NeuralHash: Apple risponde alle domande sulla privacy
Presto Apple potrà scansionare il tuo smartphone alla ricerca di immagini di abusi su minori e trasmettere dati alle autorità. Il gruppo di Cupertino chiarisce alcune cose dopo il clamore iniziale sollevato dalla comunità della rete.
Nei giorni scorsi, la funzione NeuralHash aveva suscitato un certo scalpore. In un secondo white paper Apple risponde ad alcune domande e affronta le critiche dei difensori della privacy e di chi utilizza i suoi prodotti.
I sostenitori della privacy sono indignati, così come gli utenti.
Apple risponde a queste critiche e altre accuse. Qui trovi le principali domande e risposte. Ti consiglio comunque di leggere le sei pagine del white paper se ti interessa capire come Apple, nonostante l’esclusione dei propri sistemi di crittografia e la violazione della privacy dei propri utenti, continui a considerarsi un garante della privacy.
Di che cosa tratta il white paper?
Una futura versione dell’iOS 15 includerà due funzionalità sviluppate per proteggere i minori. Inizialmente saranno attive solo negli Stati Uniti, mentre sulla distribuzione a livello mondiale Apple non si è ancora pronunciata. Le due funzioni sono:
- Communication Safety in Messages (Sicurezza della comunicazione nei Messaggi)
- NeuralHash
Se conosci già questi due sistemi, vai direttamente alla sezione «Apple risponde a domande su Communication Safety in Messages» e continua a leggere da lì. Dopo i prossimi due titoli ti illustro brevemente le funzionalità tecniche e farò un’analisi della funzione Communication Safety in Messages.
Cos’è la tecnologia NeuralHash
NeuralHash confronta le immagini sul tuo iPhone o iPad con dati che mostrano abusi su minori. Tutto questo succede sul tuo dispositivo, ovvero prima del caricamento dei dati su iCloud. In questo modo Apple elude il suo stesso sistema di codifica dei backup su iCloud pur conservando i dati.
Il database che serve per analizzare le immagini sul tuo smartphone o tablet è fornito dal National Centre for Missing and Exploited Children (NCMEC) e da altre organizzazioni per la protezione dei minori. Ed è sempre questa organizzazione che si mette in contatto con le autorità in caso vengano confermate attività sospette. Quando NeuralHash identifica un numero sufficiente di immagini che mostrano abusi su minori, infatti, invia queste immagini decodificate ad Apple. Qui vengono visionate da persone in carne ed ossa e, se i sospetti sono confermati, viene allertato l’NCMEC.
Le immagini sul tuo dispositivo vengono confrontate con i valori numerici generati da NeuralHash, il sistema di hashing proprietario di Apple, che estraggono i dati dalle immagini. Questi valori numerici sono denominati, appunto, hash. Ad oggi Apple non ha ancora fatto sapere se NeuralHash controlla anche la presenza di nudità nel materiale.
Cos’è Communication Safety in Messages
Communication Safety in Messages è una funzione associata all‘app «Messaggi» del tuo iPhone o iPad. È uno strumento opzionale che i genitori possono usare per tutelare i figli. Quando la funzione è attiva, la bambina o il bambino non può inviare né ricevere immagini di nudità.
Attivando questa funzione l’account che non può inviare o ricevere foto di nudità viene gestito nella modalità «In famiglia». Così come NeuralHash, anche Communication Safety in Messages analizza i dati direttamente sul telefono. Se dovesse partire un allarme, però, diversamente da quanto succede con NeuralHash i dati non verrebbero trasmessi ad Apple.
Quando Communication Safety in Messages rileva una immagine di nudi, la visualizza offuscata, mette in guardia il minore e gli offre delle «risorse utili» sotto forma di consigli. Sull’iPhone o l’iPad compare inoltre un messaggio che spiega al bambino che può anche non visualizzare l’immagine.
È inoltre possibile che i genitori dei «bambini più piccoli» vengano informati quando il figlio o la figlia invia o riceve immagini di nudità.
Quindi Communication Safety in Messages interviene solo quando le immagini vengono inviate tramite l’app Messaggi. WhatsApp, Signal, Threema, Snapchat, TikTok, Instagram e tutte le altre app di messaggistica, insieme a Safari e via dicendo, non sono monitorate da Communication Safety in Messages.
Communication Safety in Messages dimostra che Apple non soltanto è in grado di controllare materiale grafico sulla base di dati già esistenti, ma che può anche riconoscere immagini di nudo create ex novo che non esistono ancora in alcun database.
