Prontuario di broken window policing tecnologico a Macerata. O di come oggi sto bestemmiando e con molta probabilità mi sto avvicinando ad un’immagine delle proteste di Hong Kong.
Con il potere fantastico del linguaggio, uno dei giornali locali di Macerata titola “Occhio del Grande Fratello sulla città” per indicare due nuovi protocolli d’intesa siglati e relativi alla sala operativa per le riprese delle videocamere di sorveglianza cittadine e per un nuovo progetto di “mutualità di vicinato.”
Fino a prova contraria, l’occhio del Grande Fratello non dovrebbe essere un vanto, eppure nella seconda riga del titolo si garantiscono “più sicurezza e privacy”: vittoria per tutti, siamo al sicuro.
Tappezziamo la città di videocamere, staniamo ogni topo, monitoriamo ogni singolo attimo della nostra vita su questi nuovi fiammanti schermi della nuova sala operativa. Nel testo dell’articolo, però, il viceministro dell’Interno sottolinea come si giochi tutto sulla percezione, su come sia necessario ricostruire la realtà e alimentarne il racconto.
Questo è, sostanzialmente, quello che fa la teoria della broken window police (nota dottrina tritacarne neoliberista): andiamo ad individuare nuove forme di criminalità, cerchiamo qualunque devianza e reprimiamola. In questo calderone di crimini finiscono spesso tutti quelli che vanno contro il “decoro”—tema che va a braccetto con la qualità della vita—e sostanzialmente la condizione stessa di povertà.
Povertà che però è dovuta guarda caso a scelte politiche di merda.
La broken window policing serve per estirpare quei soggetti che si trovano in condizioni di povertà, visto che la narrazione socio-politica stessa la trasforma in criminalità e non se ne vuole fare carico con altre forme di aiuto.
All’improvviso, però, il viceministro dice che i casi di reati sono diminuiti. C’è un problema: a fronte di un calo di reati la percezione delle persone rimane la stessa, ovvero c’è comunque criminalità diffusa.
Ovviamente il ruolo delle testate giornalistiche gioca un ruolo cruciale in questo processo di costruzione del reale, ma non dimentichiamo poi però il secondo Protocollo siglato, quello sulla “mutualità di vicinato.”
Lo scopo è di avvicinare l’attività delle forze dell’ordine alla comunità locale, con tutta una serie di incontri. Senza troppi giri di parole però stabiliscono chiaramente il vero scopo: informare la cittadinanza sui fenomeni di microcriminalità.
Riassunto: i reati scendono, le persone potrebbero potenzialmente pensare che vada tutto ok e che forse è ora di rivolgere il proprio odio verso i decisori politici, MA se introduciamo timori creati ad hoc su fenomeni di microcriminalità (che ovviamente vengono definiti in maniere sempre più stringenti, pensiamo ai vari decreti sicurezza che impediscono quasi tutto) a quel punto torniamo alla situazione di partenza.
Non solo l’attività di polizia e lo spreco di soldi pubblici per le videocamere sono utili, ma diventano persino necessari e desiderati dalla cittadinanza stessa.
Questo si ripete in ogni singolo comune italiano che sta installando videocamere. La percezione della criminalità è l’unica variabile che tiene in vita le forze dell’ordine. In USA stanno parlando da mesi su come abolirle. Giusto l’altro giorno abbiamo avuto l’esempio dei carabinieri di Piacenza.
Cominciamo a parlare anche qui da noi su come farne a meno? O in alternativa, per chi è più attivo, ci sono esempi da tutto il mondo su come muovere i primi passi.
L’azione di Facebook non fa altro che sottolineare il nostro fallimento.
Facebook ha eliminato le pagine di CasaPound e Forza Nuova da Facebook e Instagram, inclusi i profili di diversi esponenti e responsabili. Secondo quanto dichiarato ad Ansa, le motivazioni di Facebook sono: “le persone e le organizzazioni che diffondono odio o attaccano gli altri sulla base di chi sono non trovano posto su Facebook e Instagram. Candidati e partiti politici, così come tutti gli individui e le organizzazioni devono rispettare queste regole, indipendentemente dalla loro ideologia”.
Le parole di Facebook sono molto significative: CasaPound e Forza Nuova non sono state sbattute fuori in quanto fasciste, ma perché promuovono l’odio. Lì c’è il riflesso del nostro fallimento.
Siamo in una di quelle situazioni in cui lo schifo suscitato da una delle parti in causa, i fascisti, ci fa venire la bava alla bocca e ci annebbia la vista. Finiamo con il tirare in mezzo alla discussione—senza senso—la libertà di espressione e le vignette di Popper, e ogni tentativo di ragionare sul significato di quanto accaduto e sugli scenari che apre rischia di essere letto come una difesa del diritto di parlare dei fascisti.
