Pagine

venerdì 11 novembre 2022

Innovazione: valore o feticcio?

di Enrico Nardelli

Chi legge questo post e mi conosce potrebbe essere sorpreso. Immagino si chieda: «Ma come, proprio tu che sei docente universitario di informatica, la disciplina emblema dell'innovazione tecnologica, fai una simile domanda ?»

Il punto è che il mio mestiere di ricercatore mi spinge a chiedere sempre il perché, a valutare se quello che tutti danno per scontato sia davvero tale. Circa dieci anni fa, poi, mi sono imbattuto nel blog “nuovo e utile” di Annamaria Testa, che mi ha aperto la mente su questo tema. Lei è uno dei grandi nomi della comunicazione pubblicitaria italiana ed il titolo del suo blog allude (credo, non ho mai avuto il piacere di discuterne con lei) al fatto che per vendere bene un prodotto in modo durevole la pubblicità ha bisogno di entrambe le caratteristiche: la novità è importante, certo, perché come esseri umani siamo sempre attirati da ciò che è nuovo, ma se questo non si rivela utile, passato il momento della novità, perdiamo interesse.

Spesso usiamo il termine “innovazione” dando per scontato che ciò che è nuovo (e che certamente – essendo nuovo – è una manifestazione della creatività di qualcuno) sia necessariamente utile. Non sempre però è così e ritengo estremamente importante, soprattutto in quest’epoca storica in cui l'evoluzione tecnologica sforna novità ad un ritmo sempre più veloce, fermarsi a riflettere che né “innovativo” né “creativo” sono sinonimi di “utile” o “migliorativo”.

Vedo una manifestazione costante di questo fenomeno nel settore dei prodotti e servizi digitali. Prodotti innovativi che dopo qualche anno vengono abbandonati perché non rispondenti alle reali esigenze delle persone. Attività che venivano realizzate manualmente per anni che, a un certo punto, vengono automatizzate con tecnologia digitale, perché così si realizza innovazione (e si taglia sui costi, anche se quasi mai si fa una valutazione dei costi sistemici di lungo periodo, le cosiddette “esternalità”), ma che spesso fanno rimpiangere la precedente soluzione. Si chiede alla nostra pubblica amministrazione e agli imprenditori di essere innovativi: adesso è quasi diventato un obbligo, con il mantra europeo della “trasformazione digitale” e la montagna di denaro che dobbiamo spendere per realizzarla. Ci dimentichiamo però che se non insegniamo ai ragazzi l’informatica come disciplina scientifica fin dai primi anni di scuola il suo governo non sarà nelle nostre mani. Si considera l’innovazione un valore intrinseco, e non in funzione dei suoi esiti: non lo considero un approccio molto sensato.

L'innovazione a tutti i costi è un feticcio mediatico diventato ormai gigantesco nel mondo digitale. Mettiamo il “carro” dell’innovazione davanti ai “buoi” della strategia di sviluppo industriale. Fortunatamente, i nostri imprenditori, saggi e accorti, fanno innovazione solo quando è finalizzata alla loro competitività e flessibilità. I sistemi informatici, in molti casi, non sono realizzati in modo da consentire questa flessibilità a chi li usa. Questo gli imprenditori lo sanno e ne traggono le conseguenze. Su che basi oggettive si sostiene che i nostri imprenditori non siano in grado di fare o usare innovazione, quando sono stati sempre all'avanguardia in termini di macchine utensili che potessero dar loro un vantaggio competitivo sulla concorrenza? Come si pensa che si siano sviluppati i vari distretti tecnologici che sono il fiore all'occhiello di molte regioni se non grazie a un’innovazione costante realizzata giorno per giorno senza risparmiarsi nella ricerca di come migliorare (o difendere) quote di mercato e margini di guadagno?

Queste riflessioni sul ruolo dell’informatica nella pubblica amministrazione e nel si-stema produttivo, che avevo sviluppato tempo fa e che sono riprese ed estese nel mio ultimo libro “La rivoluzione informatica. Conoscenza, consapevolezza e potere nella società digitale”, mi sono recentemente tornate in mente a proposito del dibattito recentemente suscitato dalla constatazione che nel nuovo governo non ci sarebbe stato, come per il precedente, un Ministero per l’Innovazione e la Trasformazione Digitale.

Si è visto poi che è stato nominato un Sottosegretario alla Presidenza del Consiglio con competenza sull’innovazione, ma il punto in sé è che il focalizzarsi sull’innovazione in quanto tale, a prescindere dal miglioramento che apporta, sia uno scambiare un mezzo (l’innovazione) per il fine (il miglioramento).

Tutti conosciamo il famoso proverbio cinese (da alcuni attribuito a Confucio): «Dai un pesce a un uomo e lo nutrirai per un giorno. Insegnagli a pescare e lo nutrirai per tutta la vita». Per migliorare il suo bottino ittico non necessariamente deve cambiare canna da pesca per un modello più innovativo, a meno che questo non determini intrinsecamente una maggiore probabilità che i pesci abbocchino. Magari può essere più opportuno cambiare il luogo in cui pesca.

Nel mondo dello sport è abbastanza chiaro a tutti che la qualità tecnica dello strumento, per quanto importante, è raramente il fattore decisivo, a meno di un’assoluta parità (che quasi mai si verifica) di tutti gli altri fattori. “È questione di manico”, si dice popolarmente, per indicare proprio che è chi muove l’attrezzo sportivo che fa la differenza.

Tornando ai settori produttivi, mi sembra che troppo spesso ci sia una spinta verso l’utilizzo a tutti i costi di mezzi sbandierati come innovativi, a prescindere da un’analisi approfondita di come si inseriscono nell’intero ciclo di vita di realizzazione del prodotto o servizio.

Ritengo che la crescita economica di un Paese non derivi dal cercare un’innovazione fine a sé stessa, ma dal concentrarsi sullo sviluppo e sulla crescita, che dipendono dal miglioramento complessivo del sistema e nei quali l’innovazione può sì giocare un ruolo, ma a patto di avere una visione globale. Quando il miglioramento accade, c’è stata quasi invariabilmente qualche innovazione, ma non è in genere sempre vero il contrario. Si possono rinnovare strumenti e modalità operative ma ottenere un peggioramento complessivo. Con un linguaggio di tipo logico-matematico possiamo esprimerlo così: un miglioramento implica un’innovazione, ma un’innovazione non implica un miglioramento.

Pensare che basti avere l’innovazione per migliorare tutto è forse l’esempio più clamoroso di una manipolazione sempre più frequente nel mondo digitale, dove - complice anche il fatto che ormai la nostra finestra di visibilità su di esso è uno smartphone con limitate capacità di presentazione di informazioni – ci viene costantemente offerta una versione super-semplificata delle questioni in gioco, quasi uni-dimensionale. La vita è molto più complessa di così. Basta introdurre un secondo o un terzo elemento e parte il gioco delle combinazioni.

Si tratta di una spinta, apparentemente gentile ma in realtà ferocemente manipolatrice, tutta tesa a costruire una società di persone che, non pensano, ma si muovono cliccando un tasto dopo l'altro, senza valutare alternative, senza pensare criticamente.

In sintesi, non basta innovare, bisogna migliorare. Domandiamoci sempre: è nuovo, ma è utile?

--
Versione originale pubblicata su "Key4Biz" il 7 novembre 2022.

giovedì 13 ottobre 2022

Competenze digitali: quo vadis, italica schola ?

di Enrico Nardelli

È stato appena pubblicato il nuovo piano operativo per l’attuazione della Strategia Nazionale per le competenze digitali, a cura del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri.

L'Asse 1 di tale Piano Operativo è dedicato all'Istruzione, con due linee 1.1 (Istruzione) e 1.2 (formazione superiore), quindi – rispettivamente – scuola e università, con competenze di coordinamento assegnate ai due rispettivi ministeri.

Per l'istruzione (linea 1.1) sono indicate 5 aree di intervento per il Potenziamento delle competenze digitali nell'ambito della scuola (già l'uso del termine "digitali" invece che "informatiche" è la spia che qualcosa non va), mentre per l'università (linea 1.2) ci sono 11 aree di intervento per il Potenziamento delle competenze digitali nell’ambito del sistema nazionale di formazione superiore (a maggior ragione, per l'università, parlare di competenze digitali quando abbiamo un bisogno disperato di laureati in informatica e ingegneria informatica non è indicazione che conforta).

Il piano si raccorda con le linee di investimento definite all'interno del PNRR, che però presenta, per quelle di competenza dell'Asse 1 del piano, le stesse problematiche, che avevo già stigmatizzato.

