Privacy Letters #76

VPN VS EU, Risconoscimento facciale e molto altro...

Dalla trasmissione #76, cifrata e dispersa tra firewall e proxy. Questi sono i messaggi scampati alla rete di controllo:

• VPN: Un problema per l’Europa

• Non ho nulla da nascondere

• Riconoscimento Facciale

• Sorveglianza “Made in Europe”

---

---

L’Europa ora guarda alle VPN come un “problema”

E quando gli strumenti di privacy iniziano a essere visti come ostacoli, vale la pena fermarsi a riflettere

C’è un cambio di tono in Europa che merita attenzione.

Per anni le VPN sono state raccontate per quello che sono: strumenti legittimi di privacy e sicurezza. Le usano giornalisti, attivisti, aziende, ricercatori, persone che viaggiano, cittadini che vogliono semplicemente proteggere il proprio traffico da reti Wi-Fi insicure o da tracciamenti invasivi.

Oggi, però, nel dibattito europeo sull’age verification, qualcosa sta cambiando.

Sempre più spesso le VPN vengono descritte come una “scappatoia” da chiudere, un loophole che permette ai minori di aggirare i sistemi di verifica dell’età semplicemente cambiando geolocalizzazione o instradando il traffico altrove. È una preoccupazione reale: se un sistema si aggira in pochi clic, la sua efficacia si indebolisce.

Fin qui, il ragionamento è comprensibile.

Il problema è quello che viene dopo.

Perché se inizi a considerare le VPN un ostacolo normativo, la tentazione successiva è ovvia: limitarle, regolamentarle o renderle più difficili da usare.

Ed è qui che la questione smette di riguardare solo i minori.

Una VPN non è un trucco. È un’infrastruttura di libertà digitale

Nel dibattito pubblico c’è spesso un errore di fondo: associare le VPN a chi vuole “aggirare regole”.

Ma la realtà è molto diversa.

Una VPN serve per:

• proteggere dati su reti pubbliche;

• nascondere traffico da ISP e tracker;

• lavorare in sicurezza da remoto;

• evitare censura in Paesi repressivi;

• ridurre profilazione commerciale;

• proteggere la propria posizione geografica.

Tradotto:

una VPN non è una scorciatoia per infrangere regole, è spesso uno dei pochi strumenti che restituiscono un po’ di controllo all’utente.

Metterla nel mirino cambia profondamente il significato politico di questa tecnologia.

Il vero paradosso europeo

Qui emerge una contraddizione interessante.

Da una parte Bruxelles promuove sistemi di verifica dell’età “privacy-preserving”, basati su prove crittografiche anonime, pensati per dimostrare che sei maggiorenne senza rivelare chi sei. È la strada giusta, almeno in teoria.

Dall’altra, però, riconosce apertamente che questi sistemi possono essere aggirati con una VPN ed inizia quindi a guardare proprio agli strumenti di privacy come un problema.

Il messaggio implicito diventa:

la privacy va bene, finché non rende difficile far rispettare le regole.

Ed è una linea molto delicata.

Perché storicamente, ogni volta che uno strumento di anonimato viene descritto come “un ostacolo”, il passo successivo è quasi sempre più controllo sull’infrastruttura.

Più verifiche.
Più blocchi.
Più monitoraggio.
Più centralizzazione.

Chi decide cosa è un uso “legittimo”?

È qui che bisogna stare attenti.

Se domani una VPN diventa qualcosa da limitare perché permette di bypassare la verifica dell’età, dopodomani cosa succede con:

• browser privacy-first;

• DNS cifrati;

• relay network;

• strumenti anti-tracking;

• reti decentralizzate?

Perché la logica tecnica è sempre la stessa:

qualsiasi tecnologia che aumenta anonimato riduce capacità di enforcement.

Ma anonimato ed abuso non sono sinonimi.

Confondere le due cose è uno dei modi più rapidi per costruire un web più controllato.

Il punto

Proteggere i minori online è un obiettivo giusto. Su questo c’è poco da discutere.

