Guerre di Rete - La Corte Suprema di Facebook vuole il diritto di satira

E poi due libri sul presente e futuro del lavoro. E ransomware.

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.107 - 23 maggio 2021

Oggi si parla di:
- Oversight Board di Facebook e il diritto di satira
- piattaforme e analisi (e rimozione) dei contenuti
- gli obsoleti (ma anche gli invisibili). Vita da moderatori social
- lavoro e consumo al tempo dell’uomo Technosapiens
- ancora ransomware
- e altro

SOCIAL MEDIA
Il Comitato per il controllo di Facebook vuole il diritto di satira
L’Oversight Board di Facebook - il comitato per il controllo formato da un gruppo di esperti incaricati di rivedere ed eventualmente ribaltare alcune decisioni sulla moderazione di contenuti prese dal social network - si è espresso su un altro caso, dopo quello sicuramente più eclatante della rimozione dell’account di Trump, di cui avevo scritto in precedenti newsletter. Si tratta di un post che, attraverso un meme, criticava la raffigurazione del genocidio armeno da parte del governo turco. Parte della difficoltà del caso nasceva dall’intento satirico del meme, intento che non sembra essere stato registrato nella decisione iniziale di rimuovere il post. Il post era una variazione del meme dei due pulsanti, in cui viene presentata una scelta impossibile o surreale tra due opzioni. In questo caso sui bottoni l’utente aveva scritto: “Il genocidio armeno è una bugia”, e “Gli armeni erano terroristi che se lo meritavano” (una bandiera turca rappresentava la faccia di chi avrebbe dovuto scegliere).

Ora, un primo moderatore di contenuti aveva stabilito che il meme violava gli standard di comunità sui contenuti che incitano all’odio. Un secondo che invece violava gli standard di comunità in relazione a contenuti che esprimono crudeltà e insensibilità. All’utente era stato detto che il post era stato rimosso per questo secondo motivo. Dopo il suo appello, però, Facebook ha stabilito che restava valido il giudizio di violazione, ma che riguardava gli standard sull’hate speech (incitamento all’odio). Tuttavia non ha informato del dettaglio l’utente.

Già questo dovrebbe dare il senso della complessità del meccanismo. Solo che ora è intervenuta, e in modo definitivo, la cosiddetta Corte Suprema di Facebook, insomma l’Oversight Board o Comitato per il controllo. La maggioranza dei suoi componenti ritengono che il post dovesse rientrare in quelle eccezioni che permettono di condividere contenuti di odio allo scopo di condannarli o creare consapevolezza. E che l’intento del post non era, come ritenuto da Facebook, ambiguo, dal momento che le due opzioni scelte non starebbero a significare una approvazione per nessuna delle due, ma semmai mostrerebbero delle contraddizioni. Insomma, l’utente voleva condannare gli sforzi delle autorità turche di negare il genocidio armeno e nel contempo di giustificare quelle atrocità. Non solo: la maggioranza del board ritiene che il contenuto dovesse rientrare nelle eccezioni per satira, che non sono incluse in quegli standard di comunità. 

Dunque post promosso, ma anche una serie di raccomandazioni più generali che il Board prova a fare a Facebook a partire da questo caso:
- il social deve informare gli utenti su quale tipo di standard verrebbe violato dai loro post e in caso di cambiamenti nelle decisioni (come in questo caso) gli utenti dovrebbero avere la possibilità di un altro appello
- va inclusa una eccezione per la satira negli standard su incitamento all’odio
- vanno adottate procedure per moderare contenuti satirici in modo da tenere conto del contesto. Ciò include fornire ai moderatori un accesso ai team operativi locali e dare abbastanza tempo per consultarsi con loro
- gli utenti devono poter indicare nel loro appello che i contenuti rientrano in quelle eccezioni
- fare in modo che appelli basati su eccezioni alle policy siano resi prioritari per essere sottoposti a revisione umana
Le raccomandazioni del Board, al contrario delle decisioni sui post, non sono vincolanti. Tuttavia Facebook deve rispondere alle stesse entro 30 giorni.

Il Board ha anche annunciato il prossimo caso, la rimozione di un post in birmano che criticava il colpo di Stato in Myanmar, e che era stato molto condiviso, ma poi rimosso per hate speech per essersi riferito alla Cina con degli insulti. Il Board prenderà una decisione nelle prossime settimane ma intanto sollecita commenti dal pubblico su una serie di questioni correlate. Ad esempio chiede agli utenti se abbiano notato cambiamenti rispetto al modo in cui Facebook modera i contenuti sul Myanmar dopo il golpe. Ma anche informazioni sulle relazioni fra il regime e la Cina.
E’ affascinante leggere le questioni poste perché si intuisce la linea che potrebbe prendere il board, magari giudicando passibili di eccezione quelle profanità che si legano a un Paese ma che potrebbero essere viste come parte di una critica politica e circoscritta da parte di chi sta subendo una restrizione evidente dei propri diritti. Vedremo.