Tra le 5 azioni previste per la linea 1.1 (la sola che discuto qui) osservo che una delle due miranti allo Sviluppo di competenze e cultura digitale degli studenti, cioè “#4 Nuove competenze e nuovi linguaggi”, ha come obiettivo (piano p.53) «rafforzare le competenze STEM, digitali e più innovative, in particolare per le studentesse» e prevede come milestone (monitoraggio, p.36) l’«Avvio di programmi di approfondimento scientifico» in 8.000 scuole entro giugno 2025. Certo, è fondamentale insegnare meglio le discipline scientifiche, ma non si farà la trasformazione digitale se non ci si impegna nell'insegnamento dell'informatica, la scienza alla base del mondo digitale.

Osservo anche che l'azione mirante alla Formazione digitale del personale docente, cioè l'azione “#5 Nuova didattica digitale integrata e formazione sulla transizione digitale del personale scolastico”, ha come obiettivo (piano, p.54) quello di «sviluppare le competenze didattiche digitali degli insegnanti attraverso una formazione continua che acceleri la transizione digitale e l'adozione di un modello integrato unico di insegnamento per tutte le scuole» e prevede come milestone di monitoraggio (monitoraggio, p.37) la «Formazione di 650.000 insegnanti e membri dello staff scolastico con nuove competenze digitali» con scadenza al dicembre 2024. Prima di tutto rilevo che c’è una bella differenza tra usare l’informatica per insegnare e insegnare l’informatica. Poi osservo che, ad essere benevoli, si tratta di una meta un po’ ottimistica. Basta tener presente che il Regno Unito, un paese non molto diverso dal nostro per popolazione, si è avviato sulla strada della formazione dei docenti scolastici all'insegnamento dell'informatica con uno stanziamento di 84 milioni di sterline per il quadriennio 2019-2022 arrivando a formare 30.000 insegnanti nei primi due anni. Mi aspetto che, dato anche un effetto di accelerazione, col secondo biennio arriveranno alla fine del 2022 a un totale che ricade approssimativamente fra i 100.000 e i 200.000. Noi iniziamo adesso e dicembre 2024 è a solo due anni di distanza. Certo, il genio italico è in grado di fare miracoli, ma qui temo che siamo proprio al di là di ogni ragionevolezza.

En passant, richiamo infine l'attenzione sulle azioni “#1 Next generation Classrooms” e “#2 Next generation Labs” che (al di là dell'uso dell'inglese per darsi un tono di modernità) rischia di consegnare definitivamente le infrastrutture digitali scolastiche alle piattaforme delle big tech, e con esse l'educazione e il futuro dei nostri figli, tendenza che si è già avviata con una non ben ponderata gestione del lockdown pandemico. Sappiamo che esistono valide alternative.

Per quanto riguarda la sinergia con le politiche nazionali ed europee il nuovo piano operativo cita il “Piano di azione per l'istruzione digitale 2021-27” (DEAP 2021-27) solo a p.24 del documento (per dire che quello è in linea con questo) e in una nota a p.14. Né l’executive summary, né l’infografica ne fanno cenno. È un po' sorprendente, visto che il DEAP 2021-27 è stato pubblicato due anni fa e segna un cambio di direzione della strategia europea in materia di formazione digitale, dal momento che fa esplicito riferimento alla necessità dell'insegnamento dell'informatica a tutti i livelli scolastici. Ho attirato costantemente l'attenzione su questo aspetto, sia in audizione sul PNRR al Senato (ecco il testo del mio intervento) che nella keynote lecture della 13° conferenza del Nexa Center for Internet & Society del Politecnico di Torino. Nel piano operativo nessuna delle azioni previste parla mai di insegnamento dell’informatica. Solo a livello di programmazione regionale osservo la lodevole eccezione della Regione Puglia, che vuole finanziare corsi di informatica, dal livello base al livello avanzato, ma ... per l'università della terza età! Iniziativa certo molto importante, visto che il divario digitale è per gli anziani particolarmente odioso, ma forse il sistema produttivo del Paese ha bisogno di qualcosa di più, non credete?

Su questa strada, è appena uscito il rapporto Informatics education at school in Europe (Insegnamento dell'informatica nella scuola in Europa), al quale ho contribuito come esperto scientifico, che misura come i vari temi dell'informatica sono insegnati nelle scuole europee ai vari livelli. Il messaggio di base è che l'insegnamento dell'informatica nella scuola è fondamentale per fornire a tutti i cittadini la conoscenza di base necessaria per partecipare, influenzare e contribuire allo sviluppo del mondo digitale. Il rapporto è stato pubblicato da Eurydice, una rete dei sistemi di istruzione nazionali che fa parte dell'Agenzia esecutiva europea per l'istruzione e la cultura, che ricade sotto la sfera di influenza della Direzione Generale "Istruzione, gioventù, sport e cultura" della Commissione Europea, di cui è responsabile politico il commissario Mariya Gabriel.

Si tratta della stessa DG che ha curato la pubblicazione del DEAP sopra citato, il quale – a proposito dell'informatica – dice, testualmente: «L'introduzione all'informatica fin dalla più giovane età ... può contribuire a sviluppare competenze in materia di risoluzione dei problemi, creatività e collaborazione. ... Le azioni volte a promuovere un'educazione informatica inclusiva e di elevata qualità possono anche avere un impatto positivo sul numero di ragazze che seguono studi informatici nell'istruzione superiore e lavoreranno poi nel settore digitale o svolgeranno professioni digitali in altri settori economici».

Insomma, mi pare che la direzione indicata dall'Europa sia chiara. L'insegnamento dell'informatica, come viene detto nei documenti di accompagnamento al DEAP 2021-27: «... permette ai giovani di acquisire un comprensione critica e concreta sul mondo digitale. ... I benefici sono sociali (...), economici (...) e pedagogici (...)». Si tratta di un tema che ho discusso approfonditamente, insieme al ruolo che può avere la diffusione della cultura informatica per lo sviluppo economico del Paese, nel mio ultimo saggio: "La rivoluzione informatica: conoscenza, consapevolezza e potere nella società digitale"

--
Versione originale pubblicata su "Key4Biz" il 10 ottobre 2022.

giovedì 25 agosto 2022

Mercati digitali più aperti ed equi col Digital Markets Act (DMA)

di Enrico Nardelli

Insieme al Digital Services Act di cui abbiamo parlato recentemente, il 5 luglio scorso il Parlamento Europeo ha approvato anche la Legge sui Mercati Digitali (Digital Markets Act – DMA). Attraverso questa normativa si introduce l’interoperabilità ob-bligatoria nei mercati digitali: avevo precedentemente illustrato l’importanza di questo approccio che, costringendo i fornitori di diversi servizi a realizzarli interoperabili, rende i mercati contendibili: vuol dire che diversi operatori possono partecipare alla contesa per ottenere la scelta degli utenti nell’uso dei propri servizi senza essere impediti da pratiche scorrette da parte di chi ha maggiori quote di mercato.

A questo scopo il DMA si concentra su alcuni servizi di base e sui fornitori in posizione di dominanza. Ecco i servizi di piattaforma di base (= Core Platform Services – CPS) soggetti alla regolamentazione:

  • servizi di intermediazione,
  • motori di ricerca,
  • reti sociali (= social networks),
  • condivisione di video,
  • messaggistica,
  • sistemi operativi,
  • browser web,
  • assistenti virtuali,
  • cloud computing,
  • pubblicità online,

indipendentemente dal fatto che siano forniti tramite dispositivi personali, dispositivi IoT (Internet of Things = Internet delle Cose, l’estensione della comunicazione via Internet a qualunque oggetto) o immersi in altri dispositivi tecnologici (p.es., un’automobile o una televisione).

Per quanto riguarda i fornitori dei CPS, il DMA regolamenta solo quelli denominati gatekeeper, cioè quelli che per le dimensioni della loro utenza sono in grado di controllare interi eco-sistemi. Sono considerati gatekeeper gli operatori che: ­ hanno un valore di mercato di 75 miliardi di euro oppure un fatturato annuale negli ultimi 3 anni nell’Area Economica Europea di almeno 7,5 miliardi di euro, e ­ erogano almeno un CPS in almeno 3 paesi europei con almeno 45 milioni di utenti finali attivi al mese e almeno 10.000 utenti commerciali attivi all’anno per ognuno degli ultimi 3 anni, considerando solo gli utenti che vivono o hanno la residenza nel territorio dell’Unione Europea.