Ma se per farlo iniziamo a trattare gli strumenti di privacy come un problema strutturale, rischiamo di creare un precedente enorme:

un Internet dove la sicurezza dei più giovani viene costruita riducendo la privacy di tutti.

E una volta che strumenti come le VPN smettono di essere visti come protezione e iniziano a essere raccontati come “loophole”, il confine tra tutela e controllo diventa molto sottile.

Molto più sottile di quanto sembri.

---

---

🔐 “Non ho nulla da nascondere” è probabilmente la frase più pericolosa del digitale

Perché la privacy non riguarda i segreti. Riguarda il potere.

C’è una frase che ritorna sempre, ogni volta che si parla di privacy online:

“A chi vuoi che interessino i miei dati? Tanto non ho nulla da nascondere.”

È una frase detta quasi sempre in buona fede.
Eppure racconta un enorme fraintendimento su cosa sia davvero la privacy.

Perché la privacy non serve a nascondere qualcosa.
Serve a proteggere qualcosa.

La differenza è enorme.

La privacy non riguarda i criminali. Riguarda le persone normali

Quando pensiamo alla sorveglianza o alla raccolta dati, spesso immaginiamo scenari estremi: criminali, hacker, attività illegali.

Ma la realtà è molto più quotidiana.

I dati che produciamo ogni giorno raccontano:

• dove viviamo;

• cosa compriamo;

• quanto dormiamo;

• chi frequentiamo;

• cosa cerchiamo online;

• quanto guadagniamo;

• cosa temiamo;

• in cosa crediamo.

Non serve “avere qualcosa da nascondere” perché queste informazioni abbiano valore.

Hanno valore commerciale.
Hanno valore politico.
Hanno valore assicurativo.
Hanno valore strategico.

E soprattutto: hanno valore predittivo.

Oggi le aziende non raccolgono dati solo per sapere chi sei.
Li raccolgono per prevedere cosa farai.

Il vero problema non è la raccolta dati. È l’asimmetria di potere

Pensiamoci un attimo.

Noi sappiamo pochissimo delle piattaforme che usiamo ogni giorno.
Loro, invece, sanno moltissimo di noi.

Conoscono:

• le nostre abitudini;

• i nostri orari;

• le vulnerabilità emotive;

• i contenuti che ci tengono incollati allo schermo;

• i momenti in cui siamo più impulsivi o influenzabili.

Questa non è solo pubblicità mirata.

È una forma di squilibrio informativo senza precedenti nella storia moderna.

E quando qualcuno possiede abbastanza dati da capire i tuoi comportamenti meglio di quanto li capisca tu stesso, la questione smette di essere tecnologica.

Diventa politica.

“Non ho nulla da nascondere” funziona… finché nulla cambia

Storicamente, la privacy è sempre sembrata poco importante, fino al momento in cui smette di esserlo.

Le società democratiche funzionano anche perché esistono spazi dove possiamo:

• pensare liberamente;

• informarci senza essere osservati;

• cambiare idea;

• dissentire;

• sbagliare;

• essere vulnerabili.

Senza privacy, molte libertà diventano teoriche.

Perché le persone cambiano comportamento quando sanno di essere osservate.

È un meccanismo umano.
Naturale.
Profondo.

Ed è per questo che la privacy non protegge solo i dati: protegge l’autonomia personale.

I dati innocui non esistono più

Molti pensano:

“Va bene, ma io condivido solo cose normali.”

Il problema è che oggi anche dati apparentemente banali diventano sensibili quando vengono aggregati.

La tua posizione GPS, da sola, sembra innocua.
Le tue ricerche online, prese singolarmente, anche.
Gli acquisti con carta? Idem.

Ma messi insieme raccontano una vita intera.

Possono rivelare:

• problemi di salute;

• separazioni;

• difficoltà economiche;

• orientamento politico;

• dipendenze;

• abitudini quotidiane.

Ed è qui che cambia tutto.

Perché non importa quanto “normali” siano i tuoi dati.
Importa quanto accuratamente permettono di costruire un profilo di te.

La privacy è anche protezione per chi ci sta vicino

C’è poi un aspetto di cui si parla poco.

