nero bianco
Tutti i dati che avete accettato di dare a Google, Microsoft, Zoom, eccetera ogni volta che fate didattica a distanza. Un piccolo manuale di sicurezza digitale per studenti e insegnanti, visto che in mancanza di precise indicazioni ogni preside fa un po’ come gli pare.

Chiamiamola pure didattica a distanza, didattica digitale integrata, ma di questo passo di italiano (ed europeo) nel futuro della nostra scuola e delle nostre università ci sarà ben poco. E questa lunga riflessione, che è frutto soprattutto di alcune vulnerabilità importanti (alcune accennate nel post scriptum di questo articolo) scoperte casualmente mentre portavamo avanti la nostra inchiesta su “La scuola a casa“, nasce con l’auspicio di aprire un ragionamento collettivo sull’enorme patrimonio di informazioni che sull’altare di un’emergenza perenne stiamo offrendo gratuitamente, ogni giorno, ai giganti tecnologici statunitensi.

Le cause? La scarsa alfabetizzazione digitale di base nella maggior parte della popolazione (sì, anche tra presidi e insegnanti), la mancata conoscenza dell’importanza e del reale valore (non solo commerciale) che rappresentano i nostri dati personali e, soprattutto, una disarmante non curanza istituzionale nei confronti dei diritti digitali dei cittadini, da un lato, e dall’altro ai risvolti economici (leggi: danni) che il mancato riconoscimento e “sfruttamento” di tali diritti comporta nei confronti della nostra economia.

Sì, la tecnologia ci sta aiutando, e non solo nella scuola, a continuare a fare andare avanti le nostre attività nonostante le limitazioni imposte lockdown, zone rosse, eccetera, perché grazie agli strumenti di videoconferenza (praticamente tutti di proprietà di aziende statunitensi) abbiamo la possibilità di annullare le distanze ed essere collegati tutti dalle nostre case utilizzando piattaforme digitali evolute, efficienti, perfette e per la maggior parte sicure.

Ma a che prezzo? Per capirlo è necessario allargare (di molto) il ragionamento, andando anche oltre la questione meramente scolastica per mettere a fuoco alcuni dettagli apparentemente più tecnici ma che invece tutti, vista la loro importanza, dovremmo sapere e conoscere.

Tutto quello che diciamo a Google, Microsoft, Zoom, eccetera ogni volta che li usiamo

Le principali piattaforme e app di videoconferenza

Utilizzerò come timone di questo piccolo viaggio un documento. Ogni azienda ne produce uno proprio, ma alla fine sono tutti simili tra loro: parliamo dei “Termini del servizio”, ovvero di quei contratti unilaterali che sottoscriviamo scorrendo velocemente e senza neanche leggere ogni volta che ci iscriviamo a queste piattaforme. Quegli stessi contratti con i quali offriamo “consapevolmente” ad aziende come Zoom, Google (per Meet), Microsoft (per Skype e Teams), Cisco (per WebEx), Cytrix Systems (per GoToMeeting) l’accesso ad una serie rilevante di dati personali. Quasi tutte queste società, infatti, anche quando utilizziamo i servizi a pagamento e non le versioni gratuite, si riservano il diritto di raccogliere informazioni dalle nostre conversazioni, incluso quanto dura una chiamata, chi partecipa alla chiamata e gli indirizzi IP di tutti i partecipanti, le informazioni sul datore di lavoro, il numero di telefono personale utilizzato per il recupero dell’account o la foto profilo.

Restiamo alla punta dell’iceberg: quanti di noi sanno (lo si apprende, ripeto, leggendo le policy dei colossi tecnologici più noti e che tutti utilizziamo) che queste piattaforme raccolgono informazioni sul dispositivo con cui vi accediamo, ad esempio il modello di hardware, la versione del sistema operativo, gli identificatori univoci del dispositivo e le informazioni relative all’operatore telefonico, e poi ancora tutte le informazioni censite e registrate nei nostri “log” di accesso (ogni volta che ci colleghiamo – e quindi, da dove, a che ora, con chi, eccetera – viene memorizzato), raccogliendo continuamente dettagli sulle nostre abitudini di utilizzo. E poi ci sono le informazioni sulla nostra posizione, la cosiddetta geolocalizzazione, ricavate tramite varie tecnologie, incrociando l’indirizzo IP, il Gps (che manteniamo abilitato ogni giorno, ricordiamocelo) e altri sensori, e infine i cosiddetti cookie e tutte le tecnologie utilizzate per acquisire e memorizzare le informazioni relative a un browser o dispositivo, come la lingua preferita e altre impostazioni.

Il tutto, ripetiamo insieme, ogni volta che utilizziamo i loro servizi.