È previsto che i gatekeeper soddisfino una serie di obblighi, tra i quali i più rilevanti sono i seguenti divieti di:

  • utilizzare i dati personali per presentare pubblicità mirate,
  • combinare dati personali degli utenti con i dati del CPS proprio o di altri fornitori o con dati personali di altri fornitori,
  • iscrivere l’utente – a meno di un suo esplicito consenso (col divieto di domandare nuovamente il consenso in caso di diniego per almeno un anno) – ad altri CPS dello stesso fornitore e di imporne l’iscrizione come condizione di utilizzo di un servizio,
  • sfavorire utenti commerciali che attraverso la piattaforma del fornitore offrono servizi in competizione con quelli del fornitore stesso,
  • imporre agli utenti di utilizzare i browser web o i sistemi di pagamento del fornitore.

Ulteriori obblighi per i gatekeeper riguardano la possibilità per l’utente di cambiare le impostazioni predefinite per un CPS sul proprio dispositivo, potendo disinstallare qualunque servizio preinstallato e scegliere uno dei servizi equivalenti di altri fornitori, fin dal primo utilizzo ed in qualunque momento, e stabilirlo come servizio pre-definito da usare, tranne il caso si tratti di un servizio essenziale per il funzionamento del dispositivo stesso, che non può essere fornito in modo tecnicamente indipendente. Lo stesso vale per ulteriori servizi che l’utente volesse installare sul dispositivo, ai quali deve inoltre essere consentito l’accesso, ai fini dell’interoperabilità, alle stesse componenti software e hardware presenti sul dispositivo per l’erogazione dei CPS forniti dal gatekeeper. L’unica eccezione, che deve essere debitamente giustificata, viene concessa per quei servizi la cui installazione o il cui funzionamento presenti rischi per l’integrità del dispositivo stesso.

Il nucleo delle richieste di interoperabilità viene esplicitato dal DMA per i servizi di messaggistica, per i quali i gatekeeper devono rendere i loro servizi interoperabili con quelli di qualunque altro fornitore che ne faccia richiesta, fornendo a richiesta e a titolo gratuito le specifiche di sicurezza e privatezza e le soluzioni tecniche di interfacciamento eventualmente necessarie. Per quanto riguarda i servizi di comunicazione diretta tra due utenti, la richiesta deve essere soddisfatta entro 3 mesi e deve consentire ai due utenti di scambiarsi testo, immagini, messaggi vocali, video e altri file allegati. Il termine si allunga a 2 anni per la comunicazione tra gli utenti interni a un gruppo (conosciuta popolarmente come chat), comprendendo le stesse forme di quella tra due persone. Un termine di 4 anni è invece previsto per le chiamate vocali o video dirette tra due utenti o all’interno di un gruppo. Nel consentire questa interoperabilità il gatekeeper può scambiare solo dati strettamente necessari e può chiedere alla Commissione l’estensione di tali termini qualora ci siano motivi derivanti dalla necessità di realizzare l’interoperabilità garantendo sicurezza e privatezza. L’estensione dei requisiti di interoperabilità ai servizi dei social network, che nella versione approvata dal Parlamento Europeo a dicembre 2021 era stata prevista da subito, verrà invece valutata dopo 3 anni dall’entrata in vigore del regolamento.

Il punto critico di queste prescrizioni di interoperabilità risiede nella necessità di mantenere sicurezza e privatezza anche quando interagiscono utenti di due operatori diversi. Normalmente, infatti, questi servizi sono protetti da una crittografia “da un capo all’altro” (end-to-end ) che consente di crittare il contenuto del messaggio sullo smartphone di partenza e decrittarlo solo sullo smartphone di destinazione, salvaguardando così il contenuto stesso da ogni possibile intercettazione. Questo è quello che accade tra due utenti di WhatsApp (che è gestito dal gatekeeper  Facebook – adesso Meta) o tra due utenti di Signal (che non rientra nella classificazione come gatekeeper ). Ma se un utente di WhatsApp e uno di Signal vogliono comunicare la crittografia non può essere più gestita all’interno di una stessa piattaforma. Sulla base di questa osservazione, a marzo 2022 era nata un’azione di comunicazione che criticava questo requisito, ovviamente sostenuta da chi aveva tutto l’interesse a mantenere lo status quo. Però l’interoperabilità che mantiene la privatezza anche tra due piattaforme diverse è tecnicamente possibile (anche se non facilissima): lo ha dimostrato proprio Meta quando ha realizzato la crittografia “da un capo all’altro” tra la sua piattaforma Facebook e quelle di WhatsApp e Instagram dopo averle acquisite. Sono possibili sostanzialmente due strade da un punto di vista tecnico, una di più immediata realizzazione, l’altra più lenta da costruire.

Per fare un semplice esempio concreto, immaginiamo che Aldo, utente di WhatsApp, voglia mandare un messaggio a Bianca, utente di Signal. In questo caso entrambi gli utenti vengono identificati mediante il loro numero telefonico e questo primo passo è facilmente risolto. In generale può essere complicato visto che piattaforme diverse possono identificare gli utenti con meccanismi diversi, ma è ugualmente risolvibile. Col primo approccio bisogna che, da qualche parte lungo il percorso che va dallo smartphone di Aldo allo smartphone di Bianca, il messaggio “esca” dalla protezione crittografica di WhatsApp ed “entri” nella protezione di Signal. Tecnicamente serve un componente software che si chiama bridge (= ponte). Il problema è che il luogo in cui si trova questo bridge diventa il punto vulnerabile in cui un malintenzionato può cercare di violare la privatezza della comunicazione, perché in quel punto il messaggio non è protetto dalla crittografia. La contromisura migliore è quindi non avere un bridge centralizzato ma avere un componente che svolge questa funzione sullo smartphone di Aldo (per i messaggi che Aldo manda a Bianca, e simmetricamente su quello di Bianca per la comunicazione in verso opposto). Oltre al vantaggio che, distribuendolo su tanti dispositivi viene minimizzato il guadagno per un eventuale attaccante, si ha quello che il dispositivo di partenza è comunque il luogo nel quale il messaggio è presente in forma non crittata. Per realizzare questo, quindi, l’app di WhatsApp dovrà essere estesa a contenere il bridge per Signal e simmetricamente per l’app di Signal. Però, per consentire l’interoperabilità anche con, per esempio, Telegram e Viber (altre due applicazioni di messaggistica), l’app di WhatsApp dovrà contenere anche i bridge verso questi altri due servizi (e viceversa). È chiaro che questa non è la soluzione ideale dal punto di vista tecnico, perché rende le app più pesanti e più lente.

L’altra strada è quella di usare un protocollo di comunicazione (cioè un linguaggio ed un insieme di regole di conversazione) condiviso, che permetterebbe a qualunque fornitore di parlare con qualunque altro mantenendo la riservatezza “da un capo all’altro” per i messaggi degli utenti coinvolti. Concettualmente, è la stessa cosa che accade nel caso dei browser e dei siti web, che si scambiano informazioni attraverso il protocollo HTTPS (e il protocollo sottostante TLS) mantenendo la riservatezza della comunicazione. È questo che vi consente, qualunque sia il vostro browser, di operare sul sito della vostra banca online senza che malintenzionati possano intercettare i dati in transito. Tra l’altro, il protocollo usato da Signal è già liberamente disponibile, sia come specifica che nella sua implementazione in formato sorgente, il che implica che la sua sicurezza – essendo stata scrutinata da molti programmatori – è probabilmente maggiore di quella di protocolli le cui specifiche non sono conosciute e le cui implementazioni sono sotto forma di software proprietario. Un ulteriore punto di partenza è il protocollo in corso di standardizzazione da parte dell’IETF (Internet Engineering Task Force, è l’organo che definisce le regole tecniche per i sistemi che consentono il funzionamento di Internet) denominato Messaging Layer Security. In aggiunta, esistono già servizi di messaggistica di diversi fornitori che sono tra loro interoperabili perché basati su standard aperti quali Matrix e XMPP.

Insomma, non si partirà da zero e certamente la spinta fornita dal DMA, che si appli-cherà a partire da 6 mesi e 20 giorni dopo la sua pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea, quindi presumibilmente all’inizio del 2023, servirà a focalizzare gli sforzi in una direzione che va certamente a vantaggio dell’utente finale.

--
Versione originale pubblicata su "Key4Biz" il 22 agosto 2022.

giovedì 11 agosto 2022

Luci ed ombre del Digital Services Act (DSA)

di Enrico Nardelli

Pubblicato come proposta della Commissione Europea nel dicembre 2020, il DSA è arrivato all’approvazione finale dopo una fase molto lunga di discussione sia a livello istituzionale che di consultazione della società civile ed entrerà in vigore al più tardi il 1 gennaio 2024. Ricordo che il processo legislativo dell’Unione Europea prevede che normalmente la Commissione Europea (organo esecutivo) abbia il potere di iniziativa legislativa, formulando proposte che devono essere approvate dal Parlamento Europeo (eletto dai cittadini) e dal Consiglio dell’Unione Europea (formato dai ministri dei governi degli Stati dell’UE), che sono gli organi legislativi.