Quando trattiamo con superficialità la nostra privacy, spesso non esponiamo solo noi stessi.

Esponiamo:

• familiari;

• figli;

• partner;

• colleghi;

• amici.

Una foto condivisa.
Una rubrica sincronizzata.
Una posizione GPS salvata automaticamente.

Nel digitale, i dati non sono quasi mai individuali.
Sono relazionali.

Ed è anche per questo che la privacy non è soltanto una scelta personale.

È una responsabilità collettiva.

Il punto

Difendere la privacy non significa vivere nella paranoia.
Non significa nascondersi.
Non significa avere segreti.

Significa difendere il diritto di mantenere controllo sulla propria vita digitale.

Perché una società dove tutto viene raccolto, analizzato, profilato e conservato è una società dove il potere si concentra inevitabilmente nelle mani di chi controlla quei dati.

E il problema della sorveglianza non è ciò che succede quando tutto va bene.

È ciò che può succedere quando qualcosa cambia:

• un governo;

• una legge;

• un algoritmo;

• un’assicurazione;

• un datore di lavoro;

• una piattaforma.

La privacy esiste proprio per questo.

Non per proteggere ciò che abbiamo da nascondere.

Ma per proteggere ciò che abbiamo il diritto di essere.

---

---

Il riconoscimento facciale non è più fantascienza

Ed è probabilmente una delle tecnologie più delicate che stiamo normalizzando

Per anni il riconoscimento facciale è stato raccontato come qualcosa da film di fantascienza: telecamere intelligenti capaci di identificare persone in mezzo alla folla, sistemi automatici che “riconoscono” un volto in pochi secondi, città sempre più connesse e automatizzate.

Oggi non è più teoria.

Questa tecnologia è già ovunque:

• aeroporti;

• smartphone;

• stazioni;

• centri commerciali;

• social network;

• videocamere urbane;

• controlli di frontiera;

• sistemi di sicurezza pubblici e privati.

E la sua diffusione sta accelerando molto più velocemente del dibattito pubblico su ciò che comporta davvero.

Come funziona davvero il riconoscimento facciale

Alla base del Facial Recognition Technology (FRT) non c’è “magia”.

Ci sono algoritmi che analizzano il volto umano trasformandolo in un modello matematico unico, una sorta di impronta biometrica digitale.

Il sistema misura:

• distanza tra gli occhi;

• forma del naso;

• contorni del viso;

• struttura mandibolare;

• proporzioni facciali;

• microcaratteristiche biometriche.

Questi dati vengono poi confrontati con immagini presenti in database pubblici o privati per verificare identità o trovare corrispondenze.

In pratica:

il volto smette di essere semplicemente un’immagine e diventa un dato identificativo permanente.

Ed è qui che la questione cambia completamente.

Il problema non è solo tecnico. È umano

Per anni molti sistemi di riconoscimento facciale hanno mostrato livelli di accuratezza molto diversi a seconda dell’etnia, del genere o dell’età delle persone analizzate.

Diversi studi — incluso il celebre “Gender Shades” del MIT Media Lab — hanno evidenziato che alcuni algoritmi commettevano molti più errori nell’identificare persone nere, donne o minoranze etniche rispetto ai soggetti maschi caucasici.

Negli ultimi anni la tecnologia è migliorata molto, soprattutto grazie ai progressi dell’AI generativa e dei dataset più ampi. Ma il problema non è sparito del tutto.

E quando un sistema biometrico sbaglia, le conseguenze possono essere enormi:

• controlli ingiustificati;

• falsi positivi;

• discriminazioni;

• arresti errati;

• esclusioni automatiche da servizi o spazi pubblici.

Perché un errore biometrico non è come un bug qualsiasi.

quando un algoritmo sbaglia identità, sta sbagliando una persona reale.

Il rischio più grande: la normalizzazione della sorveglianza

C’è però una questione ancora più importante della precisione tecnica.

Il riconoscimento facciale cambia il rapporto tra individuo e spazio pubblico.

Per la prima volta nella storia diventa realisticamente possibile:

• identificare persone in tempo reale;

• tracciare spostamenti;

• ricostruire reti sociali;

• monitorare comportamenti;

• associare identità fisica e attività digitale su larga scala.

