FaceApp, dove finiscono le foto modificate? I dubbi di Di Corinto

L’applicazione per modificare l’aspetto che in questi giorni impazza sui social potrebbe mettere a rischio la privacy degli utenti, e non solo. conversazione con Arturo Di Corinto, docente e saggista, esperto di nuove tecnologie

di Simona Sotgiu per Formiche del 17 Luglio 2019

Viaggi nel futuro? Ancora le tecnologie che l’essere umano ha a disposizione non permettono di attraversare lo spazio-tempo, però un assaggio del nostro aspetto futuro l’abbiamo visto scorrere sulle pagine social in questi giorni grazie a un’applicazione, FaceApp, che modificando un’immagine del volto ricostruiva quello che sarà il nostro aspetto futuro. Ma c’è un prezzo, e come spesso accade ha a che vedere con la privacy. “Il problema è che le facce sia originali che quelle modificate una volta che sono dentro questi database possono essere rivendute a dei soggetti che creano eserciti di profili fantoccio”, ha spiegato a Formiche.net Arturo Di Corinto, docente e saggista, esperto di nuove tecnologie, che incontra diverse criticità nell’applicazione creata da Yaroslav Goncharov.

COME FUNZIONA L’APP

L’applicazione, lanciata nel 2017, ha introdotto da pochi giorni la possibilità di modificare il proprio volto rendendolo invecchiato, grazie a tecnologie di intelligenza artificiale. Il procedimento è relativamente semplice: si scarica l’applicazione (accettandone le condizioni di utilizzo), si carica una propria foto (o si sceglie la foto del personaggio che si vuole modificare) e si sceglie il tipo di filtro da usare (in totale sono 21): ringiovanire, cambiare genere, invecchiare e tanti altri ancora. L’applicazione, si legge sul sito dell’app, ha “oltre 80 milioni di utenti attivi” e di tutti questi utenti ha la possibilità di raccogliere i dati.

I PROFILI FANTOCCIO

“Il problema è che le facce sia originali che quelle modificate una volta che sono dentro questi database possono essere rivendute a dei soggetti che creano eserciti di profili fantoccio”, ha spiegato Di Corinto. “Si chiamano ‘sockpuppet’ in gergo. Le aziende che si dedicano a fare questi ‘puppets’, che indicano proprio i fantocci da calzino, quelli che si usavano un tempo per far divertire i ragazzini, ecco vengono utilizzati per prestare il volto ai profili fasulli, e questo è uno dei motivi per cui bisogna fare più attenzione a mettere in circolazione le proprie immagini e poi a verificare e denunciare eventualmente le famose non consentite (ci sono anche dei profili di carattere civile e penale)”. Ci sono vere e proprie aziende, aggiunge Di Corinto, che “fanno commercio di facce e le usano per creare profili fasulli, tra l’altro a volte usano quelle facce proprio per vere e proprie sostituzioni di identità. Ossia creano dei profili sui social network orientali o comunque non occidentali, con nome e cognome e faccia di chi ha avuto la scarsa accortezza di cedere l’immagine a servizi come FaceApp”.

L’ATTACCO DI SYBIL

“Esiste un tipo di attacco informatico, che si chiama ‘attacco sybil’, attacco sibilla, dove un’unica organizzazione usa profili fasulli per fare diverse cose: ad esempio diffondere delle idee, proclami su un candidato politico, ma anche per attaccare i sistemi di ‘recomandation’, raccomandazione, che sono quelli alla base della scelta del film su Netflix, dei video su YouTube, etc. Siccome sono tutti sistemi che si basano su tecniche di intelligenza artificiale, sul machine learning, molti sockpuppets possono servire a influenzare il modo in cui questi sistemi di intelligenza artificiale acquisiscono dati dal sentiment della rete oppure acquisiscono informazioni e dati da coloro che fanno le recensioni”. Insomma, questi fantocci possono essere coordinati a livello centrale per scatenare una tempesta di tweet, ad esempio, e se i profili da cui parte questo attacco hanno delle vere e proprie foto profilo, facce realistiche, sarà più complesso distinguere profili reali da quelli fake. “Questi attacchi sibilla, abbiamo scoperto, servono proprio a modificare il ranking ed è difficile per i sistemi difensivi accorgersene, perché dietro i profili ci sono facce che sembrano normali e non create al computer”.

