LA MANIPOLAZIONE DELLA POLITICA NEI SISTEMI DEMOCRATICI ATTRAVERSO IL WEB: IL RUSSIAGATE E CAMBRIDGE ANALYTICA [1]

di Cristiana Era

 

Come è ormai evidente a tutti, la trasformazione di internet in una intera dimensione quale lo spazio cibernetico e ancor più la sua “trasfigurazione” nella iperconnessione – l’internet delle cose – ha rivoluzionato e condizionato il mondo tradizionale e le sue relazioni. E lo ha fatto nel giro di pochi anni. I cambiamenti sono tanti ed hanno ripercussioni in quasi ogni settore della nostra vita, inclusa la sfera politica. Quali sono, dunque, gli effetti nostro sistema democratico? L’iperconnessione, le nuove tecnologie, hanno migliorato la nostra consapevolezza di cittadini e facilitato la nostra partecipazione al dibattito sulla res publica? La democrazia online è vera democrazia? Dare una risposta non è facile, ma si può tentare attraverso l’analisi di un case study a cui si è già accennato nei numeri precedenti di CSA: Russiagate e Cambridge Analytica.

 

Occorre, tuttavia, soffermarsi innanzitutto su alcuni cambiamenti che sono sotto gli occhi di tutti ma sui quali spesso ci si limita alla citazione senza considerarli elementi portanti di una analisi. Punto primo: il modo di socializzare nell’era post-industriale è radicalmente cambiato, non solo fra i giovanissimi ma anche nelle generazioni precedenti. Nel giro di poco più di un decennio si è passati da una società reale ad una società virtuale. Quest’ultima ha facilitato, ovviamente, la iperconnessione anche fra individui: è più facile incontrarsi, elimina le barriere fisiche come il tempo e lo spazio. Soprattutto il tempo. Si interagisce di più perché non si deve uscire di casa, prendere un mezzo e fisicamente spostarsi per incontrarsi. Con qualche click possiamo chiedere l’amicizia o il collegamento ad un numero imprecisato di persone sui social network, avviare un dibattito online, ecc. Nel mondo virtuale l’interazione fisica del mondo reale è – eventualmente – una fase successiva, che potrebbe anche non avvenire.

 

Punto secondo: informazione e comunicazione. E qui c’è da fare un distinguo, comunicare ed informare non sono la stessa cosa. In democrazia l’informazione è, in linea teorica, una descrizione di fatti senza omissioni, senza commenti ed opinioni, sia di natura politica che personale, e che deve seguire la linea delle famose 5W dello stile anglosassone: Who, What, When, Where, Why (chi, cosa, quando, dove e perché). Ed è gestita da organi di informazione riconosciuti che controllano – o meglio, dovrebbero controllare – sia l’attendibilità delle fonti che la correttezza dei dati. La comunicazione, al contrario, è la veicolazione di un messaggio specifico che può essere di varia natura: la pubblicità è un esempio di comunicazione ma non è informazione; così come i comunicati stampa e i siti istituzionali o aziendali fanno parte della comunicazione. Rientrano in questa categoria anche propaganda, disinformazione e manipolazione dei dati. L’elaborazione dei messaggi è generalmente affidata agli uffici stampa che hanno il compito di promuovere gli obiettivi dell’ente di riferimento – pubblico o privato che sia – e lo fanno attraverso strategie di comunicazione che non fanno leva sull’esaustività e imparzialità di fatti e dati, ma bensì sulle criticità e vulnerabilità di quelli che nelle comunicazioni operative (nuovo nome per PsyOps – Psychological Operations) vengono definiti “target audience”, i destinatari di una analisi mirata ad individuarne bisogni e criticità. Per poi agire sui medesimi e influenzarli in base agli obiettivi prefissati.

 

Si è voluto accennare alla comunicazione e alla comunicazione operativa perché questo aspetto è fondamentale nello scandalo Russiagate La campagna presidenziale americana del 2016 rappresenta con tutta probabilità il primo esempio di campagna politica e più in generale di politica virtuale che si affianca e addirittura si sovrappone a quella reale, fatta con metodi diciamo “classici” (comizi di piazza, banchetti per raccolta firme, eventi culturali vari tipo festa dell’unità, dibattiti politici in TV, ecc.). È pur vero che anche la precedente campagna elettorale di Barak Obama ha coinvolto internet. Ed in questo possiamo dire che il predecessore di Trump ed il suo staff sono stati dei precursori, avendo per primi utilizzato il web con fini politici precisi. Ma in quell’occasione internet e i social media furono utilizzati per lo più per fund raising, la raccolta fondi per autofinanziare la campagna stessa di Obama. Un metodo innovativo ed economico una decina di anni fa, in cui gli candidati legati alla grande macchina burocratica di partito e alle grandi lobby poco credevano e talvolta addirittura deridevano. Ma insieme al metodo innovativo, Obama lanciava dei messaggi, alcuni chiari e consapevoli, altri forse meno evidenti anche per gli autori stessi. A cominciare dal famoso motto della sua campagna: “yes, we can”. Quello che questo messaggio comunicava – e lo ha fatto in modo estremamente efficace – era che la popolazione è sovrana e che non solamente i candidati appoggiati dai grandi gruppi finanziari o poteri forti possono vincere un’elezione presidenziale, ma che lo può fare un candidato presidenziale “popolare”, che ottiene il supporto anche economico dei comuni cittadini.

 

Nella frase “Yes, we can”, il “we”, non è un noi qualunque. Richiama – ed ogni americano inconsciamente lo sa perché gli viene insegnato sin da piccolo – la frase iniziale del preambolo della Costituzione: “We, the American People…”

 

             WE = POPOLO AMERICANO, NAZIONE INTERA

 

Negli Stati Uniti il concetto di unità è molto forte, ed è parte della cultura della nazione che altrimenti non riuscirebbe a conciliare e far convivere le miriadi di differenze sociali e culturali che la compongono.

 

La comunicazione, dunque, è decisiva in campagna elettorale, e lo è quando è concisa, diretta e riesce a fare presa su aspetti emotivi della collettività. Incisivo è anche l’aspetto inclusivo della campagna online: dalla partecipazione diretta al dibattito politico alla facilità e velocità della raccolta fondi online, per la prima volta alla portata di tutti secondo le proprie possibilità. Gli avversari di Obama hanno sottovalutato la capacità virale della rete: un sistema che una volta lanciato è in grado di crescere a livello esponenziale, tanto da indurre altri a fare altrettanto (nel caso specifico la donazione). E’ il fenomeno di massa, una delle caratteristiche intrinseche della rete, che proprio in quelle elezioni ha rivelato tutto il suo potenziale. Il motto, il presentarsi come candidato che si oppone alla farraginosa e oscura macchina politica in cui sono pochi a determinare chi vince e chi perde, tutto questo ha convinto i cittadini – stufi come tutti i cittadini in tutte le parti del mondo – a votare e ad appoggiare Obama che ha dato l’impressione di restituire al popolo il principio stesso della democrazia: la maggioranza dei cittadini decide chi governa, non una minoranza solo in base a soldi e potere. Questo, semplificato, è il pensiero di milioni di americani magistralmente intercettato ed interpretato in campagna elettorale dal predecessore di Trump. E che ha mostrato, questo sì per la prima volta il populismo del web.

 

Tuttavia, pur avendo rivelato alcune potenzialità in termini di diffusione e comunicazione, la politica online non è emersa completamente in tutte le sue sfaccettature. E questo perché è stata trascurata un’altra delle caratteristiche dello spazio cibernetico: l’annullamento, o quasi, dei confini geografici. La campagna elettorale del 2016 non si svolse solo all’interno degli Stati Uniti, ma come sappiano entrarono in gioco attori esterni. Il caso è scoppiato a seguito di un’inchiesta del New York Times nella primavera del 2016. Il prestigioso quotidiano statunitense pubblicò un articolo in cui si esprimono sospetti di un coinvolgimento diretto del Cremlino nella campagna elettorale a favore di Trump, a cominciare dalle primarie. Secondo il New York Times, il governo russo avrebbe agito su tre livelli:

 

  • Il primo riguarda l’intrusione nel sistema informatico del comitato nazionale del Partito Democratico e del responsabile della campagna elettorale di Hillary Clinton, con la conseguente divulgazione di decine di migliaia di email su wikileaks; le email rivelarono una massiccia campagna interna al partito contro l’altro candidato democratico Bennie Sanders, con il conseguente crollo della Clinton nei sondaggi di ben 9 punti.

 

  • Il secondo riguarda l’utilizzo massiccio di piattaforme social come You-Tube, Facebook, Instagram e Twitter; dopo aver creato migliaia di falsi profili (trolls) su tutte le piattaforme, gli hacker russi della Internet Research Agency (intelligence militare) avviarono una campagna contro la Clinton e a favore di Trump, costruendo ed alimentando dibattiti aperti sui temi della campagna elettorale dei due candidati, e creando false pubblicità politiche per danneggiare la Clinton

 

  • Il terzo riguarda i numerosi contatti dello staff di Trump e dei familiari con esponenti russi vicini a Putin. Incontri che si sono susseguiti numerosi durante tutta la campagna elettorale. Ma, come sappiamo, tali incontri non sono stati considerati prova evidente di una collusione fra lo staff presidenziale e Trump stesso con Mosca. Almeno queste sono le conclusioni del rapporto del procuratore speciale Robert Muller a fine indagine poco più di un mese fa. Vero è che l’indagine ha fatto comunque parecchie vittime, tra cui l’avvocato di Trump Michael Cohen, l’ex capo del comitato elettorale Paul Manafort, l’ex consigliere per la sicurezza nazionale Michael Flynn, tutti arrestati, alla fine con accuse che riguardano reati finanziari.