Mettiamo subito in chiaro un punto: è sacrosanto impedire ai fascisti di avere una possibilità di esprimersi. Ed è una cosa che abbiamo stabilito come società già da tempo, c’è una legge apposita.
Il problema qui riguarda invece il significato delle motivazioni di Facebook e i metodi utilizzati.
Facebook agisce per reazione. Basta osservare quanto accaduto negli Stati Uniti con “white supremacy”/“white nationalism”/“white separatism.” All’inizio Facebook bannava solo i primi, lasciando intatti gli altri due. Dopo aver ricevuto aspre critiche per questa divisione puramente di facciata, Facebook ha deciso di modificare le proprie linee guida della comunità bannando definitivamente anche le altre due categorie.
Facebook è come un bambino che si muove a caso cercando di non fare cadere il proprio salvadanaio: non sa fare nulla, sta muovendo i primi passi, e ogni errore commesso lo spinge a correre in fretta ai ripari.
Le sue linee guida per la comunità sono un oggetto talmente malleabile che sembra impossibile possano tenere insieme due miliardi di utenti dispersi negli angoli più diversi del mondo. Per ogni nuova critica o problema, riescono ad inserire un nuovo punto che giustifichi la rimozione di un determinato contenuto.
Uno dei motivi per cui supinamente accettiamo tutto ciò è la falsa dicotomia che vede un digitale e un reale completamente distaccati l’uno dall’altro. Questo è l’unico modo per cui riusciamo ad accettare il fatto che una società privata stia cercando di reinventare la ruota da capo: abbiamo già delle norme a regolare la nostra convivenza civile, non dobbiamo appellarci al senso civico di un’azienda statunitense.
Come società abbiamo già stabilito delle sedi e dei limiti opportuni da non superare. Non accettiamo la presenza di fascisti. L’azione di Facebook non fa altro che sottolineare il nostro fallimento.
Sappiamo come dovremmo agire ma non l’abbiamo fatto. In questo modo stiamo facendo una concessione enorme a Facebook: in un attimo è diventato il paladino della libertà di espressione, avendogli concesso lo spazio di manovra che le nostre istituzioni non sono riuscite a colmare.
Questa passerella inaspettata per Facebook rischia però di trasformarsi anche in un enorme punto debole: appurato che, con la giusta pressione, le linee guida di Facebook sono un oggetto non del tutto formato, partiti e governi possono iniziare subito ad accanirsi con stupide richieste di bloccare “l’odio online” prevedendo leggi ad hoc—che sembrano essere già pronte.
Negli Stati Uniti sono già almeno due anni che si stanno confrontando più concretamente con questo dilemma: utilizzare il deplatforming e la regolamentazione dei luoghi pubblici digitali per bloccare la diffusione dell’hate speech e dei neo-nazi.
Nel 2017 il CEO di Cloudfare, azienda che fra le altre cose offre diversi tipi di servizi per il funzionamento dei siti web, aveva sbattuto fuori il sito Daily Stormer—neo-nazi e suprematisti bianchi—perché, come spiega in un’email ai suoi dipendenti, “Letteralmente, mi sono svegliato di cattivo umore e ho deciso che qualcuno non avrebbe dovuto essere autorizzato a stare su Internet. Nessuno dovrebbe avere questo potere.”
La sua è stata una decisione arbitraria che non ha seguito alcun principio di coerenza e trasparenza. Azione che è stato chiamato a compiere nuovamente nel caso di 8chan giusto un mese fa.
Nel post riguardo le spiegazioni, il CEO di Cloudfare torna nuovamente a sottolineare come queste azioni creano uno squilibrio di potere tra un’azienda privata e un governo: “Cloudflare non è un governo. Mentre abbiamo avuto successo come azienda, ciò non ci dà la legittimità politica di prendere decisioni su quali contenuti siano buoni e cattivi. Né dovrei essere io a farlo. Le domande sul contenuto sono vere questioni sociali che necessitano di soluzioni politicamente legittime.”
Ovviamente il deplatforming funziona, togli l’ossigeno e costringi all’angolo chi non dovrebbe avere il diritto di parlare. Però questo deve spingerci a riflettere sul come regolare correttamente tutte queste vuote parole che ci piace utilizzare quando parliamo della rete.
Come definiamo l’hate speech? Quali sono le procedure che un social network dovrebbe applicare a tali contenuti? Tutti i social network dovrebbero agire allo stesso modo? Quali sono le modalità per fare ricorso da parte degli utenti nel caso di errori? Che tipo di livello di trasparenza e coerenza c’è per i processi messi in atto dalle piattaforme? Abbiamo effettivamente chiaro in mente il pericolo concreto rappresentato dall’hate speech? Sappiamo di cosa stiamo parlando?