Si tratta certamente di un evento di rilevanza internazionale per la regolamentazione dei servizi digitali, i cui elementi più rilevanti erano stati anticipati qui, e che pone l’Europa all’avanguardia in questo settore. È certamente positivo, ad esempio, che nella versione adottata venga salvaguardata la libertà di espressione proibendo il monitoraggio generale dei contenuti pubblicati da parte degli utenti o la ricerca attiva di elementi che indicano un’attività illegale, approccio che ha dimostrato sul campo di creare molti più problemi (rimuovendo contenuti perfettamente legittimi) di quanti ne abbia risolti. Altrettanto positivi sono gli obblighi di trasparenza verso gli utenti richiesti alle piattaforme, soprattutto relativamente ai sistemi di raccomandazione (proibendo l’uso dei dati sensibili e, per i minori, vietando l’uso di qualunque dato personale), alla pubblicità online (per la quale gli utenti devono poter capire in base a quali parametri gli viene mostrata, con la possibilità di cambiarli) e alle garanzie che gli utenti hanno rispetto alla rimozione dei contenuti. Vi sono molti altri elementi positivi, tendenti a garantire un ecosistema dei servizi online sicuro e fidato. Un ulteriore descrizione di quanto previsto nella norma approvata si trova nel comunicato stampa pubblicato dal Parlamento il 5 luglio 2022. In questo articolo mi concentro invece su alcuni aspetti sui quali sarà opportuno fare attenzione.

Mentre il DSA ha previsto che, qualora vengano forniti strumenti per la trasmissione crittata o con meccanismi che rendono impossibile l’identificazione degli utenti, ciò non costituisce, di per sé, indizio di attività illegale, non ha stabilito un diritto esplicito per gli utenti ad usare trasmissioni crittate o a usare servizi in modo anonimo. Alla luce della discussione in atto nell’Unione Europea sulla legislazione cosiddetta del chat control che, con lo scopo di combattere i crimini ai danni dell’infanzia, vuole imporre il controllo automatico di tutti i messaggi scambiati dagli utenti, si tratta di una mancanza che non aiuta nella protezione del diritto fondamentale alla privatezza delle conversazioni delle persone.

È un po’ deludente, dal momento che non aggiunge molto a quanto già previsto dall’attuale normativa per la protezione dei consumatori, come viene gestito dal DSA l’eventuale uso da parte dei fornitori di servizi dei cosiddetti dark patterns (espressione inglese che può essere resa in questo caso come “meccanismi ingannevoli”), ovvero di modalità di presentazione delle informazioni che impediscono all’utente di prendere una decisione in modo equilibrato. Ad esempio, dare maggiore visibilità ad alcune scelte, oppure chiedere nuovamente di compiere una scelta già espressa, o rendere una procedura di rinuncia ad un servizio più complicata o più lunga dell’adesione, o usare dei parametri il cui valore predefinito è difficile o faticoso cambiare.

Un aspetto di preoccupazione concerne l’assegnazione esclusiva alla Commissione Europea dei poteri di supervisione e attuazione verso le piattaforme di dimensioni molto grandi (nonostante ci debba essere un coordinamento tra i vari Coordinatori nazionali dei Servizi Digitali e la Commissione), che espone al rischio di regulatory capture (= cattura del regolatore), in riferimento al fatto che le big tech, dovendo interagire con un solo ente centrale, riescono più facilmente ad influenzarlo.

Un elemento di potenziale criticità è lo stato di trusted flaggers (= segnalatori affidabili) che può essere assegnato dal Coordinatore nazionale dei Servizi Digitali ad organizzazioni statali o private che hanno dimostrato particolare esperienza e competenza nella valutazione dei contenuti illegali e che lavorano in modo diligente, accurato e obiettivo. Le loro segnalazioni di illegalità devono essere elaborate dalle piattaforme in modo prioritario. Non si può infatti escludere che tale meccanismo possa essere soggetto ad abusi. In generale, la valutazione dell’illegalità di un contenuto può essere un compito difficile da attuare, soprattutto per i fornitori più piccoli, dal momento che cosa sia illegale dipende spesso dalle varie giurisprudenze nazionali. Abbiamo inoltre assistito, nel periodo della pandemia COVID-19, ad un’intollerabile limitazione del dibattito scientifico causata proprio dall’elaborazione di segnalazioni di illegalità, dibattito che è vitale per il progresso della scienza e che non può accadere senza la diversità di opinioni. Come ricordato in un’opinione pubblicata sul British Medical Journal (una delle più prestigiose riviste scientifiche internazionali di medicina generale) a maggio 2021, gli esperti «hanno enfatizzato la quasi impossibilità di distinguere tra un’opinione scientifica minoritaria e un’opinione che è oggettivamente scorretta (disinformazione)».

Un segnale della delicatezza di una previsione di questo tipo è fornito dall’azione legale appena avviata negli USA dalla New Civil Liberties Alliance (un’importante associazione americana no-profit che si batte per la difesa dei diritti civili e le libertà costituzionali) per conto degli Stati del Missouri e della Louisiana, insieme a Jay Bhattacharya, esperto di politica sanitaria a Stanford, e Martin Kulldorff, epidemiologo di Harvard, entrambi medici e scienziati di assoluto e riconosciuto valore, contro il Presidente degli USA, Joe Biden, il suo capo consigliere sanitario nonché direttore dell’Istituto Nazionale delle Allergie e Malattie Infettive, Anthony Fauci, ed altri alti responsabili della politica sanitaria negli USA. Ciò che viene contestato è la violazione del Primo Emendamento, che protegge la libertà di parola, dal momento che sono emersi documenti che evidenziano come il Presidente ed altri funzionari di altissimo livello del governo USA hanno richiesto alle aziende che governano i più importanti mezzi di comunicazione social di censurare i punti di vista sul COVID-19 e sulla sua gestione che erano in conflitto con i messaggi del Centers for Disease Control and Prevention (= Agenzia per il Controllo e la Prevenzione delle Malattie, l’organizzazione federale responsabile negli USA per la protezione della salute pubblica attraverso il controllo e la prevenzione). Alcuni esempi delle evidenze che sono emerse sono riportati qua, qua e qua. Il punto non è tanto il supporto che è stato fornito da queste aziende per una corretta informazione sanitaria (anche se il ruolo dell’Agenzia come sorgente delle informazioni è stato tenuto nascosto) quanto la censura che hanno attuato verso chi era in disaccordo con le versioni ufficiali. Questa azione si è dispiegata con molti meccanismi, da un bando completo sulla piattaforma di comunicazione a un bando cosiddetto “ombra” (= shadow ban, che blocca la notifica a chi segue una certa persona dei messaggi pubblicati dalla persona stessa), a tutta una varietà di meccanismi algoritmici per diminuire o impedire la visibilità dei messaggi o sminuirne la rilevanza (quale, ad esempio, etichettarli con avvisi di allerta o non mostrarli tra i primi risultati di ricerca). In sintesi, secondo quanto sostenuto da questa azione legale, il governo USA ha stabilito quali discorsi potevano essere tenuti in pubblico e quali no, esattamente quello che il Primo Emendamento proibisce di fare. Vedremo come si svilupperà la vicenda.

Infine, un ulteriore motivo di attenzione è l’inserimento, avvenuto sotto l’influenza della guerra in Ucraina iniziata a fine febbraio 2022, di un “meccanismo di risposta alle crisi” che fornisce alla Commissione Europea un potere straordinario di intervento in caso di crisi, quali, ad esempio, conflitti bellici, atti di terrorismo, disastri naturali, pandemie e altre serie minacce alla sanità pubblica. In tali casi la Commissione può richiedere a piattaforme e motori di ricerca di grandi dimensioni, per un periodo massimo di tre mesi, misure straordinarie di intervento come, per esempio, l’intensificazione dell’attività di moderazione dei contenuti, il cambiamento degli algoritmi di moderazione, l’adozione di misure di promozione dell’informazione affidabile, il rafforzamento della cooperazione con i segnalatori affidabili, il cambiamento delle interfacce utente. Nonostante tale potere sia temperato dalla necessità di ottenere l’approvazione dei Coordinatori nazionali dei Servizi Digitali e sia previsto che le misure straordinarie richieste siano proporzionate ed efficaci per ottenere lo scopo desiderato, il precedente che si è verificato durante la pandemia del CO-VID-19, quando, a febbraio 2021, sono state bandite da Facebook tutte le opinioni che discutevano la possibile origine in laboratorio del virus SARS-CoV-2, salvo poi tornare sui propri passi alla fine di maggio dello stesso anno perché si era capito che si trattava di un’ipotesi assai plausibile, lascia qualche dubbio su una misura di questo genere che rischia di determinare un’indebita limitazione della libertà di parola.