 

Lo scandalo Russiagate ha coinvolto e travolto anche Cambridge Analytica, già altre volte nell’occhio del ciclone per uso improprio di dati personali online. Partiamo dall’inizio. Cambridge Analytica è una azienda di analisi e consulenza fondata nel 2013 da un miliardario ultraconservatore e sostenitore di Trump, tale Robert Mercer, e da Stephen Bannon, ex consigliere di Trump in campagna elettorale. L’azienda raccoglie ingenti quantità di dati personali sul web (i big data), in particolare ma non esclusivamente sui social network, e li analizza utilizzando algoritmi secondo modelli psicometrici, riuscendo ad ottenere i profili psicologici degli utenti. Nel caso specifico, l’azienda è finita sotto accusa per aver raccolto indebitamente i dati di 50 milioni di utenti americani attraverso un’app creata per Facebook dal ricercatore Alexandr Kogan nel 2014 che permetteva l’accesso anche ai dati di tutte le persone connesse con gli utenti che avevano scaricato quell’applicazione. Kogan avrebbe poi passato i dati a Cambridge Analytica che, attraverso il sistema di microtargeting comportamentale sviluppato da Michal Kosinski, avrebbe poi manipolato le preferenze degli utenti per indurli a votare Trump nelle elezioni del 2016. Oltre a questo ci sono illazioni su presunti contatti fra i dirigenti dell’azienda ed esponenti russi. Infine, Damian Collins, un parlamentare britannico che sta conducendo un’inchiesta parlamentare su presunte manipolazioni di Cambridge Analytica relativamente al referendum sulla Brexit, ha dichiarato che sono emerse prove che la Russia ed altri Paesi stranieri hanno avuto accesso ai dati dei 50 milioni di utenti Facebook raccolti dall’azienda.

 

Come possiamo notare, rispetto alla campagna elettorale di Obama, la politica e la manipolazione della politica e degli utenti online è diventata cosa seria e complessa da analizzare. Al di là delle conclusioni del rapporto Muller, che in realtà non fa piena luce sulla questione della connivenza tra Trump, il suo staff e Mosca ma in compenso certifica l’ingerenza della Russia nella politica americana, si può comunque trarre qualche conclusione.

 

In una campagna politica condotta attraverso i nuovi mezzi di comunicazione che passano tutti attraverso la rete, emergono elementi che proprio dalle caratteristiche dello spazio cibernetico possono portare ad effetti positivi o negativi per le nostre democrazie. Abbiamo nominato l’informazione. Nell’era del web, l’informazione è diventata più rapida, più concisa, maggiormente disponibile, gratuita o quasi e disponibile in grande quantità senza filtri. E l’informazione è uno dei capisaldi di un regime democratico: pluralista e libera. Tuttavia la rete si presta, come abbiamo visto a manipolazioni di ogni genere e nel mare di news e fake news da cui siamo quotidianamente bombardati, risulta difficile, talvolta anche per i professionisti, riuscire a distinguere l’informazione dalla disinformazione. E la disinformazione è alla base della propaganda. Su questo è bene aprire una breve parentesi. La propaganda si divide in 3 categorie, come forse già sapete: bianca, grigia e nera. La propaganda bianca è ammessa nei regimi democratici, la fonte è certa e riconosciuta; le altre due categorie sono invece tipicamente usate nei regimi autoritari: la grigia riguarda l’incertezza della fonte, mentre si parla di propaganda nera quando la fonte si nasconde sotto falso nome. La propaganda nera, come abbiamo visto utilizza la disinformazione per screditare il nemico (troll russi). Le elezioni presidenziali americane del 2016 sono state caratterizzate da una informazione soffocata dalla comunicazione fatta da propaganda bianca, grigia e nera.

 

Abbiamo assistito anche alla manipolazione dei dati degli elettori – che sul web diventano utenti. Su di essi è stata messa in piedi una vera e propria campagna PsyOps volta a influenzare le decisioni di voto. Cambridge Analytica ha individuato nel target audience (gli utenti di Facebook e di altri social) le criticità (cioè le preferenze, lo stile di vita, le relazioni sociali con altri, il livello culturale, addirittura lo stato di salute) e poi ha elaborato una campagna di comunicazione mirata a ciascun utente in modo da agire su quelle criticità per influenzarne il voto. Il PsyOps non è cosa nuova, veniva utilizzata anche durante la Seconda Guerra mondiale con altri mezzi di comunicazione, così come viene utilizzata all’estero da molti eserciti, incluso il nostro. In questo caso, però, non risponde a esigenze di tipo militare ed è rivolto ad una democrazia occidentale evoluta, quindi attraverso le nuove tecnologie.

 

Si può dunque tornare alle questioni poste in partenza. Nelle società evolute, quasi tutte a regime democratico, l’iperconnessione della popolazione sempre più condizionata dalla vita online favorisce la diffusione della disinformazione e della propaganda a discapito dell’informazione obiettiva e trasparente. Uno studio dell’MIT rivela che le fake news, le informazioni false, raggiungono gli utenti sei volte più velocemente delle notizie vere. Lo studio, che si è concentrato su Twitter, ha anche rivelato che le notizie false hanno il 70% di probabilità in più di essere ri-twittate. E sono ben 70 milioni gli account di Twitter sospesi tra maggio e giugno del 2018 perché sospettati di diffondere disinformazione.

 

Allora se consideriamo che la corretta informazione è alla base di un buon sistema democratico a cominciare dalla scelta che facciamo quando andiamo a votare, è chiaro che i dibattiti politici aperti a tutti – oltre che ad inasprire i toni e a diffondere anche la cultura dell’odio, grazie all’anonimato che la rete garantisce – rischiano di danneggiare più che aiutare la democrazia. È inoltre chiaro che la manipolazione delle preferenze degli elettori non può non essere visto come un secondo elemento di rischio per i principi democratici, in particolar modo per la libertà di decidere, in una elezione o in un referendum (vedi anche il caso Brexit, per il quale è sotto accusa – ancora – Cambridge Analytica). C’è anche da fare un brevissimo accenno al voto elettronico. Le generazioni più giovani, che sembrano perfettamente integrate nel mondo virtuale, sono quelle che ricorrono al voto elettronico con maggiore insistenza, anch’esso manipolabile nonostante l’innalzamento della sicurezza informatica in Paesi dove è largamente diffuso. Alcuni studi in proposito hanno evidenziato come la maggior parte di coloro che votano elettronicamente, non sarebbero andati a votare se avessero dovuto farlo secondo il sistema tradizionale di recarsi alle urne. È facile dunque prevedere che un giorno il voto elettronico sarà il sistema di voto più diffuso in assoluto, con i rischi di cui si è appena accennato.

 

Nell’era di internet, i risultati delle elezioni possono essere distorti da disinformazione, propaganda, manipolazione dei voti e delle preferenze dei cittadini. Torniamo alla domanda: la democrazia online è vera democrazia? Indubbiamente i rischi per le elezioni ci sono e si fanno più forti via via che la politica diventa più informatizzata. E le elezioni sono uno dei cardini della democrazia stessa. Come sottolineavano già Linz e Stepan nel 1996, le elezioni sono un elemento essenziale, anche se non sufficiente, per fare di un Paese una democrazia. Non sufficiente ma essenziale significa che se le elezioni sono state manipolate tramite internet, allora il dubbio che la democrazia online possa essere vera democrazia è più che lecito.

 

Internet e i social media hanno dunque un impatto significativo in politica. Del resto questo lo si può evidenziare, da altri punti di vista, anche in Italia. Qui da noi siamo ancora indietro sullo sviluppo di campagne politiche online vere e proprie, ma non si può escludere tout court l’ingerenza e la manipolazione delle notizie politiche. Del resto anche un partito come il Movimento 5 Stelle ha propagandato il proprio sistema di votazione “democratica” online per tutti gli iscritti, che favorisce, secondo i suoi leader la più ampia partecipazione possibile. Ma anche in questo caso, ci sono dubbi che le piattaforme usate dal Movimento siano vulnerabili a manipolazione dei risultati.

 

Se da una parte è indubbio che la rete favorisca la più ampia partecipazione possibile e in casi di regimi autoritari possa costituire l’unico strumento che dà voce alle opposizioni perseguitate, e quindi può assumere un ruolo significativo nel processo di abbattimento di dittature e transizione verso regimi più liberali, dall’altra si cominciano ad intravedere le storture del mondo virtuale che per la sua natura non è facile da controllare nelle sue deviazioni nei Paesi democratici. Il caso Russiagate e Cambridge Analytica mette, infine, in luce che la rete può anche destabilizzare il sistema democratico in genere. L’elezione di Trump alla presidenza, infatti, non chiude la vicenda. Anzi, gli strascichi stanno aumentando le frizioni interne e polarizzando lo scontro fra la Presidenza stessa e i democratici. Le conclusioni dell’inchiesta del Procuratore Speciale Muller sono delle “non conclusioni”: le prove raccolte non sono sufficienti a dimostrare né la collusione, né l’ostruzione alla giustizia, anche se si evidenziano “comportamenti impropri ed inopportuni del Presidente”. Inoltre, il Congresso ancora non ha ricevuto il rapporto Muller nella versione integrale, ma ha dovuto accontentarsi, si fa per dire, del sunto fornito dal Procuratore Generale William Barr, uomo vicino a Trump, che sembra aver voluto mettere la parola fine al caso blindando la Presidenza. Vi è infatti il rischio che Barr decida di consegnare il Rapporto alla Casa Bianca prima di darlo al Congresso. In questo caso, Trump può esercitare il privilegio presidenziale di poter censurare alcune parti. Ed è su questo punto che i democratici stanno facendo battaglia.

 

È evidente l’effetto destabilizzante che il caso ha avuto e sta avendo su questo Esecutivo e in generale sulle principali istituzioni democratiche, in particolare su quella rappresentativa per eccellenza: il Congresso, che rischia di vedersi cancellare il potere di controllo sull’Esecutivo, con buona pace del sistema di check & balance. Infine, comunque vada, la vicenda ha gettato un’ombra di sospetto su questa amministrazione e creato un clima di diffidenza e sfiducia nel sistema stesso.