Lo scorso 3 aprile, insieme al collega Raffaele Angius, abbiamo presentato il risultato di un’inchiesta sul sistema di riconoscimento facciale utilizzato dalla polizia italiana.
Abbiamo provato a mettere alcuni paletti sul riconoscimento facciale in Italia. Un po’ di chiarezza sui numeri del database, sulle modalità di acquisizione e tempi di conservazione delle immagini.
Come spesso accade, nel tentativo di fare chiarezza ci siamo imbattuti e molte, troppe, ulteriori domande che sollevano dubbi sull’intera vicenda che ruota intorno al sistema SARI.
In contemporanea alla presentazione a Perugia, abbiamo pubblicato l’inchiesta scritta su Wired Italia. All’interno trovate tutti i link ai documenti ottenuti grazie alle richieste FOIA.
Al seguente link sono disponibili le slide della presentazione.
Se hai informazioni sul sistema SARI o altre tecnologie di sorveglianza utilizzate dalle forze dell’ordine, puoi contattarmi in modo sicuro su Signal al numero +393519702612 oppure a rcoluc@jabber.ccc.de sulla OTR chat.
Sono disponibili online le slide e i video dell’intervento che ho fatto insieme a Laura Carrer e Luca Rinaldi a e-privacy XXIV dal titolo Dove finisce la privacy nelle istanze FOIA?
Questo strumento di trasparenza, purtroppo, mostra ancora alcuni limiti soprattutto quando si tratta della protezione della privacy del richiedente.
In the age of the digital disintegration of our inner self, scattered around a thousand platforms that absorb our personal data and our online activities, the attention to the e-commerce giant, Amazon, seems to be still too low. But I decided to scratch the surface and look at the abyss: I sent a request for access to my personal data that opened a world of tracking.
While Amazon’s monopoly is already beginning to draw the attention of both American and European antitrust experts, the digital surveillance of Jeff Bezos’ platform still seems to be poorly probed.
So far, 2018 has been the year of Facebook disaster, in which the capillarity of the social network tracking was thrown in front of us—every single action and personal data become a vector for the production of targeted advertising. Amazon, however, seems to have emerged unscathed.
The clickstream data is the recording of every click and action that we make on the Amazon website, complete with information about the date, the type of device we are using, the IP address and our position.
This is why last May, before the entry into force of the new European General Data Protection Regulation (GDPR), I sent a request for access to my personal data to Amazon. The answer came after ten days and contained a slim list of data that is already available through the personal account panel.
The email contained four attachments, password protected: Miscellaneous, Correspondence with sellers, Correspondence with Customer service, and Order History. The most interesting part, the Miscellaneous document, contained the list of credit cards connected to my account, my devices connected to Amazon, and information on any active promotions.
In essence, however, nothing extraordinary. What a strange thing, because I would have expected at least the whole list of searches that I have done and communications via email related to products that I may be interested in. But there was none of this.
However, on April 28th, activist and politician Katharina Nocunpublished in Spiegel Online her epic journey to get her personal data from Amazon. Inside the article she talked about the so-called clickstream data that the activist was able to get after months of requests.
It's not inherently bad. But commercial personal data harvesting can have many side effects on individuals+society. People are constantly being sorted, judged or manipulated, without having any control. With regards to platform giants it creates immense data power / asymmetries.
The clickstream data is the recording of every click and action that we make on the Amazon website, complete with information about the date, the type of device we are using, the IP address and our position.
Given this precedent, I immediately sent a further request to Amazon to have these data too. After 90 days of waiting I finally got what I wanted:
Among the various files attached, there is one related to the search history, but it contains only the subject of the search and no other type of chronological information—the data does not even seem to include all the searches I’ve done since the first time I used Amazon.
Likewise, it is interesting to note the localization data file which, however, includes very few values—most likely due to the fact that I have disabled access to GPS information for my Amazon app.
The most interesting file, however, is the one related to the clickstream data: a table with 12.048 rows and 49 columns that contains all the clicks related to my activity on Amazon that have been recorded.
In addition, all our movements within Amazon website are recorded, gathering information on the previous and the next page visited, and also the URL that led us to the page we are viewing.
Each line is related to a session and, to understand the meaning of every single recorded data, Amazon has also attached a file in which it comments and explains each attribute—you can find the document at the end of this article.
The values concern the day and time when a specific page is visited, the IP address and the device used, the geolocation—if possible—based on the IP address, and the name of the telecommunication company that offers the internet service.
