Come e perché Google spia il contenuto delle vostre mail

C

google_2988372b

Difendere Google è una cosa che mi capita raramente: come molti di voi sanno alla perfezione, in genere mi trovo nella condizione opposta di attaccarli su gestione del Copyright e della Privacy.

Ma la news del [Telegraph][1] secondo cui [Google spia gli utenti di GMail][1] rispetto ai [contenuti delle mail][1] vale forse una riflessione maggiore. Qui sotto il brano dall'[articolo][1]:

> A convicted sex offender has been arrested after Google flagged images of child abuse found in his GMail account to authorities, according to reports, revealing that the search giant is quietly but methodically watching our email activity for illegal images.
> Google spotted that the man had illegal images of a young girl stored in his GMail account during an automated search and reported it to the US non-profit National Center for Missing and Exploited Children. A subsequent police investigation lead to his arrest. ([fonte][1])

Per una dissertazione più colta della mia sulle implicazioni filosofico-legali della vicenda vi lascio all’ottimo post di [Quintarelli][2] che esamina sia i diritti costituzionali violati che tutta una serie di [importanti considerazioni da tenere ben presenti][2].

Da un punto di vista pratico, però, Google semplicemente implementa un protocollo di cooperazione che è assolutamente in linea con quanto fatto da molti altri ISP americani in seno anche a public efforts come [NY Stop Child Porn][3] (qui l’elenco degli [ISP che hanno aderito][3]).
Il sistema di funzionamento è abbastanza semplice e sono anni che me ne occupo sia professionalmente sia come consulente in associazioni per la difesa dei minori: si basa sull’individuazione di “firme digitali”, detti [Hash][hash] che consentono di paragonare due file per determinare se sono o meno identici. Dato quindi un database di contenuti notoriamente pedo-pornografici, come ad esempio quello in seno al [NCMEC][db] americano, è possibile controllare in modo automatico e senza intervento umano se uno qualunque dei contenuti che transitano sulla piattaforma siano o meno presenti e, quindi, se le comunicazioni o i file allegati siano pedopornografici. Non solo: più o meno in sordina Google stesso lavora ad un database simile [per lo meno dal Giugno 2013][5], come dimostrano [gli articoli di stampa che citano il sistema][5].

La cosa interessante è che posso effettuare questa operazione senza accedere manualmente ai contenuti ed addirittura senza dover controllare visivamente alcuna parte di tali contenuti (e senza quindi “maneggiare” le informazioni).
Vi è una ulteriore importantissima proprietà dei database di hash: non contenendo altro che firme digitali, la detenzione del database non comporta la “detenzione di materiale pedopornografico” (che altrimenti dovrei possedere per effettuare il controllo) e non mette quindi nella scomoda posizione di dover maneggiare contenuti di questa tipologia.

In pratica il protocollo funziona in questo modo:

1. Possiedo un database di firme (hash) di file che sono notoriamente pedopornografici
1. Per ogni file che transitano nella mia rete calcolo l’hash
1. Controllo l’hash del singolo file con quelli contenuti nel database
1. All’individuazione di un positivo NON controllo ma invio direttamente alle forze di polizia

In questo modo non ho alcuna necessità, se non algoritmica, di controllo.

E per quelli, un po’ più scafati, che si stanno accorgendo che un hash di un file è comunque poco utile perchè la minima variazione del file (colori, cropping, ridimensionamento) altera l’hash stesso, beh esistono sistemi molto più sofisticati che vanno dal [Perceptual Hash][phash] (in grado di individuare anche porzioni di una immagine originaria e similarità anche in caso di alterazioni) al sistema sviluppato da Microsoft denominato [PhotoDNA][dna].

I problemi, semmai, sono altri e molto (imho) più ostili, anche questi accennati dal buon [Quintarelli][2] nelle sue considerazioni:

> come la mettiamo con la esenzione di responsabilità della piattaforme ? adesso hanno dimostrato di poter individuare reati, possono invocare esenzione di responsabilita’ ? e poi, sarà legittimo chiedere altrettanto a soggetti che tecnicamente “potrebbero”, ma non hanno i mezzi economici per attuare questo spionaggio di massa ? ([Quintarelli][2])

Già, io sinceramente mi domando:

* Se Google è in grado di filtrare contenuti pedopornografici in questo modo, perché non sorveglia anche i contenuti protetti da Diritto d’Autore, che possono essere individuati esattamente allo stesso modo?
* Se Google effettua questo tipo di controlli sui contenuti, perché non controlla anche i siti che indicizza, per evitare di lucrare su pubblicità presente su siti pedopornografici e che violano il diritto d’autore?
* Se Google effettua questo tipo di controlli sui contenuti, perché non controlla anche i siti che indicizza, per evitare di pubblicizzare e pubblicare tramite il suo motore di ricerca siti a contenuti pedopornografico o che violano il diritto d’autore?

E, soprattutto, la mancanza delle azioni di cui sopra, stante la possibilità tecnica dimostrata anche in questo caso di effettuare i controlli, non corrisponde ad una **precisa volontà di non agire** e quindi di essere corresponsabile in qualunque tipo di reato commesso?

Estote parati.

[1]: http://www.telegraph.co.uk/technology/google/11010182/Why-Google-scans-your-emails-for-child-porn.html
[2]: http://blog.quintarelli.it/2014/08/google-e-la-mail-spiata.html
[3]: http://www.nystopchildporn.com/Compliant%20ISPs%20page.pdf
[phash]: http://www.phash.org/
[hash]: http://it.wikipedia.org/wiki/Hash
[db]: http://arstechnica.com/tech-policy/2007/07/image-hash-database-could-filter-child-porn/
[5]: http://www.deseretnews.com/article/765632286/Google-building-database-to-help-clear-child-pornography-from-the-Internet.html?pg=all
[dna]: http://en.wikipedia.org/wiki/PhotoDNA

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

6 commenti

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.