 

Quella che chiamiamo democrazia online non garantisce in realtà che non vengano intaccati i core principles della democrazia stessa. E ritengo anche che i suoi effetti non siano stati ancora valutati appieno. Cosa che avverrà presto, lo vedremo alle prossime elezioni: quella sfiducia e diffidenza che nel 2016 ancora non esistevano si andranno ad aggiungere agli altri elementi che potranno condizionare l’umore e la decisione di voto molto più di un programma elettorale.

 

NOTE

[1] Tratto da una lezione tenuta presso l’Università di Firenze il 17 maggio 2019

 

LA REALPOLITIK AI TEMPI DEL MONDO VIRTUALE

di Serena Lisi

 

Nel mese di maggio 2019, a seguito delle politiche restrittive annunciate dal Presidente americano Trump in materia di import-export di greggio, l’Iran ha comunicato l’intenzione di recedere da alcuni degli accordi in mateira di produzioe di energia ed armamenti nucleari siglati nel 2015, al tempo della Presidenza di Obama, con Stati Uniti, Regno Unito, Unione Europea, Francia, Germania e Cina. Da allora, è iniziato un vero e proprio braccio di ferro tra Washington e Teheran, culminato con reciproche accuse a proposito dell’attacco di metà maggio a quattro petroliere saudite, seguito da ulteriori incursioni su pipelines e – di nuovo – navi per il trasporto di greggio e affini.

 

Gli attacchi sono stati condotti sia con mezzi tradizionali che con mezzi cyber, in particolare con droni.  Molte testate italiane ed europee hanno inizialmente riportato la notizia di tali attacchi come possibile ricerca di un casus belli da parte degli Stati Uniti, che continuano a richiedere più decisive prese di posizione da parte del Consiglio di Sicurezza dell’ONU, nonché ad annunciare l’intenzione di intervenire con la forza armata nel caso in cui l’Iran non ottemperi agli impegni sul disarmo nucleare già sanciti dagli accordi del 2015, che il Presidente Trump ritiene essere stati violati dall’Iran già dal 2018, periodo in cui egli propose la politica punitiva di austerity su import-export di greggio. Infatti, a metà giugno 2019, Trump aveva annunciato una incursione aerea, che oggi risulta sospesa con una postilla dello stesso Presidente, il quale ha dichiarato che essa non è revocata ma, appunto, sospesa.

 

Questo susseguirsi di eventi riconduce, in un certo qual modo, a retaggi culturali della Prima Guerra del Golfo, nota per l’intervento in Iraq e la fulminea operazione Desert Storm, compiutasi in 100 ore, ma i cui effetti sono durati trent’anni. Anche in quel caso, il riferimento alla cosiddetta dottrina Carter era chiaro: ogni attacco agli interessi economici degli Stati Uniti (anche allora riguardanti l’import-export di petrolio), sarebbe stato considerato alla stregua di un attacco armato e come tale sarebbe stato trattato con il ricorso ad ogni mezzo, compresa la forza armata.

 

Ulteriori retaggi culturali riconducono, invece, alla Seconda Guerra del Golfo, iniziata a seguito di una ispezione dell’ONU volta ad accertare la presenza di armi di distruzione di massa in Iraq; gli esiti di tale ispezione non sono, ancora oggi, del tutto chiari ed hanno sempre lasciato molti interrogativi su ragioni e modalità dell’intervento del 2003, forse inevitabile, ma che sicuramente si sarebbe potuto gestire con maggior lungimiranza.

 

Se i casi citati sono complessi, la situazione attuale lo è ancora di più. Pochi giorni dopo l’annunciata sospensione dell’incursione aerea, infatti, le più illustri testate statunitensi, tra le quali il New York Times e il Washington Post hanno riportato la notizia di attacchi cyber ordinati dal Presidente Trump in persona e compiuti dallo US Cyber Command a scopo di rappresaglia ai danni delle centrali di comando di missili e droni iraniani, nocche di un gruppo di intelligence iraniano ritenuto responsabile della localizzazione delle petroliere e pipeline poi colpite dalle incursioni dell’ultimo mese.

 

La prima riflessione, in questo caso, riguarda il termine “guerra” spesso usato con leggerezza dalla stampa nazionale ed estera. Se nella dimensione sociologica e psicologica, spesso, i termini “guerra” e “conflitto” sono sinonimi, non è così nel diritto internazionale e nelle relazioni internazionali: il termine “guerra” può essere usato se almeno uno degli attori in campo è uno Stato e, soprattutto, se è presente una dichiarazione, ben riconoscibile e riconducibile ad una precisa ed ufficiale attribuzione. Non è un caso che, già nel 2007, ai tempi del famigerato attacco con DDoS (Distributed Denial of Services) in Estonia non si sia infine applicato l’articolo 5 del Patto Atlantico (mutua difesa in caso di attacco armato) per la difficoltà di attribuzione dell’attacco stesso. Anche nel caso Iran-USA, pur con le dovute differenze, le difficoltà di attribuzione rimangono: siamo, infatti, di fronte all’ennesimo casus belli in cui due contendenti attribuiscono illeciti alla parte avversa senza assumersi l’onere della prova e senza aver dimostrato concretamente i loro pur ragionevoli dubbi. Quanto alla dichiarazione di guerra, inoltre, a poco valgono notizie – più ufficiose che ufficiali – senza una data certa pur se riportate da eminenti testate giornalistiche. Come già dal 1991 afferma Martin Levi Van Creveld, siamo di fronte ad una “rivoluzione degli affari militari”, in cui la tricotomia clausewitziana della guerra (governo, esercito, popolo) – e più in generale dei conflitti armati – è superata, per far spazio a nuovi tipi di contrapposizione, a loro volta sempre più lontani dalla classificazione dei Protocolli aggiuntivi alle Convenzioni di Ginevra (1977), che trattano di conflitti armati internazionali e non internazionali.

 

Alla luce di ciò, è bene fare una riflessione anche a proposito dell’espressione “conflitto armato”. Se, infatti, è innegabile che tra Iran e Stati Uniti si sia innescata una forte escalation della conflittualità, è opportuno trattare il termine “armato” con sensibilità e responsabilità: si pensi solo al fatto che molte delle traduzioni ufficiali dell’art. 51 della carta dell’ONU, a proposito di self-defense, parlano della possibilità di ricorrere alla cosiddetta legittima difesa nel caso in cui uno Stato sia vittima di un attacco armato. Il classificare gli strumenti cyber come arma tout court matterebbe in discussione tutta una serie di impianti giuridici (e non solo) riguardanti la legittima difesa e l’intervento preventivo. Se nel mondo reale è difficile giudicare se la minaccia sia imminente (il che autorizzerebbe l’uso della forza armata) o meno, nel mondo cyber, fatto di soundbyte, questo è ancor più aleatorio. Così come è aleatorio parlare di first e second strike, nonché di rappresaglia. Ciò che invece è reale e ben tangibile in questo caso è un’altra dimensione della conflittualità: nelle più accreditate teorie delle Relazioni Internazionali, si afferma che, per parlare di guerra, gli attori in campo debbano essere mossi da regioni di realpolitik, ossia da elementi riconducibili a ciò che un tempo veniva chiamato “interesse nazionale” e che oggi spesso non viene nominato per political correctness. In questo caso, è innegabile che le ragioni di realpolitik ci siano e che la contesa in corso si possa configurare come ciò che Libicki, ormai 15 anni fa, aveva definito Information Warfare, una guerra delle informazioni e delle notizie, di cui la cyber warfare  è solo una (pur di crescente importanza) componente.

LE COMPETENZE DIGITALI DA UNA PROSPETTIVA CULTURALE

di Cristiano Galli

 

Il tema dello sviluppo delle competenze digitali è ormai un “hot topic” per le organizzazioni moderne che mirano ad ottenere e mantenere un costante vantaggio competitivo, siano esse organizzazioni profit, non profit o governative.

 

Anche l’European Commission’s science and knowledge service ha sviluppato il Digital Competence Framework 2.0 nel quale sono identificate cinque aree e ventuno competenze riguardanti la capacità di processare dati ed informazioni (information and data literacy), la capacità di comunicare e collaborare utilizzando le tecnologie digitali (communication and collaboration), la capacità di creare contenuti digitali mantenendo la consapevolezza dei relativi copyright (digital content creation), la capacità di garantire la protezione fisica dei propri dispositivi, della propria identità digitale e dei contenuti personali ed organizzativi (safety) e la capacità di esercitare un’efficace azione decisionale e di problem solving nell’ambito della dimensione digitale (problem solving).

 

Digital Competence Framework 2.0

 

Questo approfondito risultato di ricerca della Commissione Europea si affianca ad altri altrettanto validi modelli di competenze digitali, accomunati da un approccio orientato ai cosiddetti hard skills o capacità tecnico professionali che possono essere collegate direttamente a comportamenti osservabili. Poco ancora si è scritto e ricercato nel merito delle soft skills ossia quelle competenze trasversali che abilitino le persone ad operare efficacemente all’interno di una struttura organizzativa 4.0.

 

Tutti i processi di digitalizzazione organizzativa si sono finora confrontati con lo scoglio culturale. Il vero problema della digitalizzazione nelle organizzazioni non è nell’implementazione di nuove tecnologie e processi organizzativi, bensì nella scarsa disposizione culturale dell’elemento umano che rimane comunque al centro dei processi produttivi. La criticità riguarda, in egual misura, il personale esecutivo e la leadership.

 

Seguendo il modello di cultura organizzativa di Edgar Schein, per rendere efficace un processo di digitalizzazione organizzativa, l’iceberg culturale deve subire una profonda e radicale trasformazione. Dalla parte visibile degli artefatti (artefacts) a quella sommersa dei valori (values) e degli assunti di base (basic assumptions), è necessaria una vera e propria rivoluzione che abiliti le potenzialità offerte dalla tecnologia.