E tutto questo può avvenire in modo invisibile.

Senza che ce ne accorgiamo.

Senza consenso reale.

Senza sapere dove finiscono i dati raccolti.

Il rischio non è solo “essere osservati”.

È vivere in contesti dove l’osservazione costante diventa normale.

L’Europa prova a mettere dei limiti

Negli ultimi anni l’Unione Europea ha iniziato a intervenire sul tema attraverso l’AI Act, introducendo restrizioni molto più severe sui sistemi biometrici ad alto rischio.

In particolare, l’uso del riconoscimento facciale in tempo reale negli spazi pubblici da parte delle autorità viene fortemente limitato e consentito solo in casi specifici, come minacce terroristiche o ricerca di persone scomparse.

Ma il problema resta enorme.

Perché la tecnologia evolve più velocemente delle leggi.
E soprattutto perché gran parte dell’infrastruttura biometrica globale è controllata da aziende private.

Chi sviluppa queste tecnologie

Dietro il riconoscimento facciale oggi troviamo alcuni dei più grandi attori tecnologici al mondo:

• Amazon

• Microsoft

• Google

• IBM

Accanto a loro operano aziende specializzate in biometria e sorveglianza come:

• Clearview AI

• Idemia

• NEC

• Cognitec Systems

Alcune di queste società collaborano con governi, aeroporti, forze dell’ordine e infrastrutture critiche in tutto il mondo.

E qui emerge un’altra domanda importante:

chi controlla davvero i sistemi che un giorno potrebbero identificare ogni nostro movimento?

Il punto

Il riconoscimento facciale non è soltanto una tecnologia.

È un cambio culturale profondo.

Perché trasforma il volto umano, qualcosa che fino a ieri apparteneva semplicemente alla nostra identità fisica, in una chiave permanente di accesso, monitoraggio e profilazione.

La questione non è essere “pro” o “contro” tecnologia.

La questione è capire che:

una società dove ogni volto può essere identificato in tempo reale è una società che cambia radicalmente il significato stesso di anonimato nello spazio pubblico.

E una volta persa quella forma di anonimato, recuperarla potrebbe essere molto più difficile di quanto immaginiamo.

---

---

🇪🇺 Sorveglianza “Made in Europe”: il lato oscuro dell’export tecnologico europeo

Tra AI, biometria e cybersecurity, Bruxelles rischia di alimentare proprio il modello digitale che dice di voler limitare

L’Europa ama raccontarsi come il contrappeso etico della Silicon Valley e dei modelli di sorveglianza autoritari.

GDPR, AI Act, limitazioni sul riconoscimento facciale, tutela dei diritti fondamentali: negli ultimi anni Bruxelles ha costruito gran parte della propria identità tecnologica attorno all’idea di una “digitalizzazione democratica”.

Ma dietro questa narrativa esiste una contraddizione sempre più evidente.

Secondo una recente analisi, aziende europee starebbero continuando a esportare tecnologie di sorveglianza avanzata verso governi e regimi con standard democratici estremamente discutibili. Il tema non riguarda solo spyware offensivi, ma un ecosistema molto più ampio di strumenti biometrici, analisi dati e monitoraggio digitale.

Ed è qui che la questione diventa strategica.

Perché il problema non è soltanto “vendere software”.
Il problema è esportare capacità di controllo.

Il nuovo mercato geopolitico: la sorveglianza come infrastruttura

Negli ultimi dieci anni la sorveglianza digitale è diventata un settore industriale globale.

Non si parla più soltanto di telecamere o intercettazioni tradizionali. Oggi i governi acquistano piattaforme capaci di:

• effettuare riconoscimento facciale in tempo reale;

• correlare enormi quantità di dati biometrici;

• monitorare attività social e comunicazioni;

• automatizzare profilazione e identificazione;

• costruire sistemi predittivi basati su AI.

In molti casi queste tecnologie vengono presentate come strumenti per:

• sicurezza nazionale;

• antiterrorismo;

• gestione frontiere;

• contrasto al cybercrime.