Apple risponde alle domande del pubblico su Communication Safety in Messages
In un file PDF pubblicato il 9 agosto 2021, Apple replica alle critiche del pubblico e spiega come funzionano le due funzionalità per la tutela dei minori.
Le seguenti domande e risposte sono state estratte dal PDF e abbreviate per favorire la leggibilità. Ti consiglio comunque di leggere tutte le sei pagine pubblicate da Apple.
NeuralHash e Communication Safety in Messages utilizzano la stessa tecnologia?
No, le funzionalità non sono identiche e non utilizzano la stessa tecnologia.
- Communication Safety in Messages è in grado di analizzare il contenuto dei dati appena generati e di reagire di conseguenza.
- NeuralHash confronta i dati sull’iPhone con le immagini prese da una banca dati. Quando NeuralHash dà l’allarme, i relativi dati vengono decodificati e trasmessi ad Apple, dove una persona incaricata verifica le attività sospette ed eventualmente trasmette i dati all’NCMEC. Questo a sua volta si mette in contatto con le «autorità di tutto il mondo».
Chi può utilizzare la funzione Communication Safety in Messages?
La funzione denominata Communication Safety in Messages integrata all’interno di Messaggi può essere utilizzata solo con account integrati all’interno di un account del tipo In famiglia. La funzione deve essere abilitata dai genitori o dai tutori. Non è attiva di default.
Le notifiche ai genitori in caso di ricezione o di tentato invio di immagini di nudità sono possibili soltanto per i minori dai dodici anni in giù.
Communication Safety in Messages inoltra i dati ad Apple, alla polizia o alle autorità?
No, Apple non può accedere ai dati in Messaggi, pertanto Communication Safety in Messages non trasmette alcun dato ad Apple, all’NCMEC o alla polizia.
Cosa che fa invece NeuralHash. Ma NeuralHash non interagisce con Communication Safety in Messages.
Communication Safety in Messages interrompe la crittografia end-to-end di Messaggi?
No. La promessa di Apple di tutelare la privacy di Messaggi non è violata dall’utilizzo di Communication Safety in Messages. Apple non può accedere in alcun modo ai messaggi inviati o ricevuti tramite la app «Messaggi».
Communication Safety in Messages è un sistema completamente automatizzato che i genitori o i tutori di minori devono attivare intenzionalmente.
Communication Safety in Messages può essere di aiuto ai minori che subiscono abusi in famiglia?
No. Communication Safety in Messages analizza le immagini solo per identificare contenuti «sessualmente espliciti». Gli altri tipi di comunicazione non sono interessati.
Apple fornirà però delle risorse a Siri e alla funzione di ricerca per consentire alle vittime o a chi conosce vittime di abusi di ricevere una maggiore assistenza.
Le risposte di Apple su NeuralHash
NeuralHash e Communication Safety in Messages sono due funzioni completamente diverse, pertanto NeuralHash è soggetto a regole e standard differenti.
Apple chiama NeuralHash anche «CSAM Detection», dove CSAM sta per «Child Sexual Abuse Material», ovvero materiale relativo ad abusi sessuali su minori: un altro modo per definire il materiale pedopornografico.
Apple scansiona tutte le fotografie sul mio iPhone?
No. CSAM Detection scansiona solo le immagini che l’utente vuole caricare su iCloud.
CSAM Detection interviene solo nei seguenti casi:
- se su un dispositivo vengono trovati diversi contenuti pedopornografici
- se questi contenuti sono noti alla banca dati dell’NCMEC
Se un utente non ha attivato Foto di iCloud non sarà attivo nemmeno NeuralHash, ovvero CSAM Detection.
Sul mio iPhone saranno caricate delle immagini pedopornografiche per confrontarle con le immagini che ho nel telefono?
No. Le immagini con contenuto CSAM non vengono memorizzate nel dispositivo. Apple estrae immagini dal database dell’NCMEC e le trasforma in valori numerici. Questi valori numerici sono denominati, appunto, hash. Non è possibile ritrasformare questi hash nelle immagini da cui sono stati ricavati.
Perché Apple introduce questo sistema adesso?
Per Apple coniugare la tutela della privacy dei propri utenti con la protezione dei minori è una grossa sfida. Con NeuralHash, o CSAM Detection, Apple può individuare quali account memorizzano su iCloud diversi contenuti pedopornografici.
Apple non è in grado di vedere quello che succede localmente sull’iPhone.