Edgar Schein Cultural Iceberg

 

Il primo elemento caratterizzante della cultura digitale riguarda l’agilità mentale del personale. Lo tsunami informativo che travolge l’organizzazione ogni giorno deve essere processato in maniera collettiva e devono essere creati gli strumenti e le opportunità per permettere al flusso informativo di transitare all’interno dell’organizzazione nel minor tempo possibile e trasversalmente alla struttura gerarchico funzionale. Ne deriva così il secondo elemento caratterizzante; la necessità di rivedere le strutture gerarchico funzionali in strutture reticolari. La gerarchia è un fattore inibitorio dello sviluppo della cultura digitale. Questo è sicuramente un grosso problema per le strutture governative di natura militare che trovano nell’elemento gerarchico uno dei propri valori se non addirittura un assunto di base. Ciononostante le organizzazioni militari dovranno comunque affrontare questo dilemma promuovendo dinamiche relazionali che permettano un’esecuzione di ordini decentralizzata e sempre più autonoma. Nel merito si è espresso significativamente il Generale Mark Milley quando ha dichiarato che per essere rilevanti nei conflitti moderni i soldati dovranno sviluppare la capacità di esercitare quella che ha definito “disciplined disobedience”, ossia “disobbedienza disciplinata”.

 

Il termine, apparentemente un ossimoro, contiene invece un concetto profondo e rivoluzionario. Per massimizzare gli effetti generati dalla digitalizzazione, ogni elemento dell’organizzazione deve poter operare con un confine ampio di autonomia che sia però riconducibile all’interno di un framework prevedibile di potenziali e probabili azioni e conseguenze. Ogni elemento deve quindi poter affrontare le situazioni dinamiche ed impreviste che gli si presentano avendo un’idea generale del “perché” organizzativo entro il quale conformare i propri pensieri ed azioni, sapendo comunque di poter, anzi a volte dover, sbagliare.

 

Ecco quindi un altro elemento caratterizzante della cultura digitale, la consapevolezza della necessità di sbagliare per risolvere problemi innovativi. Nei processi strutturati di natura tayloristica l’errore era ed è tuttora un problema, perché i processi tayloristici hanno come obiettivo finale l’efficienza del sistema. La cultura digitale deve invece promuovere processi costantemente innovativi che richiedono un approccio mirato all’efficacia e non all’efficienza.

 

Da questo deriva anche un altro elemento caratterizzante della cultura digitale; i processi di decision making. A differenza di quanto avviene nelle strutture organizzative classiche, nelle organizzazioni 4.0 i processi decisionali devono seguire processi di condivisione. Non vale più il vecchio adagio “tanto poi decide il capo perché ha lui la responsabilità”. Le decisioni devono essere prese sfruttando l’intelligenza collettiva e generare scelte condivise che possano poi essere “messe a terra” dalla comunità lavorativa. Allo stesso modo il concetto di responsabilità è superato in un più ampio e condivisibile concetto di accountability o senso di proprietà del proprio ruolo e delle proprie decisioni.

 

Ultimo, ma non in senso di importanza, elemento caratterizzante della cultura digitale è il senso di cooperazione e collaborazione che deve pervadere tutto il personale dell’organizzazione. Solamente sentendosi parte di un tutto organizzativo nel quale l’altro è sentito come elemento collaborativo e non solo competitivo l’elemento umano delle organizzazioni 4.0 può dare il miglio contributo nel rendere la realtà digitale veramente efficace.

IL CASO EXODUS: UNO STRUMENTO PER LA GIUSTIZIA SFUGGITO DI MANO

di Serena Lisi

 

Da alcuni mesi, media e siti specializzati in materia cyber riportano notizie a proposito del malware Exodus e del suo potenziale dannoso nei confronti della privacy degli utenti del sistema Android e, più in generale, dei cittadini connessi in rete. Il malware, a detta di molti creato da un ente governativo italiano per eseguire legalmente intercettazioni informatiche, è stato diffuso in rete sul cosiddetto app store, ossia sullo spazio virtuale da cui gli utenti possono scaricare le app da installare sul proprio dispositivo mobile.

 

Secondo un report di Security Without Borders, una ONG specializzata in tematiche cyber, Exodus riesce ad ottenere i dati dei soggetti sotto osservazione nel momento in cui costoro utilizzano alcune particolari applicazioni che funzionano da backdoor, ossia da accesso di servizio. Si tratta di accessi particolarmente insidiosi perché restano – come si dice in gergo tecnico – aperti e connessi alla rete wi-fi a cui si è connesso il dispositivo infetto, creando rischi anche per soggetti terzi: non a caso tra le capacità specifiche di Exodus c’è quella di registrare e memorizzare password di accesso alle reti private, oltreché log (serie di comandi operativi e registrazioni) e messaggi (anche cifrati) di applicazioni quali Viber Messenger, Telegram e Whatsapp, quest’ultimo vulnerabile anche per ciò che riguarda file e immagini scambiate, che finiscono di default in cartelle facilmente aggredibili, come ad esempio la galleria immagini.  Il malware sarebbe inoltre in grado di leggere il codice IMEI di cellulari ed altri device simili e, tramite questo, identificare univocamente ed associare le informazioni agli utenti. 

 

Ulteriore peculiarità di Exodus è che esso si attiva in due fasi e per mezzo di due diversi service pack, Exodus1 e Exodus2. Il primo pacchetto traccia il dispositivo colpito, lo identifica ed eventualmente aggira i più comuni strumenti anti-tracciamento, come i fake-IMEI e fake-identity generators, ossia software che permettono all’utente di inserire informazioni usa e getta e verosimili – ma non autentiche – per compiere registrazioni necessarie per scaricare alcuni tipi di app. Il secondo pacchetto contiene il vero e proprio codice infetto, che apre le backdoor e procede con il rastrellamento di dati, ivi compresi quelli relativi a posizione, rubrica dei contatti e messaggi di testo.

 

Anche se ormai siamo abituati ad essere tracciati, profilati e, in un certo qual modo, osservati di continuo, la novità introdotta da Exodus è degna di nota, soprattutto se risultasse vera la già citata ipotesi riportata da Motherboard ed altri siti, secondo i quali la diffusione in rete sia servita a testarne l’efficacia per uso investigativo da parte di organi di Stato. Infatti, fino ad oggi, gli organi di Polizia Giudiziaria e tutti i soggetti con funzione investigativa hanno sempre avuto difficoltà a risalire a testi e conversazioni se non intercettati in tempo reale con apposito provvedimento del PM, che avrebbe dovuto autorizzare l’intercettazione per 15 o 40 giorni a seconda dei casi previsti dalla legge agli articoli 267 c.p.p. Exodus, invece, permette di raccogliere messaggi di testo, vocali e immagini presenti nel dispositivo intercettato anche qualora essi risalgano a periodi antecedenti, se non debitamente cancellati dall’utente, operando come “captatore informatico”, il cui uso è previsto dalla nuova normativa in materia di intercettazioni, introdotta con il Decreto legislativo 29 dicembre 2017, n. 216. Disposizioni in materia di intercettazioni di conversazioni o comunicazioni, in attuazione della delega di cui all’articolo 1, commi 82, 83 e 84, lettere a), b), c), d) ed e), della legge 23 giugno 2017, n. 103, ove però non sono del tutto chiarite le questioni riguardanti il limite temporale e le modalità di uso del nuovo strumento di raccolta dati.

 

A prescindere dal reale scopo per cui Exodus è stato creato, è importante segnalare che esso è in circolazione da ormai più di due anni e che può aver raccolto una enorme quantità di dati, anche se le app che lo nascondevano sono state rimosse dagli store a fine 2018. Fino ad oggi, sono state contate circa 25 applicazioni contenenti il malware: fanno tutte riferimento a fantomatiche offerte di assistenza, promozioni, sconti e promesse di irreali vantaggi per utenti a caccia di novità ed agevolazioni. La diffusione è stata silenziosa ma virale, sia a causa della già citata attivazione in due fasi, sia perché la schedatura di Exodus nelle library degli antivirus, finanche di quelli più comuni. Tale diffusione, oltre che a ledere la privacy di alcuni ignari utenti, ha creato danni economici per alcuni soggetti ed ingenti guadagni per altri poiché, come è noto, il tempo è denaro, sia nel mondo reale, che in quello cyber, fatto di soundbyte e screenshot.

DAI SOUNDBYTE ALLE E-MAIL POSTICIPATE, RISVOLTI NELLA NORMATIVA ITALIANA

di Serena Lisi

 

Nel mese di aprile 2019, alcuni provider di servizi di posta elettronica, come ad esempio Gmail, hanno annunciato che, da oggi in poi, sarà possibile inviare messaggi dilazionati nel tempo, programmandone la consegna pochi minuti o anni dopo, senza più dover ricorrere ad apposite applicazioni, come ad esempio LetterMeLater o FutureMe, poco note e caratterizzate da diversi limiti d’impiego e capienza. Gmail, ad esempio, ha annunciato che potrà posticipare le proprie e-mail fino a cinquant’anni e senza bisogno di avere a disposizione una connessione attiva al momento dell’invio precedentemente programmato.

 

La nuova funzionalità avrà certamente aspetti utili nella vita quotidiana – lavorativa e privata –  di utenti senza particolari pretese, che vedono il provider di posta come un semplice mezzo per la diffusione di comunicazioni e file. Tuttavia, questa semplice novità cambierà radicalmente alcuni aspetti del già complesso universo della comunicazione digitale. Quasi certamente, un particolare impatto verrà riscontrato in ambito investigativo e giudiziario.