Sempre leggendo i termini del servizio e le policy per la privacy ed il trattamento dei dati personali degli utenti, quasi nessuna di queste aziende spiega nel dettaglio per quanto tempo trattiene sui propri server i dati raccolti e non veniamo informati su che tipo di dati vengono effettivamente raccolti o su come questi possano essere utilizzati dall’azienda.
Ci permettono di registrare gli audio, i video, le chat, i file che ci siamo scambiati nelle nostre riunioni solo quando lo richiediamo, promettendoci che queste informazioni non verranno utilizzate “direttamente” (le parole sono importanti) per la pubblicità.
Prendiamo ad esempio Zoom, che merita un ragionamento a sé anche alla luce delle falle nella sicurezza scoperte dall’Fbi e della notizia che recentemente ha aumentato il numero di partecipanti autorizzati alle sue chiamate gratuite per aiutare insegnanti e scuole a raggiungere gli studenti a casa. Oltre a tutto ciò che abbiamo visto, è possibile per la piattaforma raccogliere anche informazioni dai nostri profili Facebook (se utilizziamo Facebook per iscriverci e accedere) e qualsiasi “informazione che carichi, fornisci o crei durante l’utilizzo del servizio”.

E a questo punto iniziamo a unire i puntini, come si dice. Nella sua policy sulla privacy, alla voce “Zoom vende dati personali?” l’azienda dice: “Dipende da cosa intendi per ‘vendere’”. Ovvero, dicono che non vendono dati personali a terzi in cambio di denaro, ma dichiarano per esempio che potrebbero trasmettere le nostre informazioni personali a Google. Che è la stessa Google che magari avremo utilizzato un’altra volta per consultare una mappa, o per la posta elettronica, o anche per partecipare ad una Meet come ospite, eccetera.

Cosa potrebbero fare con le nostre facce, la nostra voce, ecc?

Ecco, proviamo a delineare uno scenario: cosa può succedere se questi dati venissero combinati con informazioni raccolte da altre fonti, ad esempio per profilare massivamente gli utenti sulle loro abitudini di utilizzo, o anche potenzialmente utilizzare i video delle call (e delle lezioni cui partecipano ogni giorno milioni dei nostri studenti) in progetti di ricerca e sviluppo come l’addestramento di sistemi di riconoscimento facciale? Proviamo a immaginare, per esempio, cosa le tecnologie di intelligenza artificiale che quasi tutte queste aziende possiedono potrebbero fare con le informazioni biometriche dei ragazzi (per di più minorenni) che ogni giorno si collegano per fare lezione: quanti sono i maschi e le femmine, quanti portano gli occhiali, che abbigliamento indossano, se sorridono, che tono di voce hanno, quali sono le loro emozioni, quanti intervengono e quanti no durante le lezioni, eccetera.

Quegli stessi studenti che tra 10-20 anni saranno la classe dirigente di questo Paese.

Sono ipotesi che qualcuno potrebbe definire Huxleyane, ma per nulla inverosimili. Certo, siamo continuamente rassicurati che ciò che accade sul nostro dispositivo resta nel nostro dispositivo, ci dicono che i nostri dati restano di nostra proprietà, che sono protetti, crittografati, eccetera eccetera eccetera. Ma quei “termini del servizio” restano. Resta ciò che è dichiarato – perché le leggi lo impongono – e resta, soprattutto, ciò che non è dichiarato – perché le leggi non lo vietano, o meglio, perché spesso i governanti sono i primi analfabeti tecnologici.

In gioco soprattutto il “Sistema-Italia”

Una buona notizia è arrivata a luglio dall’Europa, con la bocciatura da parte della Corte di giustizia dell’Ue del “Privacy Shield”, che più che uno scudo era una gigantesca deroga sulla protezione dei dati personali dei cittadini europei che la Commissione europea aveva accordato agli Stati Uniti nel 2016.

Ma sbaglieremmo se ne facessimo una questione soltanto di privacy e sicurezza, che sono e restano temi importantissimi. Qui la questione è molto più grande, perché parliamo del potere commerciale, economico, sociale e politico incommensurabile che stiamo conferendo a queste aziende private per i prossimi decenni.

Contribuire a tutto ciò addirittura con i nostri organi statali, dai ministeri, agli uffici pubblici, alle caserme di carabinieri e polizia, mi sembra imperdonabile. Ancora di più se tutto ciò lo facciamo sulla pelle dell’Italia di domani, ovvero le studentesse e gli studenti italiani.

(Cari ragazzi e care ragazzi, mi rivolgo direttamente a voi: avete capito la posta in gioco. Spiegatelo al presidente Conte ed al Ministro Azzolina. E leggetevi bene i termini di utilizzo che avete “accettato” prima di presentarvi alla prossima videolezione).

Aldo Pecora

Ps:
Quanti dirigenti scolastici hanno nominato il DPO (il responsabile della protezione dei dati) d’Istitituto? Se sì, in base a quali criteri? E soprattutto, come viene deciso quali piattaforme utilizzare e quali no, e in base a cosa vengono scelti i diversi fornitori, per esempio per le caselle email (e i cloud) che le scuole forniscono agli studenti? Il Miur, se c’è, batta un colpo.

 

Total
374
Share