In generale, questi post del Comitato di controllo hanno qualcosa di socratico nella metodologia. Fanno un po’ l’effetto di trovarsi di fronte a qualcuno cui sia stata cancellata qualsiasi nozione di diritti umani e libertà di espressione per cui gli si debba insegnare da zero cosa sono. E ancor più come debba svilupparsi un ragionamento che prenda in considerazione tali concetti.

In questi giorni Facebook ha per altro pubblicato i dati sui post rimossi negli ultimi mesi (vedi il suo Transparency Center). Tra gennaio e marzo ha tolto più contenuti legati a gruppi organizzati di odio che legati a organizzazioni terroristiche - la prima volta che accade da quando ha iniziato a riportare i dati nel 2017, scrive The Protocol. Già tre mesi Facebook aveva fatto sapere che il 97 per cento dei post di odio venivano rimossi da sistemi di AI prima che fossero riportati da un utente (era l’80,5 per cento a fine 2019).

I limiti dei sistemi automatizzati di analisi dei contenuti
Già, perché come spiega un report del Center for Democracy and Tecnology uscito proprio in questi giorni, la pandemia ha intensificato l’uso di sistemi automatizzati per l’analisi dei contenuti da parte dei social media. E tuttavia questi sistemi presentano dei limiti che si evidenziano proprio nei contesti più difficili. Ovvero:
- strumenti di analisi automatizzata che funzionano bene in ambienti controllati faticano ad analizzare nuovi tipi di multimedia
- decisioni basate su su analisi automatizzate dei contenuti rischiano di amplificare pregiudizi presenti nel mondo reale
- sistemi automatizzati hanno una scarsa performance rispetto a quelle decisioni che richiedono di apprezzare il contesto (mi verrebbe da dire, come i due esempi visti all’inizio ed esaminati dall’Oversight Board)
- c’è un problema di misurabilità dell’impatto reale di questi strumenti
- difficile capire i passi presi da questi sistemi che hanno portato a una decisione

In conclusione, dice il report, questi strumenti non dovrebbero mai essere usati da soli; e se utilizzati, dovrebbero essere parte di un approccio più vasto che incorpora revisione umane e altre opportunità di intervento.

Gli obsoleti. O invisibili
E qui veniamo alla “revisione umana”. E alla categoria di moderatore. Il gig worker della società dell’informazione globale, come lo definisce Jacopo Franchi nel recente libro Gli obsoleti. Il lavoro impossibile dei moderatori di contenuti, Agenzia X edizioni.
Un lavoro innanzitutto invisibile a partire dalla sua nomenclatura.
“Per Google siete dei contractors, per Facebook dei Community Operations Team Members o Social Media Analyst, per le aziende che fanno moderazione in outsourcing siete dei Legal Removals Associate o Process Executive”, scrive l’autore. Nomi altisonanti per una realtà molto più dura e prosaica, e costantemente rimossa dal dibattito pubblico, esattamente come i post che loro stessi devono vagliare e/o cancellare. 
Quelle stesse aziende tech che celebrano i propri software (anche nella loro capacità di rimpiazzare il lavoro umano) si trovano infatti ad affidarsi sempre di più a degli invisibili lavoratori di serie B per far fronte ai crescenti problemi nati dal loro stesso successo (e dai meccanismi virali legati al loro business pubblicitario).
Il risultato è una catena di montaggio in cui l’obiettivo è smontare l’orrore prima che arrivi sotto gli occhi di milioni di persone che stanno spensieratamente strisciando il pollice sul loro telefonino -  e tutto quello che di legittimo finirà dentro il tritacarne è inevitabile danno collaterale.
“I ritmi e l’oggetto del vostro lavoro quotidiano sono decisi dall’algoritmo ancora prima che dai vostri supervisori: un macchina che non si ferma mai, che non è possibile rallentare…”, scrive Franchi. “Essa vi richiede per ogni post segnalato dagli utenti tempi equivalenti di valutazione, così come per la macchina la stessa unità di tempo è stata sufficiente a decidere se rendere virale o meno quel post prima della sua segnalazione”.