 

Paesi come l’Italia già risentono della nuova normativa in materia di intercettazioni: il Decreto legislativo 29 dicembre 2017, n. 216 e la recente regolazione in materia di prova digitale ed investigazioni su reati finanziari e di evasione fiscale (Circolare 1/2018 della Guardia di Finanzia). In questi due testi, che riepilogano alcune disposizioni contenute nel framework comune europeo a proposito di cybercrime e che vanno a completare il disposto della legge 48/2008 (sempre sui crimini informatici), vengono introdotti concetti nuovi quali quello di catena di custodia della prova digitale e di captatore informatico atto a procurare dati concorrenti alla formazione della prova in sede di dibattimento. Con “catena di custodia delle prove digitali” si intende quell’insieme di operazioni svolte con procedura standard da personale qualificato ed atte a reperire e conservare adeguatamente e senza alterazione i dati e metadati (dati a proposito dei dati) digitali utili per la formazione di una prova in sede di dibattimento. Con l’espressione “captatore informatico” si intende, invece, uno strumento che riesca a carpire ed intercettare dati e file contenuti e scambiati dal dispositivo di un utente posto sotto controllo giudiziari, in breve “intercettato”.

 

È facile comprendere che la possibilità di posticipare una comunicazione, potenzialmente corposa e ricca di allegati come una e-mail, costituisce un vero e proprio punto di svolta sia in sede di investigazioni che di dibattito (quindi di formazione della prova durante il dibattito), soprattutto in materia penale o di prevenzione di crimini ed atti di terrorismo. La semplice programmazione di una comunicazione in uscita, infatti, non costituisce di per sé la prova inconfutabile che tale comunicazione partirà, poiché essa potrebbe essere cancellata o cambiata prima dell’invio medesimo.

 

Allo stesso modo, il già difficoltoso tracciamento di un simile tipo di comunicazione risulterà ancor più complesso. Già prima dell’avvento di questo noto tipo di funzione, il tracciamento di una comunicazione a fini investigativi e probatori richiedeva cura ed attenzione dal punto di vista metodologico: tecnicamente è abbastanza facile o comunque non impossibile, per un addetto ai lavori, risalire all’IP (Internet Protocol address) al quale un certo dispositivo si connette per operare, eppure, nella storia di molte investigazioni e molti processi recenti, tale passaggio viene sottovalutato o tralasciato, concentrandosi piuttosto sul mero contenuto delle informazioni ricavate dall’accesso alla corrispondenza e ai file elettronici presi in esame.

 

Oggi, a questo tipo di onere metodologico, si aggiunge una problematica di tipo materiale. Con la possibilità di inviare comunicazioni dilazionate nel tempo, in alcuni casi, gli accertamenti necessari per stabilire informazioni fondamentali come il posizionamento degli attori di un certo evento – in particolare di coloro che sono sospettati di illecito/crimine – potrebbero diventare automaticamente accertamenti tecnici irripetibili ex art. 360 bis c.p.p. Si pensi, ad esempio, al caso di un soggetto indagato in un futuro prossimo, che abbia inviato oggi una e-mail dal proprio computer da un determinato luogo programmandone la consegna a distanza di quattro anni. Se si volesse incrociare questo tipo di informazioni con altre, come ad esempio il tracciamento di una telefonata eseguita con il cellulare o qualsiasi altro dispositivo di telefonia “classica”, non si potrebbe fare, poiché i tabulati di questo genere di comunicazioni (telefonate di rete mobile e fissa, SMS) sono ad oggi disponibili solo con una retroattività di due anni. Per dare un’immagine concreta di quanto teorizzato, se un soggetto che svolge un’indagine dovesse confrontare le informazioni riguardanti l’invio di una mail o file la cui consegna è programmata oggi per il 2025, non avrebbe a disposizione quelle di analoghi tabulati telefonici antecedenti al 2023 perché, almeno ad oggi, le compagnie telefoniche italiane (ed europee) non li conservano.

 

Questo è un semplice esempio di come l’evoluzione tecnologica spesso preceda sia l’evoluzione della normativa che delle strategie per l’implementazione delle politiche di promozione di spazi di giustizia e sicurezza comune (per parafrasare un’espressione cara ai promotori di Trattati dell’Unione Europea quali quello di Lisbona del 2007). È un trend sempre esistito nella storia della politica e delle relazioni internazionali, ma è divenuto esponenziale con l’avvento della cosiddetta quinta dimensione, quella cyber, in cui le comunicazioni viaggiano a velocità-lampo sia nel tempo che nello spazio, in pieno rispetto degli enunciati della (allora) futuristica teoria della relatività di Einstein.

 

In breve, ci troviamo di fronte ad una sorta di paradosso della modernità, in cui i futuribili influenzano il passato, così come teorizzato da Fantappiè a proposito di fenomeni sintropici ed entropici o da Lorenz nel suo discorso sugli attrattori strani e l’evoluzione di un sistema dinamico verso un determinato equilibrio. Di fronte a questa nuova realtà sarà, ancor più di prima, importante garantire ad ampio spettro l’adozione di standard operativi e di formazione del personale che consentano il corretto uso di strumenti nuovi e ricchi di potenzialità quali i captatori informatici, nonché la conoscenza e l’adozione sistematica (e non sporadica o settoriale) della catena di custodia dei dati digitali, anche prima che essi diventino materiale di interesse per organi inquirenti, requirenti e autorità di polizia giudiziaria e pubblica sicurezza.

RISCHI E PERICOLI DELLE PIATTAFORME DI INTERNET

di Cristiana Era

 

Con oltre due miliardi di utenti Facebook è tra le piattaforme di internet più note ed utilizzate a livello mondiale. Il suo stesso successo, dopo il lancio del 2004, ha contribuito in modo determinante all’espansione dei social network, social media e di altre piattaforme, oltre che all’affermarsi di un modello imprenditoriale indirizzato verso algoritmi sempre più mirati ad individuare le caratteristiche e le preferenze dei singoli utenti, personalizzando i contenuti. Ad oggi, 8 persone su 10 sono costantemente collegate ai vari tipi di piattaforme sociali: Whatsapp, Messenger, Twitter, Instagram, WeChat, Qzone, Weibo, solo per menzionarne alcune.

 

La loro larga diffusione e l’assenza di qualsivoglia controllo su profili, collegamenti e post non potevano non portare con il tempo anche ad effetti indesiderati che hanno aperto un dibattito ed un confronto tra i sostenitori ad oltranza e i critici che mettono in guardia sui pericoli non solo per la privacy e la sicurezza informatica, ma per la democrazia stessa. A sostegno di questi ultimi, una serie di scandali che hanno coinvolto Facebook, Twitter e Instagram in maniera continuativa a partire dal 2016, l’anno delle elezioni presidenziali americane influenzate dai troll russi con la creazione di falsi profili (i fake accounts) sulle piattaforme di internet e riconducibili ad agenzie governative di Mosca per manipolare l’opinione pubblica in rete e quindi il voto. Le ripercussioni del Russiagate, ancora oggi ampiamente dibattuto a livello politico, legale e mediatico, hanno spinto – com’era ovvio – le agenzie di intelligence americane ad aumentare i controlli, e lo hanno fatto soprattutto con l’approssimarsi delle elezioni amministrative di mid-term del 2018.

 

Sotto accusa è finita anche la nuova strategia di web marketing denominata “growth hacking” e basata su combinazioni di tecniche di marketing ed informatica. Termine coniato da Sean Ellis nel 2010, il growth hacking è stato ed è tuttora largamente utilizzato da startups e social network. Facebook è ricorsa al growth hacking, ed in effetti negli ultimi anni l’azienda ha visto una crescita esponenziale della raccolta pubblicitaria che ha largamente superato i 50 miliardi di dollari e si accinge a raggiungere anche la soglia dei 60 miliardi. Ma il prezzo da pagare di questo modello imprenditoriale è anche molto alto. Poiché il fine ultimo di questa strategia è la crescita esponenziale del prodotto – virtuale o meno – non esistono altri parametri di riferimento quali codici etici che la possano in qualche modo rallentare o anche solo diminuire.

 

Non è una esagerazione affermare che le piattaforme di internet, per la loro diffusione e radicalizzazione, sono in grado di destabilizzare e rimodellare intere strutture politiche e sociali. Gli allarmi che riguardano, ad esempio, i processi democratici non possono essere circoscritti alle campagne elettorali online poiché, com’è noto, le libere elezioni sono un elemento portante ma di per sé non sufficiente di qualsivoglia democrazia. Alla base di questa, infatti, vi deve essere necessariamente anche una libera informazione. E se è indubbio che internet abbia reso l’informazione alla portata di tutti e consentito alla voce dei media liberi di farsi sentire abbattendo i muri della censura di taluni regimi autoritari, è altrettanto vero che l’informazione è sempre più soffocata dalla disinformazione, soprattutto se radicale, alimentata dagli algoritmi delle piattaforme che mirano a polarizzare i gruppi sulla rete. Come quasi sempre avviene, le chat di persone con opinioni, esperienze e preferenze simili sono estremamente attive, accrescono il traffico di dati e gli spazi pubblicitari ma al contempo frenano, quando addirittura non impediscono, qualunque forma di dissenso e in taluni casi alimentano i cosiddetti hate speech, con opinioni, non fatti.

 

Altro aspetto determinante è quello della privacy, che in rete è sistematicamente violata. Al di là del recente caso di Cambridge Analytica, che giusto un anno fa ha messo in forte imbarazzo i vertici di Facebook rivelando la raccolta irregolare da parte della società americana di dati di ben 87 milioni di utenti del social network che poco o nulla aveva fatto per impedire la violazione, molti altri scandali sull’uso improprio e sulla manipolazione di dati personali senza il consenso dei titolari hanno visto coinvolti i ben noti giganti del web: Amazon, Google, Netflix, Microsoft. E tuttavia, nonostante lo scalpore suscitato al momento dello scoppio dello scandalo, sembra che l’utente medio non sia in grado di capire la portata e la gravità di queste violazioni con enormi interessi economici in gioco. Tanto è vero che casi simili continuano a verificarsi con scarse conseguenze quanto alla responsabilità delle aziende del web.

