Insieme all’entusiasmo per gli evidenti miglioramenti tecnologici, l’avvento e la diffusione dell’intelligenza artificiale porta con sé anche il tema della sicurezza e della privacy. Le questioni relative alla raccolta di dati personali a fini di addestramento dei modelli AI, infatti, continua a essere al centro del dibattito tecnologico. Una vicenda recente, che ha visto protagonista OkCupid, una delle app di incontri più note al mondo, offre un esempio concreto di come questo problema sia non solo reale, ma anche urgente.
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Cosa è successo
La Federal Trade Commission statunitense ha avviato un procedimento legale nei confronti di OkCupid e della sua società madre Match Group Americas. L’accusa è di aver ingannato gli utenti condividendo le loro informazioni personali, tra cui foto e dati di geolocalizzazione, con una terza parte non affiliata, in contraddizione con le promesse sulla privacy formulate dall’app. Secondo quanto dichiarato dalla FTC, OkCupid aveva comunicato agli utenti che i loro dati non sarebbero stati condivisi con soggetti esterni se non previo avviso e con la possibilità di opporsi. Nonostante questo impegno, la società avrebbe fornito a una realtà terza accesso a quasi tre milioni di foto di utenti, insieme a dati sulla posizione e altre informazioni, senza alcun accordo né restrizioni sull’utilizzo.
Alla base c’è un problema di conflitto di interessi. I fondatori di OkCupid erano investitori finanziari nella società che aveva ricevuto i dati, la quale aveva contattato l’app di incontri nel 2014 con una richiesta esplicita. Secondo i documenti processuali, il fondatore di Clarifai Matthew Zeiler scrisse in una mail al cofondatore di OkCupid Maxwell Krohn “Stiamo raccogliendo dati e abbiamo appena realizzato che OkCupid deve avere una quantità enorme di dati fantastici per questo.” A quella richiesta OkCupid acconsentì.
Clarifai, la società di intelligenza artificiale che aveva ricevuto le immagini, le ha utilizzate per addestrare un sistema di riconoscimento facciale. Un articolo del New York Times del 2019 rivelò che Clarifai aveva usato immagini provenienti da OkCupid per sviluppare uno strumento in grado di stimare età, sesso e razza di una persona a partire dal volto. Fu proprio quella pubblicazione a spingere la FTC ad aprire un’indagine, conclusasi solo quest’anno.
A seguito dell’accordo con la FTC, Clarifai ha confermato di aver cancellato le tre milioni di foto e i modelli di intelligenza artificiale addestrati su di esse. La conferma della cancellazione da parte di Clarifai costituisce di fatto un’ammissione implicita dell’avvenuto accesso a quei dati, nonostante OkCupid e Match Group non abbiano formalmente riconosciuto le accuse.
Le “conseguenze” legali
La FTC ha contestato non solo la condivisione dei dati, ma anche il comportamento successivo delle società coinvolte. Secondo il comunicato ufficiale dell’agenzia, dal settembre 2014 Match Group e OkCupid avrebbero adottato misure per nascondere l’esistenza di questa condivisione, arrivando a tentare di ostacolare l’indagine stessa della FTC. Quando una notizia giornalistica rivelò che Clarifai aveva ottenuto grandi quantità di dati da OkCupid, la società negò pubblicamente qualsiasi coinvolgimento.
Nell’accordo con la FTC, OkCupid e Match Group si impegnano a non dichiarare il falso sulle proprie pratiche in materia di dati personali degli utenti. Niente di più. La FTC, infatti, non ha potuto imporre sanzioni economiche perché per legge per questo tipo di violazioni non sono previste. Di fatto alle due società viene vietato di fare qualcosa che già non avrebbero dovuto fare.
La conclusione di questa vicenda è per molti aspetti illuminante. Non tanto per le implicazioni della diffusione dell’AI, quanto per il valore che hanno le politiche sulla privacy. almeno negli Stati Uniti la normativa è ancora inadeguata e incapace di garantire conseguenze proporzionate all’entità del danno fatto. A distanza di oltre dieci anni dalla condivisione dei dati, gli utenti coinvolti non ricevono un risarcimento, e le società non ammettono alcun tipo di responsabilità. Resta solo il divieto di ripetere ciò che non avrebbero mai dovuto fare.