Ed è vero che questi casi d’uso esistono realmente.

Ma il problema emerge quando le stesse infrastrutture vengono adottate da governi con scarso rispetto per libertà civili, opposizione politica e indipendenza giudiziaria.

Perché una piattaforma progettata per “proteggere” può facilmente trasformarsi in uno strumento di repressione sistemica.

Il paradosso europeo

L’aspetto più delicato è proprio questo:

l’Europa prova a regolamentare la sorveglianza internamente mentre parte della sua industria tecnologica contribuisce alla sua diffusione globale.

È una tensione che ricorda molto da vicino quella già vista nel settore cyber offensivo con spyware come Pegasus.

Da un lato Bruxelles promuove:

• AI affidabile;

• human-centric AI;

• protezione biometrica;

• diritti digitali.

Dall’altro il mercato europeo resta competitivo proprio in segmenti altamente sensibili come:

• biometria;

• digital forensics;

• lawful interception;

• intelligence software;

• analytics platforms.

Il risultato è un doppio livello normativo sempre più difficile da sostenere politicamente.

Perché la domanda inevitabile diventa:

fino a che punto un’azienda può dichiararsi “compliant con i valori europei” mentre vende tecnologie potenzialmente utilizzabili per sorveglianza politica o controllo sociale?

La sorveglianza moderna non è più visibile

Uno degli errori più comuni è immaginare la sorveglianza come qualcosa di esplicito.

Telecamere ovunque.
Controlli fisici.
Monitoraggio evidente.

La realtà moderna è molto più sofisticata.

Oggi la sorveglianza è spesso:

• algoritmica;

• automatizzata;

• invisibile;

• distribuita;

• predittiva.

L’integrazione tra AI, big data e biometria consente di costruire sistemi capaci non solo di identificare individui, ma di analizzarne comportamenti, relazioni e movimenti su larga scala.

Ed è qui che cambia completamente il paradigma.

Perché il rischio non riguarda più soltanto “essere osservati”.

Riguarda la possibilità di essere costantemente classificati, profilati e valutati da sistemi automatizzati.

AI Act e limiti europei: basteranno davvero?

L’AI Act europeo rappresenta uno dei primi tentativi globali di limitare alcuni usi ad alto rischio dell’intelligenza artificiale, soprattutto in ambito biometrico e sorveglianza pubblica.

In teoria, sistemi come il riconoscimento facciale in tempo reale negli spazi pubblici dovrebbero essere fortemente limitati nell’UE.

Ma qui emerge un nodo critico:

le restrizioni interne non impediscono automaticamente l’export verso altri Paesi.

Ed è una dinamica già vista in altri settori tecnologici.

L’Europa rischia quindi di trovarsi in una posizione paradossale:

• limitare certe pratiche sul proprio territorio;

• ma contribuire indirettamente alla loro diffusione globale attraverso il mercato.

Il vero tema è il potere infrastrutturale

Questa vicenda racconta qualcosa di molto più ampio del semplice export tecnologico.

Racconta la trasformazione della sorveglianza in infrastruttura geopolitica.

Chi controlla queste piattaforme controlla capacità strategiche enormi:

• identificazione;

• monitoraggio;

• analisi sociale;

• intelligence;

• gestione del dissenso.

E nel momento in cui AI e biometria diventano strumenti sempre più economici e scalabili, il rischio è che la sorveglianza avanzata smetta di essere privilegio di poche superpotenze.

Diventa un prodotto globale.

Il punto

La questione non è se la tecnologia di sorveglianza possa essere utile.

In molti contesti lo è realmente.

La questione è un’altra:

chi decide i limiti del suo utilizzo una volta esportata?

Perché software, AI e biometria non sono strumenti neutri nel momento in cui vengono inseriti in sistemi politici autoritari o semi-autoritari.

E l’Europa, che oggi prova a costruire la propria identità digitale attorno ai diritti fondamentali, dovrà prima o poi rispondere a una domanda molto scomoda:

si possono davvero esportare tecnologie di sorveglianza senza esportarne anche le conseguenze politiche?

---

---