 

Alcuni osservatori ed insider mettono in guardia anche sui dispositivi domestici intelligenti, quali Alexa e Google Home, con elevata capacità di raccolta dati non solo su preferenze dei consumatori, ma anche su stili di vita, cultura, abitudini. In pratica, quello che viene considerato un congegno di ultima generazione, sicuramente innovativo e divertente, può in pratica diventare una spia dentro casa, oltre a porre un serio interrogativo sulla sicurezza stessa di questi dispositivi quanto a capacità di essere hackerati e manipolati da terzi.

 

Come si cerca di ripetere da più parti, se non accompagnata da una conoscenza adeguata o consapevolezza di rischi e limiti da inserire, la tecnologia pensata per servire rischia invece di assoggettare. I segnali ci sono, spetterebbe ai legislatori regolamentare e al cittadino informarsi.

INTEROPERABILITÀ O GESTIONE FORZATA? I NOSTRI DATI ALL’INDOMANI DEL CASO CAMBRIDGE ANALYTICA

di Serena Lisi

 

Da alcuni giorni, il caso Cambridge Analytica è diventato un argomento largamente diffuso anche tra i non addetti ai lavori. Dietro a questo nome, si celano un’azienda di marketing ed il suo fondatore, un miliardario statunitense, il cui cognome, Mercer, evoca l’omnisciente (ed evanescente) figura che può riconoscere gli androidi a cui dare la caccia nel libro di P.K. Dick “Do Androids dream of electric sheep?”, da cui è stato tratto il celeberrimo film di R. Scott, “Blade Runner”.

 

Il caso si rivela complesso nella sua apparente banalità: pare che Cambridge Analytica abbia prelevato dati da Facebook in maniera scorretta e, in aggiunta, sia stata in stretto contatto – se non al servizio – di uno dei più importanti collaboratori del Presidente statunitense Trump durante la campagna del 2016. Si vocifera, infine, che la stessa società abbia avuto contatti con personaggi chiave della Federazione Russa e del Regno Unito, questi ultimi sostenitori della Brexit.

 

Come è noto, Cambridge Analytica vanta l’invenzione di un sistema psicometrico di microtargeting comportamentale, che utilizza i dati raccolti per “profilare” gli utenti e comprenderne a fondo gusti, preferenze, spostamenti (fisici e non), così da poter inviare loro proposte commerciali ed annunci pubblicitari personalizzati, commissionati da grandi aziende ed altri clienti. La particolarità del sistema sta nel fatto che esso sfrutta anche una sorta di software previsionale, evoluzione degli studi del ricercatore di Cambridge Michal Kosinski, capace di interpretare e valutare anticipatamente le reazioni emozionali, in aggiunta a quelle razionali, degli utenti profilati su Facebook. In più, la società dispone di big data ottenuti da altre compagnie, le cosiddette broker di dati, che fanno mininig su Facebook, scavando letteralmente nelle preferenze delle persone.

 

Nel caso in questione, molti dei dati aggiuntivi utilizzati da Cambridge Analytica sono stati ceduti in maniera illecita da un secondo ricercatore di Cambridge, Alexandr Kogan, che nel 2014 aveva realizzato – inizialmente solo per finalità di ricerca – una app denominata “thisisyourdigitallife”, alla quale molti users di Facebook si erano iscritti. Kogan aveva poi violato le condizioni d’uso cedendo le informazioni a terzi, ossia a Cambridge Analytica, con l’aggravante che, attraverso la app “thisisyourdigitallife”, era possibile accedere alle cosiddette reti di amici, contenenti ulteriori notizie sui soggetti profilati in origine. A seguito di proteste e, successivamente, dello scandalo stesso, Facebook ha imposto uno stretto giro di vite alla raccolta dei dati, ma ciò non è servito ad arginarne la fuoriuscita, dato che milioni di utenti erano ormai stati già profilati.

 

La vicenda ha dunque continuato ad avere un’alta risonanza mediatica, soprattutto in seguito alla notifica di una seconda notizia: a inizio marzo 2019, Mark Zuckerberg ha annunciato che Facebook, Whatsapp e Instagram saranno interoperabili e che gli utenti dei tre social networks potranno comunicare con i contatti facenti capo a tutti e tre i sistemi anche qualora siano iscritti solo ad uno di essi. Tale interazione potrebbe essere estesa, in futuro, persino a chi utilizzi soltanto gli sms dei cellulari. Secondo Zuckerberg, l’interoperabilità avverrebbe tramite sistemi sicuri e lo scambio di informazioni sarebbe interamente gestito dagli utenti, che potranno decidere se “unire” o tenere “separate” le app, nonché le informazioni in esse contenute.

 

Tralasciando i già grossi problemi tecnici ancora da risolvere, come ad esempio lo sblocco delle interazioni tra app e messaggistica su sistemi Linux/Ubuntu, che ad oggi non permettono commistione tra app vere e proprie e short messages, c’è da chiedersi se saranno davvero gli utenti a stabilire quali interazioni consentire e in che misura rendere possibile l’accesso ai propri dati. Basta pensare che una app come Whatsapp richiede di poter salvare e scaricare le immagini inviate dagli utenti direttamente nella galleria del proprio smartphone/tablet/computer, ossia in una parte del sistema operativo che poco c’entra con la app in quanto tale. Se Whatsapp diventa interoperabile con altre app, anche queste ultime potrebbero accedere ad informazioni collegate con il contenuto della galleria. Un ulteriore dubbio viene dal fatto che molti utenti potrebbero veder sfumare la privacy garantita dall’utilizzo di fake account creati con una delle tre app: se costoro diventassero raggiungibili anche via sms, parte di questa privacy potrebbe non esser più garantita come una volta. In breve, se i tre sistemi verranno resi interoperabili senza la possibilità di creare dei veri e propri “comparti stagni digitali” al loro interno, potremmo presto trovarci di fronte ad un nuovo scandalo Cambridge Analytica.

L’ITALIA E LA CATENA DI CUSTODIA DEI DATI DIGITALI

di Serena Lisi

 

Da poco più di un anno, in Italia è stata emanata la circolare 1/2018 della Guardia di Finanza in materia di custodia dei dati digitali nel settore del contrasto alla frode fiscale. Il documento funge da vero e proprio “Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali”. La circolare copre tutti gli aspetti dell’ambito investigativo di competenza della Guardia di Finanza ed è, perciò, diviso in quattro volumi dedicati ai vari aspetti delle procedure di accertamento: logistici, giuridici, normativi, organizzativi, divisione o condivisione di competenze con altri organi investigativi e così via.

 

Una sezione di particolare interesse è quella dedicata alla catena di custodia dei dati digitali, dove si trovano riferimenti raccolti in maniera organica sia alla dottrina che alla pratica del settore digitale forense, a ben 10 anni dall’emanazione della legge 48/2008, ossia del provvedimento normativo che ha reso operativa anche in Italia la Convenzione di Budapest sul Cybercrime del 2001. Per la prima volta viene individuata e descritta concretamente la figura di  esperti facenti parte del personale del Corpo, che risultino in possesso della qualifica “CFDA” – Computer Forensics e Data Analysis. È un primo passo importante per la definizione delle competenze di coloro che, in ambito civile e militare, abbiano a che fare a qualsiasi titolo con la cosiddetta catena di custodia delle informazioni digitali. Così come previsto nella Convenzione di Budapest, la catena di custodia delle informazioni digitali è stata pensata soprattutto per applicazioni in campo investigativo e penale, ma può essere comunque applicata anche per semplici scopi di trattamento sicuro dei dati dematerializzati; non a caso, gli articoli specificamente dedicati a questo argomento sono gli artt. 244-47 c.p.p. (ispezione, ricognizione e perquisizione), 254-bis c.p.p. (sequestro) e 259 c.p.p. (custodia e integrità dei dati).

 

Dal testo della circolare 1/2018 emerge che il contesto italiano è ancora piuttosto difforme e variegato in materia di applicazione della normativa sui dati digitali. Ad esempio, la già citata figura del CFDA nasce proprio perché spesso, in sede di indagine, la magistratura competente non nomina né un ausiliario di polizia giudiziaria ex art. 348, comma 4, c.p.p. (cioè un soggetto, interno o esterno, in grado di assicurare il corretto trattamento della fonte di prova), né un esperto di trattamento dei dati digitali ex art. 459 c.p.p. Questo esempio ci fa concludere che può essere, in un certo senso, estesa all’intero contesto del trattamento delle fonti digitali in ambito legale: da una parte, almeno in linea di massima, la legge 48/2008 ha colmato il vuoto normativo italiano, anche se ben sette anni dopo la firma della Convenzione di Budapest; dall’altra, però, le fattispecie concrete continuano ad essere trattate in maniera difforme, secondo standard e protocolli che variano da caso a caso e senza una figure di riferimento codificate in maniera univoca dalla legge nazionale, poiché queste ultime vengono sostituite da soggetti  ad hoc individuati a discrezione delle Autorità competenti in ciascuna materia, così come evidente dal caso qui presentato.

 

La questione della difformità di trattamento dei dati digitali non è circoscritta all’eterogeneità dei soggetti titolari del trattamento, sia in fase di gestione ordinaria (custodia ed utenza quotidiana) che straordinaria (contestazioni e cause in sede civile e penale): essa si estende anche alle vere e proprie modalità del trattamento in questione. Due sono i punti critici, soprattutto in sede probatoria e penale: l’effettivo rispetto della già citata catena di custodia del dato in quanto tale e la gestione dei metadati ad esso collegati.