Ma i moderatori non possono parlare del loro lavoro. Devono firmare un serie di NDA e altre clausole del contratto che li rendono appunto invisibili.
“Potete usare solo formule generiche per descrivere il vostro lavoro, mutuate dallo stesso linguaggio ambiguo che le piattaforme hanno dovuto elaborare per giustificare la vostra presenza all’esterno: potete dire di essere dei contractors, dei membri del team di sicurezza e qualità, ma non potete mai qualificarvi esplicitamente come moderatori”. Non devono essere raggiunti da giornalisti o altre figure “scomode” per l’azienda.

Ma non solo. “Siete invisibili dentro e fuori l’azienda. (..) nessun utente può comunicare con voi, ma solo inviare una segnalazione attraverso moduli predefiniti, ed è un modulo predefinito quello che riceverà in risposta alla sua richiesta, e a cui potrà o meno far ricorso attraverso un ulteriore modulo standard di reclamo. Nessuno, al di fuori di voi, può avere la certezza che a rispondere alle segnalazioni degli utenti sia una persona in carne e ossa: la vostra invisibilità è congenita al design delle piattaforme”

I Technosapiens fra consumo e lavoro
Il tema del lavoro nell'era delle grandi piattaforme e delle recenti trasformazioni tecnologiche è anche fortemente presente in un altro recente libro, Technosapiens. Come l’essere umano si trasforma in macchina, di Andrea Daniele Signorelli (D Editore). Anche se qui il ruolo di lavoratore sembra legato in modo inestricabile a quello di consumatore: consumatore compulsivo-ossessivo di social media, di pillole, di personal branding. Si lega alla raccolta di dati, online, offline, onlife.
“Tutto può aumentare: produttività, lavoro, consumo. Ciò che non può aumentare è la durata della giornata”, scrive Signorelli. E viene subito in mente la frase del Ceo di Netflix per cui il più grande rivale dell’azienda di video streaming sarebbe il sonno.
“Lavoriamo sempre di più sfruttando le nuove tecnologie per essere sempre più efficienti; mentre la raccolta dei dati pervade ogni aspetto della nostra vita allo scopo di spronarci a consumare tutto ciò che produciamo e i lavoratori sono monitorati come fossero macchine per controllare che tutta la produzione necessaria abbia effettivamente luogo. Dove ci porterà tutto questo?”
A una maggiore sorveglianza, è una delle possibili risposte del libro. Che nell’ultimo, interessantissimo capitolo tenta alcune possibili risposte passando in rassegna varie teorie, dal primitivismo all’accelerazionismo.
“Quello che non si dovrebbe negare - conclude il libro - è quanto le nuove modalità di lavoro (..) siano nocive per la società. E quindi da superare”

RANSOMWARE
Sistemi sanitari e assicurazioni ancora nel mirino
La scorsa settimana avevo scritto del ransomware che aveva colpito il sistema sanitario irlandese. Ora sono emersi più dettagli: l’incidente ha avuto effetti sui test per il coronavirus, sui servizi legati ai reparti maternità, sui reparti oncologici, sul tracking del COVID-19. Un ministro l’ha definito “il più importante cybercrimine nello Stato irlandese”. Attacchi contro il sistema sanitario si sono vista in Gran Bretagna, Francia, Germania, Finlandia. (Politico) 

Non solo. Dopo AXA, un altro gruppo assicurativo è stato colpito da un ransomware. CNA Financial Corp, tra i maggiori gruppi assicurativi negli Usa, ha pagato 40 milioni di dollari (40 milioni sì) a fine marzo per riottenere il controllo del proprio network dopo una infezione ransomware, scrive Bloomberg. La società assicurativa avrebbe pagato i cybercriminali due settimane dopo che i suoi dati aziendali erano stati sottratti e ancora era tagliata fuori dai propri sistemi. L’azienda dice di essersi consultata con l’Fbi per capire se poteva pagare e se c’era il rischio di incorrere in sanzioni. Gli attaccanti hanno usato il malware Phoenix Locker, una variante del ransomware Hades, originariamente creato da un noto gruppo criminale russo noto come Evil Corp, e soggetto a sanzioni americane dal 2019. Tuttavia CNA dice di aver concluso, dopo una indagine, che il gruppo di cybercriminali in questione non era soggetto a sanzioni americane. In ogni caso anche questa decisione contribuirà a riscaldare il già animato dibattito sul pagamento dei ransomware di cui ho scritto nella scorsa newsletter