Questo avvenimento ci ricorda infatti che può sempre accadere che ciò che ieri veniva considerato “disinformazione”, oggi può essere una teoria accettabile che diventa domani la verità riconosciuta. Tra gli altri, questo è stato messo in evidenza da ciò che il giudice costituzionale Samuel Anthony Alito Jr ha scritto nel 2012 nella sua opinione in dissenso sul caso US vs Alvarez: «Il punto è … che è pericoloso permettere che lo Stato sia l’arbitro della verità. Anche quando c’è un vasto consenso tra gli studiosi riguardo uno specifico soggetto, si rende un miglior servizio alla verità permettendo che il consenso venga contestato senza paura di ritorsioni. La conoscenza che viene accettata oggi alle volte può rivelarsi errata». Si tratta di un caso in cui la Corte Suprema degli Stati Uniti ha ritenuto essere in contrasto con il Primo Emendamento una legge (Stolen Valor Act) che stabiliva fosse un atto criminale il dichiarare di aver falsamente ricevuto un’onorificenza militare. Il giudice Alito ha espresso un parere in dissenso argomentando che la precedente giurisprudenza della Corte aveva già riconosciuto che affermazioni oggettivamente false non sono intrinsecamente protette dal Primo Emendamento, che tutela invece l’interesse del pubblico dibattito a ricevere una pluralità di punti di vista su uno stesso argomento. Tale legge, ha concluso il giudice, non costituiva alcuna limitazione in questo senso e quindi non rappresentava alcuna minaccia alla libertà di espressione.

Certo, si tratta di giurisprudenza degli Stati Uniti, che in fatto di protezione della libertà di parola è più garantista di molti Stati europei, ma – essendo i problemi affrontati dalle società sostanzialmente simili, perlomeno nelle società occidentali – costituisce senz’altro un elemento su cui riflettere.

--
Versione originale pubblicata su "Key4Biz" l'8 agosto 2022.

venerdì 6 maggio 2022

Informatics in School: Europe is moving in the right direction

di Enrico Nardelli

On April 6, in Brussels, together with colleagues from the European coalition Informatics for All, we presented the Informatics Reference Framework for School to the Directorate-General for Education, Youth, Sport and Culture of the European Commission.

We are particularly proud to have been invited to this event, which is the first of the stakeholder consultation meetings that the Commission has planned to prepare the proposal for a Council Recommendation on improving the provision of digital skills in education and training, which is expected to be published by the end of 2022.

Informatics Europe (the European association of university departments and industrial research laboratories working in the field of computer science and computer engineering I am the president of) in collaboration with the ACM Europe Council (the European committee of the Association for Computing Machinery - the world’s largest international association of academics and computer science professionals), started working since 2012 on the topic of the importance of teaching informatics in schools, in order to enable Europe to be a leader in the global digital society.

Then, in 2018, we founded the Informatics for All coalition, together with the Council for European Professional Informatics Societies (CEPIS), and published a strategy paper identifying the goal of providing all citizens with a basic scientific education in informatics, equivalent to what they receive in mathematics and other sciences. Introducing education in Informatics since the earliest years of school is a key step in this strategy, which has been taken up by the European Commission in its Digital Education Action Plan 2021-27. The plan identifies "placing an emphasis on high quality inclusive informatics education at all levels of education" (Action No. 10) among the most important actions to be implemented. Paraphrasing a slogan that is the basis of modern democracies with a keyword highly used in these months, we can say "no digital transformation without informatics education".

The Technical Committee on Education of the International Federation on Information Processing (IFIP) also joined the coalition in 2020. Together with them, under the guidance of Michael Caspersen, a Danish colleague active in this field since many years, we have worked on the definition of the Reference Framework. On the one hand, education is an issue that at the level of the European Union remains the responsibility of the individual member states; on the other hand, there is a great variety of languages, cultures and school systems in the European continent. Therefore, instead of trying to devise a curriculum for the teaching of informatics is valid for all European schools (an almost impossible mission), we set ourselves the goal to define a high level reference framework that provides a shared vision of the discipline, while allowing each country to implement its own curriculum in a manner compatible with its history and tradition. "Unity in diversity" has been our guiding motto.

We are aware that the process of building a political consensus in Europe is delicate and difficult, rightly so, I would say, also considering the extreme heterogeneity of the peoples who inhabit it. Therefore, defining a minimal set of high-level requirements for all European countries seemed to us to be the right goal to allow each State to define its own specific approach, while coordinating the different paths towards the common goal of being able to better compete in the global market of the digital society through an effective and respectful collaboration and integration.

To this end, the framework is intentionally concise and flexible. It lists only 5 competency goals that all students should achieve at the end of their compulsory schooling, also paying attention to the social aspects of digital technologies, a topic whose relevance is continuously growing. It is conceived as a "high-level map" of informatics that identifies a list of 11 core topics, each once characterized by a brief description and designed so as to be robust to the inevitable evolution of the discipline. Subsequently, for many of these core topic, some areas that are particularly promising in the contemporary context have been identified (an example for all: artificial intelligence for the core topic "computing systems"). These can therefore be used in the specific national curriculum so as to make it attractive to students.

Particular emphasis has been put to stimulate curriculum designers towards the theme of inclusion, since more and more digital systems are the cause of social discrimination, recommending that a specific attention is given to the gender imbalance afflicting the digital workforce. The Framework was submitted to the attention of the various national informatics communities, and the final version - published in February 2022 and for which we plan to produce translations in national languages - took into account comments received from 14 countries.

In the same meeting, the Commission outlined the preliminary results of a survey on the current situation of informatics education in schools in all Member States, to be published by September 2022. The document definitively establishes that the name of the subject to be taught in schools is "informatics" (hence not "digital skills" or "computational thinking" or other expressions widely used in recent years that have, however, made the situation a bit confusing), since its linguistic root is the most common to indicate this discipline in Europe. Among the most important aspects, the theme of the preparation of teachers for teaching informatics has clearly emerged: strong investments will be necessary (as it is happening, for example, in the United Kingdom) since it is a discipline on which most of them have not received any education, neither in their professional career nor at school time.

To conclude, the journey has begun and there is still a long way to go. Europe has shown the way, let's not waste time. Our future is at stake.

--
Original version published on "BroadBand 4 Europe" on May 2nd, 2022 (archived copy, the original site is no more available).

domenica 10 aprile 2022

Informatica nella scuola: l’Europa è sulla strada giusta

di Enrico Nardelli

Mercoledì 6 aprile, a Bruxelles, insieme ai colleghi della coalizione europea Informatica per Tutti abbiamo presentato il Quadro di Riferimento per l’insegnamento dell’informatica nella scuola alla Direzione Generale Istruzione, Gioventù, Sport e Cultura della Commissione Europea.

Siamo particolarmente orgogliosi di essere stati invitati a questo evento, che è il primo degli incontri di consultazione con gli stakeholder che la Commissione sta organizzando in preparazione alla proposta di Raccomandazione del Consiglio sul miglioramento dell'offerta di competenze digitali nell'istruzione e nella formazione, la cui pubblicazione è prevista entro la fine del 2022.

Infatti, è dal 2012 che Informatics Europe (l’associazione europea dei dipartimenti universitari e laboratori industriali di ricerca che operano nel campo dell’informatica e dell’ingegneria informatica di cui sono il presidente) ha iniziato a lavorare, in collaborazione con lo ACM Europe Council (il Direttivo Europeo della Association for Computing Machinery – la più grande associazione internazionale di accademici e professionisti dell’informatica), sul tema dell’importanza di insegnare l’informatica nella scuola, allo scopo di poter garantire all’Europa una posizione di primo piano nella società digitale globale.

Nel 2018 abbiamo poi costituito la coalizione Informatica per Tutti, insieme al Council for European Professional Informatics Societies (CEPIS), e pubblicato un documento che ha proposto una strategia per la realizzazione dell’obiettivo di fornire a tutti i cittadini una formazione scientifica di base nell’informatica che sia allo stesso livello di quella che ricevono nella matematica e nelle altre scienze. Introdurre l’insegnamento dell’informatica sin dai primi anni di scuola è una tappa fondamentale di questa strategia, che è stata recepita dalla Commissione Europea nel suo Piano d’azione per l’istruzione digitale 2021-27 che, tra le più importanti azioni da realizzare, ha proprio elencato quella di «porre l'accento su un'educazione informatica inclusiva di elevata qualità a tutti i livelli di istruzione» (azione n.10). Parafrasando uno slogan che è alla base delle moderne democrazie con una parola chiave all’ordine del giorno in questi mesi, possiamo dire “no digital transformation without informatics education” (cioè, non è possibile alcuna trasformazione digitale senza l’insegnamento dell’informatica).