 

Per quello che riguarda il primo punto – la catena di custodia – possiamo dire che la legge parla chiaro ma le buone pratiche (anch’esse ormai note) stentano ad essere applicate in maniera uniforme, soprattutto dove servirebbe, ossia in materia penale. Fatta eccezione per la circolare della Guardia di Finanza, spesso il ciclo dell’informazione a fini giudiziari non osserva la necessaria scansione logica, tecnica e temporale tra le diverse e ormai note fasi della catena di custodia: ricognizione, ispezione e perquisizione, sequestro. Spesso sia gli organi inquirenti che giudicanti tendono a confondere la mera ricognizione con l’ispezione e perquisizione degli spazi virtuali ed associano, invece, il sequestro alla perquisizione dei supporti, senza però utilizzare gli strumenti necessari per evitare l’inquinamento o la corruzione delle prove, che avviene per lo più con l’involontaria modifica o cancellazione dei metadati. Un esempio è fornito dal ben noto caso del delitto di Garlasco, occasione in cui né l’accusa né la difesa ebbero la possibilità di utilizzare gli indizi (forse prove?) contenuti nel laptop del principale sospettato, poiché esso era stato acceso e spento più volte senza aver “cristallizzato” i metadati contenuti al momento della prima ricognizione. In parole più semplici, non erano stati utilizzati quegli specifici dispositivi di acquisizione sicura che oggi la circolare 1/2018 individua come segue: “specifici dispositivi (writeblocker, duplicatori) e/o applicativi (software di acquisizione forense), capaci di garantire l’integrità dell’evidenza acquisita”.

 

Come già detto, tuttavia, la circolare, al momento, riguarda per lo più reati di tipo finanziario, dove l’organo inquirente è, appunto, la Guardia di Finanza. Tuttavia, essa può essere uno spunto per tutti coloro che lavorano in sede investigativa, penale e non, in ambiente civile e militare. Infatti, il quadro offerto dalla Convenzione di Dublino e dalla legge 48/2008 avrebbe già indicato una possibile strada da percorrere. Da queste fonti normative, infatti, si possono individuare le caratteristiche-base della catena di custodia dei dati digitali, che peraltro hanno ispirato la circolare 1/2018. Caratteristiche che possono essere così riassunte:

 

– creare un Documento di Catena di Custodia, ove siano censiti tutti i soggetti che hanno maneggiato supporti e dati digitali e tutte le azioni compiute su supporti e dati;

– separare le fasi di ricognizione, ispezione e perquisizione, sequestro di dati e supporti, incaricando, con un provvedimento ufficiale, i titolari e i custodi di dati e supporti, accertandosi che eventuali passaggi di consegne o incarico siano svolti in maniera conforme al protocollo di custodia;

– tener conto di quali accertamenti siano ripetibili e quali non ripetibili, come ad esempio il posizionamento in luogo e lasso temporale idoneo di telecamere per filmare soggetti in flagranza di reato.

 

In buona sostanza, l’impianto normativo esiste: si tratta ora di applicarlo su larga scala e di cominciare ad istruire il personale addetto utilizzando un approccio interdisciplinare, senza più agire secondo la logica dei “compartimenti stagni”.

L’EVOLUZIONE DELLA MINACCIA CIBERNETICA COME STRATEGIA DEGLI STATI

di Pier Vittorio Romano

 

11 settembre 2001. Da quel giorno tutto il mondo ha la consapevolezza di una nuova e micidiale minaccia non convenzionale: la dimensione cibernetica. Con l’attacco alle Torri Gemelle si è chiusa la tradizionale percezione della minaccia, l’aspetto asimmetrico ha preso il sopravvento; d’altronde lo scenario della Guerra Fredda, che ha dominato per oltre 50 anni, è stato del tutto ed irrevocabilmente modificato poiché la minaccia non ha più un confine territoriale.

 

Lo sviluppo tecnologico dell’informatica ne ha trasformato l’uso: da strumento “tattico” utilizzato per snellire l’attività burocratica è diventato, oramai, un’irrinunciabile strumento “strategico” per l’industria in generale ed anche per le forze armate di ogni nazione. Con lo sviluppo del web si sono evolute anche le sue minacce. Worms e virus si sono trasformati da semplici inconvenienti in serie sfide per la sicurezza e perfetti strumenti di spionaggio cibernetico.

 

Una delle prime modalità attacco cibernetico divenuto strumento di “guerra informatica” è il DDOS, acronimo di Distributed Denial of Services. Si tratta di un attacco informatico che cerca di mettere in sovraccarico le richieste verso un computer, generalmente un server, fino a rendergli impossibile l’erogazione dei servizi per cui è stato programmato. Questi attacchi vengono messi in atto generando un numero estremamente elevato di pacchetti di richieste che, ovviamente, il server non è in grado di gestire contemporaneamente, portando all’arresto del sistema e quindi alla “negazione” del servizio.

 

Ma ben più grave si è rivelato il malware “Stuxnet” divenuto pubblico nel giugno del 2010. Il virus fu scoperto da Sergey Ulasen, impiegato di VirusBlokAda, una società di sicurezza bielorussa. Ulasen fu chiamato dai gestori della centrale nucleare iraniana di Natanz perché un tecnico aveva osservato un riavvio inaspettato di una macchina dopo un BSoD, ovverosia “Blue Screen of Death” (schermata blu della morte), nome dato comunemente alla schermata di colore blu mostrata da un computer con un sistema operativo Microsoft Windows quando si verifica un errore di sistema critico che non può essere risolto. Dopo un’analisi, il tecnico bielorusso rilevò che tali anomalie si presentavano su più macchine e osservò comportamenti diversi tra i PC industriali ancora puliti e quelli infetti. A seguito di test con macchine ancora non infettate munite di un sistema di rilevamento collegate in rete, scoprì il tentativo di infezione.

 

Successivamente emerse che Stuxnet è un virus informatico appositamente creato e diffuso dal governo statunitense nell’ambito dell’operazione “Giochi Olimpici”, promossa da Bush nel 2006, che consisteva nel realizzare una moltitudine di “attacchi digitali” contro l’Iran in collaborazione col governo israeliano; in particolare lo scopo del software era il sabotaggio della citata centrale nucleare iraniana di Natanz. Il virus andava ad interagire con i PLC, “Programmable Logic Controller” ovvero con quei componenti hardware programmabili via software fondamentali per l’automazione degli impianti della centrale, in particolare quelli adibiti al controllo delle centrifughe, utilizzate per separare materiali nucleari come l’uranio arricchito, riuscendo anche a nascondere la propria presenza. La caratteristica che ha colpito gli esperti fin dall’inizio fu il livello di sofisticazione di Stuxnet – composto da tre grandi moduli: un worm che danneggia i PLC e permette l’autoreplicazione su altri computer, un collegamento che mette in esecuzione le copie create dal worm e un rootkit che lo nascondeva in modo da renderlo non individuabile – a dimostrazione che chi aveva scritto il programma conosceva fin nei dettagli l’ambiente informatico in uso alla centrale. Questo malware, fra l’altro, faceva leva su quattro vulnerabilità di Windows ancora inedite (0-day) all’epoca del contagio per poi propagarsi verso il software “Step7” della Siemens, quello utilizzato per controllare i PLC, informazioni che, secondo alcuni specialisti del settore, varrebbero sul mercato nero almeno un quarto di milione di dollari ciascuna. Il contagio da parte di Stuxnet è probabilmente avvenuto dall’interno del sistema industriale tramite l’inserimento di una chiavetta USB infetta in un computer da parte di un ignaro ingegnere iraniano: il worm si è poi propagato in rete fino a trovare il software “Step7” della Siemens, modificandone il codice, in modo da danneggiare il sistema facendo credere all’operatore che tutto funzionasse correttamente.

 

Successivamente Stuxnet si è diffuso anche al di fuori dalla centrale nucleare iraniana, tramite un PC portatile infetto, a causa di un errore di programmazione presente nel virus stesso, dato che Stuxnet poteva essere eseguito non solo sui citati PLC ma anche sui sistemi SCADA (Supervisory Control And Data Acquisition), colpendo principalmente le aziende da cui provenivano le attrezzature per il programma atomico iraniano: Giappone, Europa e Unione Sovietica.

 

Le tre settimane di massicci attacchi cibernetici mostrarono che, sul fronte informatico, le società dei paesi della NATO dipendenti dalle comunicazioni elettroniche erano anch’esse estremamente vulnerabili. In precedenza, durante la crisi del Kosovo, la NATO ha subìto degli attacchi cibernetici che hanno portato al blocco, per molti giorni, degli account di posta elettronica dell’Alleanza per i visitatori esterni ed alla ripetuta distruzione del sito web della NATO. Nonostante ciò, la dimensione cibernetica del conflitto venne ancora considerata solo come un ostacolo alla campagna d’informazione della NATO con rischio limitato nella sua portata al potenziale danno richiedendo, pertanto, limitate azioni tecniche di risposta accompagnate da azioni informative di basso profilo verso l’opinione pubblica.

Ci sono voluti gli eventi dell’11 settembre per cambiare tale percezione. E sono stati necessari gli incidenti in Estonia dell’estate 2007 per attirare l’attenzione politica verso questa crescente fonte di minaccia per la sicurezza pubblica e la stabilità dello Stato.

 

Nel 2008, uno dei più seri attacchi fu lanciato contro i sistemi computeristici militari USA. Attraverso una semplice penna USB collegata a un pc portatile del sistema militare in una base militare in Medio Oriente, la spia penetrò inosservata tanto nei sistemi classificati che in quelli non classificati. Ciò mostrò cosa voleva dire avere una testa di ponte digitale, da cui migliaia di file furono trasferiti a server sotto controllo straniero.

 

Dei massicci attacchi ai siti web governativi e ai server si verificarono anche in Georgia durante il conflitto con la Russia, rendendo concreto il termine guerra cibernetica. Queste azioni non produssero un danno fisico, ma indebolirono il Governo georgiano durante una fase critica del conflitto ed influirono sulla sua capacità di comunicare con un’opinione pubblica nazionale e mondiale assai scossa. Da allora, lo spionaggio cibernetico è divenuto una minaccia quasi costante. Incidenti simili si sono verificati in quasi tutti i paesi NATO e, soprattutto, negli USA.