Secondo Apple i dispositivi di altri produttori che dispongono della stessa funzione scansionano tutte le immagini sul dispositivo. E questo rappresenta un rischio per la privacy di tutti gli utenti. NeuralHash sarebbe quindi una soluzione migliore perché Apple non può vedere altri contenuti.
NeuralHash, o CSAM Detection, può essere utilizzato per riconoscere immagini diverse dalla pedopornografia?
Apple ha progettato i processi alla base di NeuralHash, alias CSAM Detection, in modo tale che il sistema non possa essere utilizzato per altri scopi. I database utilizzati per verificare le fotografie caricate in iCloud sono forniti da NCMEC e da altre organizzazioni per la protezione dei minori.
Non vengono inviate segnalazioni automatiche alla polizia o ad altre autorità.
Nella maggior parte dei paesi il possesso di immagini pedopornografiche è un reato. Apple è quindi tenuta a segnalare alle autorità le immagini di questo tipo.
I governi possono obbligare Apple a utilizzare NeuralHash per altri contenuti?
La posizione di Apple è di totale chiusura verso richieste di questo genere. NeuralHash ricerca solo immagini pedopornografiche in iCloud classificate come tali dall’NCMEC e da altre organizzazioni per la tutela dei minori.
In passato Apple è stata spesso invitata dal governo e dalle autorità ad adottare misure che violavano o minavano la privacy degli utenti. Inviti che Apple ha sempre respinto con forza.
Apple continua a opporsi a richieste di questo tipo.
Prima che i dati vengano trasmessi all’NCMEC, le segnalazioni di allarme di NeuralHash, alias CSAM Detection, vengono controllate da una persona in carne ed ossa presso Apple.
I database di NCMEC e di altre organizzazioni per la protezione dei minori possono essere manipolati in modo tale da rilevare e segnalare immagini di altro tipo?
Apple ha adottato misure per impedire l’inserimento di immagini non pedopornografiche nei database e garantire in questo modo l’intervento di NeuralHash. I dati utilizzati per il controllo delle fotografie sono verificati dall’NCMEC e dalle altre organizzazioni per la protezione dei minori.
I database messi a disposizione dalle organizzazioni per la protezione dei minori sono estratti sotto forma di valori numerici chiamati hash e memorizzati su ogni iPhone e iPad. NeuralHash non consente quindi di controllare singole persone.
Prima di allertare l’NCMEC, queste immagini vengono verificate da una persona internamente ad Apple. Se non è successo prima, in questa ultima fase la persona incaricata può accorgersi che la fotografia non contiene immagini pedopornografiche e non invia alcuna segnalazione.
CSAM Detection potrebbe segnalare per errore delle persone innocenti alla polizia?
No. Per come è stato creato da Apple, la probabilità di un falso allarme con NeuralHash è estremamente ridotta. Secondo Apple, ogni anno viene errata una segnalazione ogni mille miliardi.
La verifica finale da parte di una persona fisica permette di identificare se non altro in questa fase le segnalazioni errate, che quindi non vengono inoltrate all’NCMEC.
Non c’è quindi alcun rischio che attacchi o errori di sistema possano comportare la segnalazione di persone innocenti all’NCMEC o alle autorità.
Conclusione
È chiaro che Apple ha pubblicato il white paper per calmare le acque. Il suo obiettivo è rassicurare le persone sul fatto che la loro privacy non è a rischio.
Una sicurezza ingannevole.
Il problema è la tecnologia, non la sicurezza dei bambini
Apple ha creato un sistema in grado di analizzare le tue fotografie e trasmetterle all’insaputa degli utenti: è un dato di fatto. È facile bloccare sul nascere questa osservazione con l’accusa «Allora stai dalla parte dei pedofili». Quando si parla della tecnologia NeuralHash, però, questa argomentazione deve essere lasciata da parte.
Apple non nega affatto che NeuralHash possa essere utilizzato anche con altri dati. A livello di tecnologia è assolutamente possibile utilizzare NeuralHash per identificare hijab, peni, gatti o transessuali. Ed è proprio qui che sta il pericolo. È impensabile che qualcuno possa seriamente opporsi alla tutela degli interessi dei minori. Ma è giusto che le persone possano dichiararsi contrarie alla tecnologia che sta alla base di questa misura.
Progresso tecnologico
Con Communication Safety in Messages Apple dimostra di essere in grado di analizzare in tempo reale i dati trasmessi. Anche se attualmente NeuralHash non lo fa, non significa che non lo farà in futuro. I meccanismi di Communication Safety che agiscono sui Messaggi possono essere facilmente integrati in NeuralHash. I motivi per cui questo non è ancora successo potrebbero essere, ad esempio:
- Apple non ha abbastanza personale per esaminare tutte le segnalazioni.