Alla coalizione ha aderito nel 2020 anche il Technical Committee on Education della International Federation on Information Processing (IFIP) ed insieme a loro abbiamo realizzato, sotto la guida di Michael Caspersen, collega danese attivo da moltissimi anni in questo settore, il Quadro di Riferimento presentato. Consapevoli che, da un lato, l’istruzione è un tema che a livello di Unione Europea rimane di competenza dei singoli Stati membri, e, dall’altro, sussiste nel continente europeo una grandissima varietà di linguaggi, culture e sistemi scolastici, ci siamo dati come traguardo la definizione non di un curriculum per l’insegnamento dell’informatica valido per tutte le scuole europee, ma di un quadro di riferimento di più alto livello, che fornisca una visione condivisa della disciplina consentendo al tempo stesso ad ogni Paese di realizzare il proprio curriculum in modo compatibile con la propria storia e tradizione. “Unità nella diversità” è stato il nostro motto.

Vediamo costantemente come il processo di costruzione di un consenso politico in Europa sia delicato e difficoltoso, giustamente, mi permetto di dire, considerando l’estrema eterogeneità dei popoli che la abitano. Definire quindi un insieme minimale di requisiti di alto livello al quale i vari curricoli nazionali dovrebbero attenersi ci è sembrato fosse la meta giusta per consentire ad ogni Stato di trovare la propria specifica strada, coordinando al tempo stesso i differenti percorsi, verso l’obiettivo comune di poter meglio competere nel mercato globale della società digitale attraverso un’efficace e rispettosa collaborazione e integrazione.

A questo scopo il quadro di riferimento è volutamente sintetico e flessibile. Elenca solo 5 traguardi di competenza che tutti gli studenti dovrebbero raggiungere al termine del percorso scolastico obbligatorio, facendo attenzione anche agli aspetti sociali delle tecnologie digitali, argomento la cui rilevanza sta diventando sempre maggiore. È pensato come una “mappa di alto livello” dell’informatica che individua un elenco di 11 “zone” (chiamate nel documento core topics = argomenti fondamentali), ognuna caratterizzata da una breve descrizione, congegnate in modo tale da essere robuste anche rispetto all’inevitabile evoluzione della disciplina. Successivamente, per molte di queste “zone” sono stati individuati alcuni “territori” (cioè, delle specifiche sotto-aree) particolarmente promettenti nella situazione storica contemporanea (un esempio per tutti: l’intelligenza artificiale per il core topic “sistemi informatici”) e che quindi possono anche essere oggetto della specifica articolazione nazionale del curricolo, così da renderlo attraente per gli studenti.

È stata posta particolare attenzione a stimolare i progettisti di curricoli verso la tematica dell’inclusione, dal momento che sempre di più, purtroppo, i sistemi digitali sono alla base di odiose discriminazioni sociali, raccomandando di far particolare attenzione allo squilibrio di genere che affligge la forza lavoro del digitale. Il Quadro di Riferimento è stato sottoposto all’attenzione delle varie comunità nazionali dei colleghi informatici e la versione finale – pubblicata a febbraio 2022 e per la quale abbiamo in programma la realizzazione di traduzioni nelle lingue nazionali – ha tenuto presente le osservazioni ricevute da 14 nazioni.

Nell’ambito dello stesso incontro, la Commissione ha esposto i risultati preliminari di un’indagine condotta a tappeto in tutti gli Stati membri sullo stato attuale dell’insegnamento dell’informatica nella scuola, che verrà pubblicata entro settembre 2022. Il documento stabilisce definitivamente che il nome della materia da insegnare nelle scuole è appunto “informatica” (quindi non “competenze digitali” o “pensiero computazionale” o altre espressioni largamente usate in questi anni che hanno però reso la situazione un po’ confusa), dal momento che la sua radice linguistica è la più diffusa per indicare questa disciplina in Europa. Tra gli aspetti cui fare maggiore attenzione, è emerso in modo chiaro il tema della formazione dei docenti all’insegnamento dell’informatica, su cui saranno necessari forti investimenti (come sta accadendo, ad esempio, nel Regno Unito), dal momento che si tratta di una materia sulla quale la maggior parte di loro non ha ricevuto alcuna formazione, né nell’ambito della loro carriera professionale né al tempo di quella scolastica.

Insomma, il cammino è iniziato e la strada da fare tanta. L’Europa ha indicato la direzione, non perdiamo tempo. È in gioco il nostro futuro.

--
Versione originale pubblicata su "Key4Biz" il 7 aprile 2022.

domenica 3 aprile 2022

Dovremo davvero rinunciare alla segretezza delle comunicazioni col Digital Markets Act?

di Enrico Nardelli

Negli ultimi giorni ha iniziato a circolare nei media la notizia (è facile intuire chi possa aver avuto interesse a farlo) che l'implementazione di quanto previsto dal Digital Markets Act (DMA) (la legge europea sui mercati digitali in via di approvazione) metterebbe a rischio la segretezza delle comunicazioni tra gli utenti. Il DMA richiede, tra le altre cose, la totale interoperabilità tra le applicazioni di messaggistica e quindi permetterà, ad esempio, ad un utente di WhatsApp di mandare un messaggio ad un utente di Signal e viceversa. I due utenti sarebbero quindi in grado di comunicare rimanendo ognuno nella propria piattaforma. Il DMA richiede questa interoperabilità, senza costi o impedimenti aggiuntivi per gli utenti finali, non solo per la messaggistica (testuale, visuale o auditiva) legata ad un numero ma anche per qualunque servizio di relazioni sociali, su qualunque dispositivo tecnologico venga erogato. Ecco l’elenco dei servizi soggetti a tale misura: servizi di intermediazione, motori di ricerca, sistemi operativi, reti sociali, condivisione di video, sistemi di messaggistica, cloud computing, pubblicità online, browser web, assistenti virtuali, tv connesse. È evidente che per chi possiede un quasi monopolio di fatto in questi settori si tratti di una misura che rischia di indebolire moltissimo la loro posizione.

Si è quindi cominciato a dire: "Attenzione! Se realizziamo questo allora gli utenti dovranno rinunciare a comunicare tra loro in modo totalmente segreto!".

Attualmente, infatti, questi servizi sono protetti da una crittografia "da un capo all'altro" (end-to-end ) che consente di crittare il contenuto del messaggio sullo smartphone di partenza e decrittarlo solo sullo smartphone di destinazione, salvaguardando così il contenuto stesso da ogni possibile intercettazione. Osserviamo prima di tutto che questo è del tutto vero in teoria, ma nella realtà non lo è completamente perché se siamo nell'ambito di una stessa App proprietaria il software che svolge questa funzione è lo stesso su entrambi i dispositivi, realizzato da una stessa società, e non possiamo dire – dal momento che in generale non ne conosciamo il codice sorgente – se abbia o meno una "porta di servizio" (back door ) per consentire l'accesso a strumenti in grado di violare tale segretezza.

Ricordiamo che negli USA la loro giurisprudenza, con il CLOUD Act (Clarifying Lawful Overseas Use of Data Act = legge che chiarisce l’uso legale dei dati all’estero), consente a qualunque giudice statunitense di accedere a dati che ritiene rilevanti, anche qualora riguardino cittadini stranieri. C’è poi il FISA (Foreign Intelligence Surveillance Act = legge per il controllo dei servizi di raccolta di informazioni all’estero) che, nella sezione 702 autorizza le agenzie USA di raccolta di informazioni a recuperare – senza che sia necessaria l’autorizzazione di un giudice – qualunque informazione transiti su dispositivi digitali di cittadini stranieri fuori degli USA. Ovviamente, il tutto al “nobile scopo” di prevenire il terrorismo. Immaginate quindi cosa potrebbe accadere in Paesi con una democrazia meno salda di quella americana...

Andiamo oltre: se usiamo Signal, il cui codice sorgente è libero e aperto, possiamo essere sicuri che non ci siano "porte di servizio". Come funziona il meccanismo che permette di realizzare lo scambio sicuro di messaggi in Signal? Senza entrare in molti dettagli tecnici, è basato su un approccio teorico detto di "Diffie-Hellman", dal nome dei due informatici americani che lo inventarono nel 1976, che permette a due persone di scambiarsi, sotto gli occhi di tutti, una chiave segreta (che cioè nessuno conosce nonostante sia stata concordata alla luce del sole) da usare per cifrare i successivi messaggi. Si tratta di un approccio la cui robustezza è matematicamente dimostrata ed è alla base di molti sistemi crittografici.