 

Questi numerosi incidenti negli ultimi 5-6 anni sono un trasferimento di ricchezza e di segreti nazionali gelosamente custoditi verso mani per lo più anonime e assai probabilmente ostili senza precedenti nella storia. Questa tipologia di attacco chiarisce che, finora, i protagonisti più pericolosi in campo cibernetico sono ancora gli Stati. Nonostante una crescente disponibilità di capacità offensive da parte delle reti criminali, che potrebbero in futuro essere utilizzate anche da attori non statuali come i terroristi, uno spionaggio e sabotaggio assai sofisticato nel campo cibernetico necessita ancora delle capacità, della determinazione e di una logica costi-benefici che può fare capo solo ad uno Stato. Fortunatamente un terrorismo cibernetico con danni fisici ed effetti materiali non si è ancora verificato. Ma la tecnologia degli attacchi cibernetici sta chiaramente evolvendo da semplice inconveniente a seria minaccia contro la sicurezza informatica e contro le fondamentali infrastrutture nazionali.

 

Già Direttore responsabile della rivista “Informazioni della Difesa”, organo ufficiale dello Stato maggiore della Difesa per il quale ha curato lo speciale “Lo spazio cibernetico tra esigenze di sicurezza nazionale e tutela delle libertà individuali” , Pier Vittorio Romano è giornalista pubblicista e attuale Capo di Stato Maggiore della Legione Carabinieri Abruzzo e Molise. 

DECIDERE IN AMBIENTE COMPLESSO NEL 21° SECOLO: INTELLIGENZA UMANA, ARTIFICIALE O AUMENTATA?

di Cristiano Galli

 

Lo sviluppo tecnologico degli ultimi cinquant’anni ha creato una profonda modificazione della realtà in cui le organizzazioni moderne, civili e militari, si trovano a pensare, operare e soprattutto decidere. Anche l’Aeronautica Militare con la propria iniziativa Aeronautica 4.0 ha assunto la consapevolezza della necessità di adattare il proprio modello organizzativo al servizio del Paese assumendo la conformazione tipica di quelle che oggi sono definite KIF, ossia Knowledge Intensive Firms.  E’ un settore di sviluppo delle scienze organizzative assolutamente recente e non esiste ancora una definizione condivisa, pur tuttavia possiamo definirle come organizzazioni che sfruttano una gerarchia orizzontale (o quantomeno reticolare) all’interno della quale gli attori condividano un forte senso di appartenenza che gli consente di auto strutturarsi in modalità funzionali allo scopo comune, con una forte spinta alla collaborazione ed una spinta decentralizzazione dei processi decisionali.

 

Secondo Fjeldstad, Snow, Miles e Lettl (The architecture of collaboration – Strategic Management Journal, 33) esistono tre elementi basilari nell’ambito delle KIFs: gli attori (cioè coloro che hanno le capacità e i valori per auto-organizzarsi), i commons (cioè gli ambienti e gli strumenti attraverso i quali gli attori accumulano e condividono le risorse) ed infine un elemento che è definito come PPI (cioè l’insieme di Protocolli, Processi e Infrastrutture che abilitano una collaborazione multi attore).

 

Al centro di questo processo di ristrutturazione sono evidenziabili due elementi critici: l’elemento umano e l’elemento non umano. Nella fattispecie, l’elemento non umano da prendere in considerazione nell’ambito dei processi decisionali è la cosiddetta Intelligenza Artificiale o AI (Artificial Intelligence).

 

Partendo dall’elemento umano, gli studi di Daniel Kahneman e di Amos Tversky (padri dell’Economia Comportamentale, successivamente evolutasi nella Neuroeconomia) nel settore della “capacità decisionale in contesti ambigui” hanno dimostrato che, nel cervello umano esistono due sistemi neurali basilari per processare le informazioni allo scopo di prendere decisioni: il System 1 e il System 2.

 

Sono due modalità distinte attraverso le quali il cervello umano prende decisioni, il System 1 è automatico, veloce e spesso opera a livello di pensiero incosciente. E’ autonomo, emotivo, intuitivo ed efficiente richiedendo bassi livelli di energia ed attenzione, ma per questo soggetto ai cosiddetti BIAS Cognitivi (attualmente ne sono stati studiati ed individuati svariate decine su base puramente cognitiva o sociale) o errori sistematici. Si è sviluppato per la nostra sopravvivenza e pertanto ha un approccio sintetico e approssimativo basato su meccanismi di memoria associativa.

Il System 2 è invece più lento e razionale, in grado di svolgere operazioni complesse logiche ed analitiche. Sfrutta principalmente la regione cerebrale più recente in termini evolutivi, la corteccia prefrontale. Forse proprio per la sua relativa immaturità evolutiva richiede un grosso dispendio di energia ed è l’unico in grado di processare problematiche innovative. Questo secondo sistema è molto meno soggetto ad errori interpretativi ma limitato dal numero di dati che riesce a processare.

 

Possiamo quindi sintetizzare che l’elemento umano, nell’ambito del processo decisionale organizzativo, possieda un’efficiente capacità decisionale intuitiva, caratterizzata dall’elevata quantità di informazioni sensoriali provenienti dall’ambiente esterno e dall’esperienza sociale ed etica limitato però da una elevata sensibilità ad errori sistematici (BIAS cognitivi e sociali). Al contempo, il processo decisionale umano, è caratterizzato da un’efficace capacità logica e analitica, poco sensibile agli errori ma caratterizzata da una limitata capacità in termine di quantità di dati processabili.

 

Passando ora all’elemento non umano, possiamo definire l’Intelligenza Artificiale (AI), basandoci sulla definizione data da McCarthy: ”una macchina in grado di comportarsi secondo modalità che potrebbero essere definite intelligenti ove fosse un essere umano a comportarsi nella medesima maniera”.  In altre parole, l’AI non è altro che una macchina in grado di imparare e pensare come un essere umano. Nella rapida evoluzione che questo settore scientifico sta affrontando negli ultimi anni sono state individuate due forme distinte: la forma “debole” e la forma “forte”.

 

La forma debole di AI è presente nella nostra vita di ogni giorno sotto forma di Expert Systems (un computer in grado di simulare il comportamento di problem solving di un essere umano in un dominio specifico e limitato), Machine Learning (l’abilità di un computer di raffinare autonomamente i propri metodi ed incrementare i propri risultati elaborando un numero crescente di dati), Natural Language Processing (NLP), Machine Vision and Speech Recognition (elaborazione computerizzata dei principi della Programmazione Neurolinguistica (PNL) e capacità di interpretazione ed analisi di immagini).

 

La forma forte di AI riguarda invece la capacità di una macchina di sviluppare una propria coscienza e di emulare le funzioni principali del cervello umano. È proprio nell’aspetto della coscienza di sé che il settore di sviluppo dell’AI sta incontrando ancora serie limitazioni tecnologiche e concettuali. In particolare esistono forti dubbi sulla capacità delle macchine di operare efficacemente in un contesto guidato da fenomeni etici e sociali.

 

Possiamo quindi sintetizzare che l’attuale sviluppo tecnologico rende le macchine funzionali allo sviluppo di un processo di decision making puramente razionale che però, rispetto al cervello umano, consente l’elaborazione di una quantità pressoché infinita di dati (Big Data).

 

Parallelamente, le limitazioni delle macchine a svolgere un efficace processo decisionale intuitivo derivano dall’impossibilità di fornire alla macchina il medesimo input sensoriale a disposizione del cervello umano e dall’impossibilità di fornire loro il patrimonio esperienziale derivante dal lungo processo evolutivo della specie umana.

 

Applicando una logica integrativa, tipica dei sistemi adattivi complessi, appare chiaro che la migliore soluzione applicabile nelle organizzazioni KI (Knowledge Intense) per rendere i processi decisionali efficaci ed efficienti, derivi dal mettere a sistema i punti di forza e le debolezze dei sistemi umani e non umani. L’integrazione di sistemi di AI con i processi decisionali umani e collettivi prende il nome di Intelligenza Aumentata (Augmented Intelligence).

Sintetizzando un potenziale utilizzo integrativo delle intelligenze umana ed artificiale Dejoux e Léon (Métamorphose des managers – 2018) hanno ipotizzato uno schema come in figura.

 

Un’innovazione geniale apportata da Mélanie Claudé e Dorian Combe in una recentissima pubblicazione di Master (The roles of Artificial Intelligence and Humans in decision making: towards augmented humans? – 2018) ha introdotto un’importante variazione al modello di Dejoux e Léon, la possibilità di sfruttare l’output decisionale dell’Intelligenza Artificiale, analizzato e mitigato dall’analisi intuitiva, esperienziale ed etica dell’intelligenza umana, quale elemento di feedback all’intero processo decisionale, con lo scopo di ottimizzare la strutturazione del problema iniziale e migliorare così il framework di contesto all’interno del quale si svolge la decisione stessa.

 

In estrema sintesi è possibile affermare che l’attuale sviluppo tecnologico e di evoluzione cerebrale rende disponibile un’intelligenza umana che vede nella capacità intuitiva il proprio punto di forza e nella scarsa capacità di elaborazione quantitativa il proprio limite di decisione razionale. Parallelamente abbiamo un’intelligenza artificiale che vede nella propria capacità quantitativa di elaborazione dati il punto di forza nell’ambito dei processi decisionali razionali ed invece una limitata capacità di decisione intuitiva dovuta alla semplificazione delle informazioni di contesto in input, dalla limitata esperienza evolutiva e sociale e dalla mancanza della percezione di sé.

 


L’applicazione di un modello decisionale integrato, secondo lo schema di figura (Claudé e Comb), consentirebbe di rendere il processo decisionale ibrido artificiale-umano (Intelligenza Aumentata), efficace ed efficiente, limitando gli effetti dei BIAS cognitivi e sociali tipici del System 1 ed anche l’inefficienza energetica e la scarsa capacità di calcolo del System 2.