- iPhone e iPad non sono ancora sufficientemente potenti per eseguire in tempo reale questa analisi, vista la grande quantità di messaggi.
- Apple non vuole.
- Il riconoscimento delle immagini di Communication Safety in Messages non è ancora abbastanza affidabile per essere utilizzato su altri dati al di fuori di Messaggi.
- …
La sicurezza dei partner
A livello di sicurezza c’è poi un altro aspetto da considerare. Magari è vero che i server di Apple sono molto difficili da hackerare, anche se da tempo Apple non è più così sicura come sostiene di essere. Ma per i server dei partner esterni la situazione potrebbe ormai essere diversa.
I loro dati sono sicuri come quelli di Apple? I database esterni potrebbero essere manipolati in modo tale da rilevare anche cose diverse? Apple non lo nega. In questo l’azienda si affida all’ultimo anello che può intervenire in modo affidabile: il fattore umano. Questo potrebbe anche essere il motivo per cui Apple ha previsto una fase di verifica «umana». Un ultimo baluardo contro l’uso improprio di un sistema sul quale i dirigenti di qualsiasi governo vorrebbero mettere le mani.
Una questione di fiducia
Se si arrivasse all’integrazione di Communication Safety in Messages e NeuralHash, il sistema potrebbe essere usato sostanzialmente su qualsiasi cosa. Ad esempio per scovare le donne che in Iran non indossano lo hijab o anche solo per creare la più grande collezione al mondo di immagini di gatti. Tutto questo senza che l’utente se ne accorga, dia il proprio consenso né altro. Cose come queste non devono accadere.
Le aziende non sono totalmente e in eterno libere dalle pressioni dei governi. Alla fine Apple, come qualsiasi altra azienda, dovrà fare bene i suoi conti: il gruppo può permettersi di perdere un’intera area – ad esempio un paese o l’Unione europea – come mercato perché non vuole adeguarsi alle disposizioni di un governo? Facciamo un esempio macroscopico: Apple sarebbe disposta a rinunciare al mercato cinese se il governo locale chiedesse di utilizzare NeuralHash sulla minoranza uigura?
Per ora Apple giura che tali richieste sarebbero categoricamente respinte al mittente, ma non c’è alcuna garanzia che sarà così per sempre. Non è affatto detto che il management futuro continuerà ad operare in continuità con l’attuale.
Una misura più ragionevole
Anche se Communication Safety in Messages ricorda molto l’episodio «Arkangel» della serie televisiva distopica «Black Mirror», è comunque un approccio più ragionevole alla tutela del bene dei bambini. I genitori non rinunciano alla propria responsabilità a favore di una macchina o di un’azienda che chiede semplicemente di fidarsi. Non ci si può fidare in modo generalizzato o senza data di scadenza, perché quando si parla di aziende l’interesse economico è sempre un fattore da non sottovalutare.
È ragionevole che i genitori abbiano a disposizione una funzione per proteggere i figli. È altrettanto ragionevole che la funzione non si attivi in modo generalizzato. In questo modo i genitori sono costretti a chiedersi se Communication Safety in Messages sia qualcosa di cui hanno effettivamente bisogno per educare i propri figli all’interno della famiglia.
La famiglia riacquista potere e autonomia decisionale. L’educazione dei figli non dovrebbe, in effetti, essere delegata ai grandi gruppi internazionali spinti da finalità economiche. Per quanto carini e premurosi possano apparire al momento.
Chiedersi sempre il «perché»
Con il white paper Apple scopre le carte come mai prima d’ora. Tuttavia non rivela il vero motivo per cui sta introducendo NeuralHash. Le risposte nel PDF sono contorte e in generale non approfondiscono neanche lontanamente i motivi dell’esistenza di NeuralHashes.
O invece sì?
A pagina 2 del white paper Apple risponde alla domanda sulle differenze tra NeuralHash / CSAM Detection e Communication Safety in Messages, dichiarando tra l’altro che il possesso di materiale pedopornografico è illegale nella maggior parte dei paesi. Leggendo tra le righe verrebbe da farsi qualche domanda.
Ad esempio, se Apple è perseguibile se in iCloud viene memorizzato del materiale pedopornografico. Non è che, alla fine della storia, è solo un modo per evitare che Apple venga considerata legalmente responsabile?
Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.