In addition, all our movements within Amazon website are recorded, gathering information on the previous and the next page visited, and also the URL that led us to the page we are viewing. It even registers if the last page we opened on our browser was Amazon on that day.
Many of the table values are missing and some have unreachable links, though.
We have asked information directly to Amazon to understand how long this data is stored, when the collection began—since my account dates back to 2013 while the clickstream values are only relative to 2017—and especially if they will be provided by default in response to requests for access to data under the terms of the GDPR.
At the time of publication of this article we still have not received any answers.
In the privacy policy of the Amazon website, “they do list relatively detailed information about the types of data they collect,” explains via mail Michael Veale, a researcher at University College London and a privacy expert, but “What they don’t seem to do is link these types of data to the GDPR lawful bases used to collect them, such as consent, contract or legitimate interests. They need to do this (see Art 13, GDPR), and it’s important for several reasons, as it affects your rights to object or to withdraw consent.”
“We shouldn’t just demand it, it should be provided upon request. It’s personal data, and when users request all their personal data from Amazon or any other company, web tracking and usage data should be provided, ideally in an intelligible form.”
“It’s very common for firms to capture detailed user data,” explains Veale, “also for the purposes of user experimentation, which can be highly invasive.” It is however difficult to confirm that each e-commerce website collects them, clarifies Veale, but we do know that some firms are reluctant to release this data to users.
What is striking, however, is to see them aggregated together in a single table, mirroring our digital self, prey of the capitalistic impulses to purchase, revealing our most intimate passions, our interests and our obsessions—including searching for products at the most unlikely hours of the night.
While these data seem necessary for the analysis of site metrics, on the other hand it raises considerable concerns about the granular details which these platforms have access to: it is as if we were constantly followed by a person who peeks over our shoulder eager of our clicks and meticulously marking all the values in a notebook. And this happens every single moment of our life.
“There’s a lot that can be inferred from this type of collection, both implicitly and explicitly,” underlines Veale, “It’s important that there is transparency and oversight around how this data is used for prediction or personalisation. Data should not be kept for longer than necessary under the GDPR, and so Amazon should not sit on these records, but decide whether they are useful for a purpose, and if not, they should be erased. “
“We shouldn’t just demand it, it should be provided upon request. It’s personal data, and when users request all their personal data from Amazon or any other company, web tracking and usage data should be provided, ideally in an intelligible form,” concludes Veale.
Moreover, compared to the responses received by Nocun, in my case there is still a lot of data missing, for example the one related to the advertisements I have clicked on and other details about the emails received based on my preferences.
So I have no choice but to change weapons: with the introduction of the GDPR—which has clogged our inbox but also provided European citizens with a very powerful tool for controlling our online data—I will send an additional request to Amazon to get, once and for all, all the data on my account.
Lo scorso 3 agosto sono stato ospite alla prima edizione di Italian Hacker Camp (IHC) presso Padova, presentando il mio lavoro Come to Italy: we’ve got pizza, pasta, and surveillance technologies!
Si parla nuovamente delle tecnologie di sorveglianza italiane, soffermandosi sull’acquisto di sistemi IMSI-catcher da parte della Polizia e della Guardia di Finanza. Si tratta di una tecnologia che simula una finta cella telefonica e viene utilizzata per raccogliere informazioni sui dispositivi (e di conseguenza le persone) presenti in una determinata zona — minacciando così la privacy di tutti i cittadini che si trovano lì presenti.
Inoltre, per la prima volta, ho presentato il database delle aziende italiane che partecipano alle gare di appalto per le tecnologie di sorveglianza. È consultabile qui.
Here is the video of my talk during the XXIII edition of e-privacy on 9th June in Bologna, titled Tutta l’intelligenza (artificiale) nelle mani della polizia.
I discussed how the Italian police has acquired face recognition and voice identification systems to tackle terrorism and public manifestations.
Here are the videos of the two panels I attended at the International Journalism Festival in Perugia.
In the first one we discussed peculiar cases regarding surveillance in Italy.
The second one is a panel regarding the challenges that cyber journalists have to deal with when talking abut online anonymity, government malware, ethical hacking and whistleblowing.
I’ll be speaking at the 34C3 in Leipzig on 30th December 2017.
For the past 6 months I’ve been researching on monitoring Italian government surveillance capabilities using transparency tools
This project aims to take advantage of the availability of public procurement data sets, required by anticorruption transparency laws, to discover government surveillance capabilities in Italy.
At the same time it will be possible to update a database of companies selling surveillance tech, discover official resellers of other foreign surveillance companies, and detail governmental expenditures for surveillance technologies.