C’è poi un curioso seguito alla storia dell’impianto di trattamento dell’acqua in Florida (di cui avevo scritto qua) dove un intruso da remoto aveva tentato di modificare la composizione della soda caustica, provocando grande risonanza e un’indagine Fbi. Bene, secondo una società di sicurezza, un dipendente dell’impianto aveva visitato un sito malevolo che prendeva di mira quel genere di infrastrutture poche ore prima dell’intrusione (anche se secondo la società ciò non avrebbe avuto un ruolo nell’intrusione successiva). Ruolo o meno, il dato segnala il fatto che le infrastrutture critiche, anche quelle “minori”, sono decisamente un target. (ArsTechnica)

- Di questi temi, e anche di cybersecurity awareness, ho parlato in una chiacchierata con gli amici di CSA (Cyber Security Angels) in questo webinar qua (VIDEO)

SIGNAL
L’ufficio stampa del Consiglio dell’Ue migra da Whatsapp a Signal per mandare messaggi istantanei ai giornalisti (via Samuel Stolton)

ISRAELE/GAZA
Non chiamate cyberwar le bombe su Gaza
Vice analizza come Israele, per sua stessa dichiarazione, avrebbe eliminato alcune unità operative cyber di Hamas coi bombardamenti a Gaza. Anche il palazzo dove stavano le redazioni di AP e altri media sarebbe stato bombardato, secondo Israele, perché avrebbe ospitato il “dipartimento elettronico dell’ala militare di Hamas”, dedicato a ricerca e sviluppo di capacità di cyberattacco. E bombardarlo sarebbe stato il solo modo per disinnescare quella minaccia. Anche dando per buona l’esistenza di tale unità, sostiene Vice, la storia che l’unico modo per disinnescare una unità cyber sarebbe stato quello di bombardarla non è credibile, considerate le avanzate e stranote (gli iraniani ne sanno qualcosa) capacità cyber israeliane. E infine Vice avverte: non chiamate cyberwar il bombardamento di uffici dove stanno dei “cyber operativi”.

TROJAN
Riemerge il tema della capacità di controllo statale su strumenti investigativi tech affidati a privati
“Accesso abusivo al sistema informatico, frode nelle pubbliche forniture, errore determinato dall’altrui inganno, falsità ideologica commessa dal pubblico ufficiale in atto pubblico e falsa testimonianza: sono questi i reati contestati, a vario titolo, dalle procure di Firenze e Napoli ai vertici di Rcs, la società che ha noleggiato il trojan alla guardia di finanza di Roma per le indagini a carico dell’ex presidente dell’Anm Luca Palamara”, scrive Il Dubbio. “ Reati ipotizzati dopo gli esposti presentati da Palamara e dal deputato (ed ex magistrato) Cosimo Ferri, il primo già radiato dal Csm e il secondo sotto procedimento disciplinare. (...)  La questione, però, rispolvera una vecchia polemica sulla mancanza di un controllo pubblico sulle tecnologie fornite da privati al ministero della Giustizia, necessariamente non in grado di stare al passo con l’evoluzione tecnologica”

“Ora la Rcs è indagata e rischiano di essere inutilizzabili tutte le intercettazioni che ha effettuato. Le irregolarità nella gestione dei server sono state scoperte dai difensori di Cosimo Ferri, incolpato in procedimento disciplinare davanti al Csm.«L’esistenza di server a Napoli non autorizzati dall’autorità giudiziaria, e pertanto in questo senso “occulti”, rende radicalmente e patologicamente inutilizzabili tutte le intercettazioni», dice l’avvocato Panella”, scrive Domani (paywall).

- Vedi anche sul tema più generale: I trojan, o captatori informatici, sono la nuova frontiera delle intercettazioni. Sono gestiti da aziende ed è un problema - Rosita Rijtano su La Via Libera

GREEN CERTIFICATE
Le certificazioni verdi in Italia ed Europa: ecco quando arrivano e come averle - Agenda Digitale

TECH CINA
La città perfetta di Xi Jinping si è fermata. La Cina esporta hardware e «standard» per smart city in tutto il mondo. Ma il progetto simbolo vicino a Pechino non sta funzionando.
Simone Pieranni su il manifesto

APPROFONDIMENTI

Verso l’Agenzia per la cibersicurezza nazionale. Una proposta concreta - Formiche

Una analisi tecno-giuridica “dell’hack” di Cellebrite da parte di Signal - The Center for Internet and Society at Stanford Law School 

Tutta la storia dell’RSA hack (inglese) - Wired

—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere, anche se ora sono in pausa) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.