E allora che cosa potrebbe accadere se App di fornitori diversi fossero costrette a "parlarsi" mantenendo la segretezza delle conversazioni? Beh, certamente i produttori dovrebbero adeguarle a questo requisito, usando l’approccio di Diffie-Hellman o altri equivalenti inventati in seguito, il che è tecnicamente del tutto possibile, nonostante gli alti lamenti che si stanno sentendo. È ovviamente solo una questione di soldi. Da un un punto di vista tecnologico, già adesso accade che con un qualunque browser (chiunque sia il suo produttore) possiate connettervi al sito web di una qualunque banca con la certezza che i vostri dati non siano intercettati da nessuno. Oppure, considerate la posta elettronica, nella quale la completa interoperabilità tra i fornitori già esiste, perché fortunatamente il suo sviluppo è avvenuto prima dell'esplosione popolare di Internet all'inizio di questo secolo. Ebbene, esistono fornitori di servizio di posta elettronica (ma non quelli dei suddetti monopolisti!) che vi danno la possibilità di comunicare in modo assolutamente segreto con chiunque abbia un indirizzo di posta elettronica presso un qualunque altro fornitore.

Non si venga quindi a dire che non si può. Certo non è né immediato né facile. Lo snodo è che chiaramente alcuni che negli ultimi vent'anni hanno accumulato profitti – che li rendono economicamente potenti quanto uno Stato nazionale – non vogliono perdere la loro posizione di privilegio.

Nulla in contrario che quelli bravi e svegli facciano profitti, ma non a costo di rimanere ingabbiati a vita con uno stesso fornitore di servizio.

--
Versione originale pubblicata su "Key4Biz" il 31 marzo 2022.

giovedì 24 febbraio 2022

Norme, algoritmi e programmi

di Enrico Nardelli

Periodicamente, quando qualcosa va storto nell'utilizzo dei sistemi informatici in procedure sottoposte a pubblico scrutinio (questo il caso più recente), i media parlano di “discriminazione algoritmica”, “dittatura degli algoritmi” e simili espressioni che inventano giornalisti in cerca di un titolo che buca, ma con una, purtroppo, bassa preparazione nella specifica materia. A conferma, consultate per favore la figura 2.5 (p.24) del documento AGCOM “Osservatorio sul giornalismo” del 23 novembre 2020 e leggete il relativo comunicato stampa che recita, testualmente, «ai professionisti dell’informazione manca un livello di conoscenza specialistica (inteso in particolare in termini di formazione accademica) adeguato alla copertura di fatti ed eventi economici, finanziari, scientifici e tecnologici». “Ambasciator non porta pena” si dice: spero non me ne vorranno gli amici e le amiche di questo settore, che comunque rispetto.

Chiarito questo punto, vorrei ricordare che nel mondo digitale il termine algoritmo è di interpretazione lievemente ambigua. Questo perché da un punto di vista storico gli algoritmi sono stati inventati, come metodo, dai matematici (per quei pochi che ancora non lo sanno, ricordo che il termine algoritmo deriva dall’appellativo al-Khuwārizmī del matematico arabo del IX secolo Muḥammad ibn Mūsa, che era nativo di Khwarizm, regione dell’Asia Centrale) per descrivere in modo preciso ad altri matematici i procedimenti che dovevano essere utilizzati per la risoluzione dei problemi.

Nell'informatica, questo termine è stato mutuato per descrivere un procedimento risolutivo in modo completamente indipendente da ogni sua realizzazione sotto forma di un programma informatico scritto in un certo linguaggio di programmazione. Il punto di criticità (e la conseguente ambiguità) nasce dal fatto che è il programma informatico (e non l’algoritmo da cui esso viene derivato) quello che viene eseguito dal calcolatore (tecnicamente, dall'automa) e nel passaggio dall'algoritmo al programma, che è una vera e propria traduzione, come accade per i testi letterari, si corre il rischio di “tradire”.

Tornando al punto iniziale, è fondamentale tener presente che le norme giuridiche sono già degli algoritmi e, in particolare, sono gli algoritmi che regolamentano ed organizzano la vita sociale: se trasgredisci questa prescrizione allora ricevi questa punizione. Le loro macchine esecutrici sono i giuristi: uso liberamente questo termine per parlare dei professionisti della giurisprudenza. In quest'ottica sussiste un parallelo di perfette proporzioni: l'algoritmo sta al matematico come la norma sta al giurista. Non è un caso che sia nel mondo accademico che in quello professionale stanno diventando sempre più numerose figure con una preparazione ibrida tra l’informatica e la giurisprudenza. È un processo analogo a quello che sta già avvenendo da molto più tempo nell’intersezione tra l’informatica e la biologia. Ma questo è un altro discorso.

Nel diritto, tale sovrastruttura sociale di norme scritte e loro esecutori (come la matematica) ha funzionato perfettamente per millenni: il diritto basato su leggi scritte è in uso nel Bel Paese da molti secoli prima che diventasse Nazione. In altre più antiche civiltà ha una storia ancora più lunga. Non ci sono generalmente stati problemi, al di là della naturale tendenza – che possiamo considerare inestricabile dalla natura umana – di alcuni a considerarsi o a valutare il prossimo “più uguale degli altri”. Come si dice per la democrazia, anche un sistema sociale basato su un corpus giuridico scritto e su suoi “interpreti” ben preparati, per quanto imperfetto, è migliore di ogni altro sistema.

Quindi, quando norme giuridiche (che sono già algoritmi) vengono trasformate in programmi informatici e nella loro esecuzione qualcosa va storto non è corretto parlare di “errore dell’algoritmo” ma bisognerebbe parlare di “errore di programmazione”. Infatti chi esegue il programma informatico, essendo un dispositivo che agisce in modo assolutamente meccanico e completamente predeterminato, non sbaglia mai. Se il risultato ottenuto dall’esecuzione non corrisponde alle aspettative previste nell’algoritmo, l’errore è nel programma informatico. Per continuare nel parallelo con ciò che accade quando gli esecutori sono umani, è come un errore di interpretazione di una norma da parte di un giurista. Solo che, nella stragrande maggioranza dei casi, essendo costui un essere umano dotato di intelligenza, buon senso ed esperienza, possiede una serie di “paracadute” e “cinture di sicurezza” che gli impediscono di stravolgere le norme da interpretare.

È invece molto frequente il caso in cui un insieme di norme, trasformate in un insieme di programmi informatici, diventano qualcosa di lievemente diverso. Vuoi perché questa conversione è fatta in genere da informatici che non posseggono un’approfondita competenza sul tema e ai quali, da parte di chi richiede questa trasformazione, non vengono fornite sufficienti informazioni. Vuoi perché in altri casi le norme, essendo state scritte pensando ad esecutori umani dotati di intelligenza ed esperienza, non esauriscono tutti i casi possibili. Non ce n’è bisogno, esattamente come accade se chiediamo ad un bambino di andare verso qualcuno: non dobbiamo specificargli di evitare di inciampare in eventuali ostacoli perché è in grado di pensarci da solo. Ecco, gli esecutori dell’informatica, cioè PC, tablet, smarphone e simili, “non ci pensano da soli”.

Il problema che sta affliggendo in misura sempre maggiore l’esecuzione automatica tramite programmi informatici di procedure amministrative non è niente altro che l’esempio più recente della difficoltà di realizzare un sistema informatico completamente rispondente alle specifiche, che è il maggior problema ancora aperto dell’ingegneria informatica.

Però, dal momento che tali procedure amministrative sono ormai nella vita quotidiana di tutti noi, queste problematiche – prima ristrette agli esperti di dominio – le stiamo soffrendo ormai tutti.

Parafrasando uno dei finali più famosi della storia del cinema potremmo dire: “Questa è l’informatica, bellezza, l’informatica. E non puoi farci niente. Niente”. In realtà, qualcosa possiamo (e dobbiamo) fare. Iniziare ad insegnare l’informatica nella scuola come disciplina scientifica, come si fa per la matematica, per formare generazioni di cittadini in grado di comprendere la differenza tra algoritmi e programmi, e le difficoltà e le insidie che si nascondono nel processo di traduzione.