I DATI BIOMETRICI

Come se non bastasse, Di Corinto rincara la dose. “C’è una questione più generale, poi, ossia come riescono le aziende a raccogliere una grande mole di dati senza pagarli, dati che hanno a che fare con informazioni biometriche”. Se si possiede fare una tale mole di dati, il rischio è poi che qualcuno possa fare un lavoro di “scraping”. Fare “scraping”, spiega ancora Di Corinto, vuol dire “andare a vedere se ci sono dei profili interessanti, ad esempio dei poliziotti, dei militari. Una volta che hai un database così grande si può decidere di attaccare specifiche persone perché hanno i dati complessi e biometrici. Faccio un esempio: un tempo si pensava che le impronte digitali non fossero replicabili, ora invece non è più così, ci sono delle tecniche per copiarle. Quella che noi pensavamo essere una barriera biometrica sicura ora non lo è più, perché si è scoperto il modo di ricrearle. Il palmo della mano è più sicuro, al momento. La faccia, però, si basa su dei tratti essenziali che con l’aiuto di quelle fotografie puoi riprodurre. Chi lo dice che il riconoscimento biometrico facciale a guardia di un’azienda non possa essere superato con delle fotografia a buona o ad alta definizione ottenute attraverso l’app? Il rischio è enorme”.

UNA QUESTIONE DI PRIVACY

Secondo Guido Scorza, avvocato, docente diritto nuove tecnologie, giornalista, blogger, responsabile del Team per la Trasformazione Digitale di Palazzo Chigi, è “difficile – anche ammesso che ci si fermi a leggere i termini d’uso dell’app e la privacy policy – dire con certezza chi, un istante dopo, potrà fare cosa con quella foto e con i dati che essa contiene”. L’interrogativo che pone Scorza, insomma, riguarda il futuro dei dati che si accetta di cedere all’applicazione dopo il download e dopo il suo uso. “L’impressione – scrive il giurista – è che una volta caricata la nostra foto sui server di FaceApp, noi si possa salutarla per sempre rinunciando, più o meno, a ogni forma di controllo sul nostro volto e sul carico di preziosissimi dati personali anche biometrici che essa contiene”.

DI CHI È FACEAPP…

Fondatore e ceo di FaceApp è Yaroslav Goncharov, ex capo di dipartimento di Yandex, società di Ict russa proprietaria del più diffuso motore di ricerca nel Paese. “Abbiamo sviluppato una nuova tecnologia che sfrutta le reti neurali per modificare in maniera realistica il volto nelle foto”, aveva raccontato Goncharov a TechCrunch due anni fa, quando l’app era stata lanciata, scatenando non poche polemiche per alcuni filtri ritenuti controversi. “Il nostro principale elemento di differenziazione è il fotorealismo. Dopo aver applicato un filtro, è ancora la tua foto. Altre app cambiano intenzionalmente un’immagine in un modo divertente, ma non più una foto reale”.

…E DOVE SONO I SUOI SERVER

“Per generare questi filtri, come la faccia che invecchia, si usano reti neurali generative avversarie, che devono girare su computer potenti”, ha detto Luca Sambucci, esperto di Eset, società di sicurezza informatica sentito da Wired. “Se sei in modalità aereo, la app non funziona e ti segnala di collegarti a internet – ha aggiunto – dimostra che l’immagine va sul loro server”. Altro interrogativo sollevato da Wired riguarda l’archiviazione delle immagini e dei dati collegati. La società di Goncharov non specifica, infatti, per quanto tempo verranno conservate le immagini né se i server siano effettivamente negli Stati Uniti, come viene specificato su GooglePlay, oppure si trovino altrove. In ogni caso, si legge, viene ignorata la nuova normativa sui dati personali Gdpr.

IL PATRIMONIO PIÙ GRANDE

“Stiamo cedendo gratuitamente il patrimonio più grande che abbiamo, i nostri dati personali, che non sono solo nome, cognome, età, appartenenza politica, ma anche i dati biometrici per allenare le intelligenze artificiali”, conclude Di Corinto.” Stiamo cedendo dei dati preziosissimi per allenare le intelligenze artificiali altrui che un giorno ci sostituiranno nel lavoro. Inoltre si tratta di russi, quindi nel caso dei sockpuppets noi non potremmo mai sapere se le nostre foto non verranno utilizzate nei social network come VKontakte, il loro Facebook, perché non ne abbiamo accesso”.