per svolgere il medesimo compito che svolge per Google, ed è utilizzato in Australia, Brasile, Nuova Zelanda, Belgio, Canada, Regno Unito, Stati Uniti ed anche in Italia (CETS Child Exploitation Tracking System).
Google, che già dal 2008 utilizza la tecnologia di hashing per identificare immagini pedoporno (a photoDna affianca filtri proprietari), si limita a comparare gli hash con le immagini che transitano sui suoi server, e nel caso di corrispondenza allerta il NCMEC. Infatti, i provider americani sono tenuti in base alle leggi federali a segnalare casi di pornografia minorile se rilevati sui propri server. Tecnicamente non si può nemmeno parlare di “lettura” del contenuto delle mail.
Ovviamente questo non ci rasserena, in quanto potrebbe sempre accadere che un domani Google, come gli altri provider, decida di scansionare i contenuti che transitano per i loro server al fine di ricercare altre violazioni delle leggi, oppure qualsiasi contenuto che in qualche modo sia per qualcuno pericoloso.
Il problema, quindi, si sposta su un altro piano. Finché, però, esistono le norme che non obbligano i provider al monitoraggio continuo dei loro server per verificare se vengono commesse violazioni tramite i loro servizi, finché restano in vigore le norme che prevedono l'esenzione di responsabilità dei provider per gli illeciti commessi dagli utenti tramite i loro servizi (come la direttiva e-commerce europea), è dannoso per le aziende “spiare” tutti i contenuti dei loro utenti. Perché, è ovvio, a nessuno fa piacere sentirsi continuamente spiato, e in conseguenza di ciò vi sarebbe una ovvia diaspora verso altri servizi più rispettosi della privacy. Infatti, da quando è venuto alla luce lo scandalo PRISM, cioè le intercettazioni a tappeto dell'NSA, i servizi online americani hanno perso tantissimi utenti (e quindi hanno subito riduzione di profitti, oltre a dover caricarsi i costi della sorveglianza digitale).
Il problema è che l'industria del copyright da anni chiede pressantemente che l'esenzione di responsabilità sia abbattuta, per introdurre una responsabilità secondaria dei provider per le violazioni online, e talvolta questa industria trova facile sponda in alcuni governi. Nel momento in cui tale diga crollerà, i provider inizieranno giocoforza a filtrare tutti i contenuti per non dover rispondere di eventuali illeciti. Ed è ovvio che la decisione su quali contenuti rimuovere poi sarà demandata alle aziende private. È questo il reale problema.
Rimane un dubbio, sollevato da Quintarelli, ma non è che Google sta progressivamente diventando una autorità sovranazionale? Il dubbio è legittimo, fosse anche solo per la considerazione che aziende come Google si muovono contemporaneamente in decine o centinaia di Stati diversi, e il loro fatturato è paragonabile o superiore a molti Stati. Ma del resto esistono numerose aziende (non tecnologiche) al mondo che hanno la capacità di dialogare alla pari con governi nazionali e addirittura di imporre regole lì dove gli interessa, anche più di Google stessa.
Google è una azienda, e come tale si preoccupa dei propri profitti. Ciò che li minaccia viene affrontato (e disinnescato), come la questione dei contenuti pedopornografici. Il Regno Unito ha chiesto (imposto) ai provider di introdurre dei filtri, e Google (e le altre aziende) lo hanno fatto. Meglio così che dover subire regole (norme) scelte dal governo britannico.
L'impressione, però, è che i governi attuali siano sempre più incapaci di gestire le problematiche transnazionali di Internet (basti pensare alla riforma privacy europea in stallo da oltre 2 anni), e quindi finiscano per demandare ai gestori di servizi online queste situazioni. Del resto invece di creare regole per la privacy, tanto per fare un esempio, non è molto più semplice sussumere direttamente le policy di una azienda come Google che già vengono applicate in centinaia di Stati e farle progressivamente diventare norme giuridiche? Se ci pensiamo è quello che già accade da tempo, molti utenti conoscono meglio le regole di YouTube piuttosto che le leggi in materia di diritto d'autore dello Stato nel quale vivono. Spesso quando si dialoga su ciò che lecito e ciò che non lo è, l'opinione pubblica fa riferimento alle policy dei servizi online. È un errore, giuridicamente parlando, perché una policy non è norma giuridica ed anzi è illegittima se in contrasto con una legge (le TOS sono dei contratti, quindi nulli se in contrasto con norme imperative), ma il ragionamento del pubblico è spesso -erroneamente- in questo senso.
E poi, la sentenza della Corte di Giustizia dell'Unione Europea che recentemente ha regolamentato il diritto all'oblio, in fondo non ha consegnato a Google la gestione di questo diritto, e il conseguente bilanciamento con il diritto dei cittadini ad essere correttamente informati? (la Corte Costituzionale italiana con la sentenza 16236 del 2010 ha sancito che il popolo può ritenersi "costituzionalmente ‘sovrano’ in quanto venga, al fine di un compiuto e incondizionato formarsi dell’opinione pubblica, senza limitazioni e restrizioni di alcun genere, pienamente informato di tutti i fatti, eventi e accadimenti valutabili come di interesse pubblico").
La sentenza della CGUE è, a ben vedere, una decisione che affida l'arbitraria valutazione del diritto all'oblio ad un soggetto privato, le cui valutazioni sono scarsamente trasparenti e non vi è il controllo di un soggetto terzo ed imparziale, con facili scadimenti in abusi o disparità di giudizio. E questo senza tenere conto che nel quadro attuale Google detiene oltre il 90% del mercato europeo dei motori di ricerca, ma in fondo esistono altri motori di ricerca e un domani la situazione potrebbe velocemente mutare. Pensiamo ad un utente che dovesse inviare le sue richieste di “oblio” a centinaia di motori di ricerca, e in ogni caso il contenuto rimarrà sempre online e visibile sui siti sorgente.
Allora, è Google che sta diventando una autorità sovranazionale, o forse sono i governi incapaci di rapportarsi con le nuove tecnologie e quindi preferiscono delegare questi problemi alle aziende private, che alla fine la rete la gestiscono?
E questo può essere un problema di non poco conto, considerato che un'azienda, nel momento in cui gli si delega l'applicazione di un diritto potrebbe decidere di operare in modo piuttosto sbrigativo (“quick and dirty fix”). Ad esempio ricordiamo il famoso caso di Morten Tobiassen, il quale aveva caricato sul suo account SkyDrive, lo spazio cloud di Microsoft, le foto del figlio nato da appena 3 ore, senza condividerle con nessuno. Ebbene la Microsoft chiese la cancellazione delle foto pena la soppressione dell'account, perché quelle foto, pur essendo del tutto legali, avrebbero potuto essere sottratte da un terzo ed utilizzate a fini di pedopornografia.
In Europa, per comprendere la situazione, la Commissione europea sarebbe intenzionata ad affidare ai privati la procedura di filtraggio dei contenuti pedopornografici e di responsabilizzazione dei bambini nella navigazione in rete (“to make the Internet a better place for kids”). È la Coalizione CEO.