--
Versione originale pubblicata su "Key4Biz" il 21 febbraio 2022.

sabato 8 gennaio 2022

Un primo passo per servizi digitali migliori

di Enrico Nardelli

Nella seduta plenaria del 15 dicembre 2021 il Parlamento Europeo ha approvato il Digital Markets Act (DMA), che promette di essere un passo assai importante per contrastare i monopòli di fatto che le grandi corporazioni multinazionali del digitale (comunemente dette big tech) hanno costruito nei loro settori. L’elemento fondamentale introdotto è il requisito di interoperabilità tra i servizi, cioè la capacità di sistemi o applicazioni realizzate da fornitori differenti di interagire. Questo era l’approccio più diffuso, nel mondo digitale, fino a circa una ventina di anni fa. Il caso della posta elettronica è l’esempio migliore. Chiunque sia il fornitore del mio indirizzo di posta elettronica e qualunque sia l’applicazione che uso per scrivere e leggere i relativi messaggi, sono comunque in grado di comunicare con qualunque altro utente cha abbia un indirizzo di posta elettronica. Ciò è possibile proprio perché il servizio di posta elettronica è interoperabile.

Nel caso della tecnologia digitale, quando non vi sono ostacoli fisici all’interoperabi¬lità (come può accadere – ad esempio – nel caso di un accessorio che deve essere fisicamente connesso ad un dispositivo) il tutto passa attraverso ciò che il software può fare o consentire di fare. Questo consente un enorme flessibilità, dato che nel mondo digitale è possibile simulare o emulare qualunque cosa, anche quando questo non sia stato originariamente previsto. Pertanto, anche se, ad esempio, il fabbricante della mia stampante laser inserisce nella stampante stessa un programma che esamina la cartuccia di inchiostro inserita per verificare che sia solo del modello consentito, io posso comunque realizzare cartucce compatibili dotandole di un opportuno programma che inganna quello sulla stampante facendogli credere di essere una cartuccia abilitata. Si tratta, in questo caso, di una situazione di “interoperabilità competitiva” (chiamata adversarial interoperability in inglese) ovvero di un caso in cui l’interoperabilità viene ottenuta competendo con un avversario che non vorrebbe che fosse realizzata. L’unico modo di opporsi a questi tentativi è quello di procedere per via legale. Strada che nel corso dell’ultimo decennio le big tech hanno ampiamente percorso dopo aver invece utilizzato l’interoperabilità per aumentare il numero dei loro utenti: ad esempio, Facebook agli inizi ha consentito ai propri utenti di interagire con quelli di MySpace (una piattaforma social che è stata la più usata al mondo tra il 2005 e il 2009) sfruttando tale meccanismo per crescere a scapito di quest’ultima, mentre adesso si oppone, a suon di cause legali, a qualunque tentativo in questa direzione.

L’interoperabilità obbligatoria è la strada che è stata appunto intrapresa nell’Unione Europea col DMA. Nella versione approvata dal Parlamento Europeo, il “considerando” 52-a (non presente nella proposta iniziale della Commissione Europea) recita, testualmente: «La mancanza di possibilità di interconnessione tra i servizi di intermediazione può influenzare in modo significativo la scelta degli utenti e la possibilità per l’utente di cambiare , a causa della difficoltà per l’utente finale di ricostruire le reti e le relazioni sociali precedentemente possedute». In conseguenza di ciò, prosegue il considerando ed è ribadito dalla parte dispositiva, deve essere consentito a qualunque fornitore di interconnettersi, a richiesta e senza costi, con gli equivalenti servizi di comunicazione personale o di relazioni sociali di altri fornitori, con le stesse condizioni e qualità di servizio e mantenendo un elevato livello di sicurezza e di protezione dei dati personali. Per i servizi legati ad un numero, tipo la telefonia o la messaggistica, ciò implica l’accesso e l’interconnessione di servizi di testo, voce, immagini e video, mentre per quelli legati alle relazioni sociali, ciò implica l’accesso e l’interconnessione a servizi di base quali i post, i commenti ed i like. In aggiunta, fra le varie disposizioni vi è una clausola, anch’essa introdotta dal Parlamento, che proibisce esplicitamente «ogni comportamento che scoraggi l’interoperabilità attraverso l’uso di misure di protezione tecnica, di termini di servizio discriminatori, l’assoggettamento delle interfacce di programmazione applicativa al copyright, la fornitura di informazioni fuorvianti».

Ecco i servizi fondamentali di piattaforma (= Core Platform Services – CPS) soggetti alla regolamentazione del DMA: servizi di intermediazione, motori di ricerca, sistemi operativi, reti sociali, condivisione di video, sistemi di messaggistica, cloud computing, pubblicità online, browser web, assistenti virtuali, tv connesse (gli ultimi tre aggiunti dal Parlamento). Questo accade indipendentemente dal fatto che siano forniti tramite dispositivi personali, dispositivi IoT (Internet of Things = Internet delle Cose, l’estensione della comunicazione via Internet a qualunque oggetto) o immersi in altri dispositivi tecnologici (p.es., in un’automobile).

Ci sono due ulteriori elementi di particolare valore per la protezione degli utenti finali. Il primo è il divieto per gli intermediari di utilizzare i dati personali per presentare pubblicità mirate, a meno che ci sia un «chiaro, esplicito e rinnovato consenso informato» da parte degli utenti stessi, in linea con quanto previsto dal GDPR, e con la proibizione di raccolta dati sui minori a scopo commerciale. Il secondo, la possibilità per l’utente di cambiare le impostazioni predefinite per un CPS sul proprio dispositivo, potendo scegliere uno dei servizi equivalenti di altri fornitori, fin dal primo utilizzo ed in qualunque momento, tranne il caso si tratti di un servizio essenziale per il funzionamento del dispositivo stesso, che non può essere fornito in modo tecnicamente indipendente.

Gli intermediari a cui si applicano queste norme sono quelli che hanno un fatturato annuale negli ultimi 3 anni nell’Area Economica Europea di almeno 8 miliardi di euro e erogano almeno un CPS in almeno 3 paesi europei con almeno 45 milioni di utenti finali attivi al mese ed almeno 10.000 utenti professionali attivi all’anno. La definizione di questi criteri dimensionali cerca di trovare un equilibrio tra l’individuazione degli attori che hanno un’effettiva posizione di predominio nel mercato e l’evitare di sovraccaricare sia chi non costituisce una minaccia di monopolio sia le autorità preposte al rispetto della normativa. Secondo un’analisi del centro studi europeo Bruegel, in base al testo approvato dal Parlamento, oltre alle GAFAM sarebbero soggette al DMA anche altre sette aziende: SAP, Oracle, Salesforce, Bookings, Paypal, Yahoo e Vivendi.

Nella versione approvata dal Parlamento è stata prevista anche l’istituzione di un Gruppo Europeo di Alto Livello di Regolatori Digitali, costituito da rappresentanti ed esperti degli Stati nazionali – inclusi i rappresentanti delle Autorità nazionali di sorveglianza sulla concorrenza, per assistere la Commissione nell’applicazione e monitoraggio del DMA, favorendo lo scambio di informazioni e migliori pratiche ed eventualmente segnalando alla Commissione la necessità di investigare comportamenti potenzialmente scorretti. Per quest’ultimo caso viene esplicitamente riconosciuto e protetto il ruolo di eventuali informatori interni (i cosiddetti whistleblowers, in inglese).

Nel caso di intermediari che in modo sistematico violino le disposizioni del DMA (cioè, abbiano commesso almeno due violazioni nei dieci anni precedenti) la Commissione potrà imporre «rimedi strutturali o comportamentali», proibendo anche, se necessario, acquisizioni che possano causare «ulteriore danno alla contendibilità ed equità del mercato interno», le cosiddette “acquisizioni killer”, cioè effettuate per eliminare dal mercato un concorrente che si reputa pericoloso per il proprio giro d’affari. Le multe che la Commissione può imporre agli intermediari che violano le norme vanno da almeno il 4% a non più del 20% del fatturato totale mondiale dell’anno fiscale precedente.

Bisognerà certo aspettare di avere la versione finale che uscirà dalle discussioni tra Parlamento, Commissione e Consiglio, attesa comunque nel primo semestre 2022, e poi capire come gli Stati nazionali e la Commissione la applicheranno.

In ogni caso, il primo passo importante è stato fatto.

--
Versione originale pubblicata su "Key4Biz" il 5 gennaio 2022.

domenica 2 gennaio 2022

Il voto elettronico: un punto di vista scientifico

di Enrico Nardelli

Le comunità scientifiche italiane dell’informatica (GRIN) e dell’ingegneria informatica (GII) hanno recentemente preso una chiara posizione in merito al voto elettronico. Il riferimento è il decreto ministeriale di luglio 2021 che introduceva la sperimentazione di modalità di votazione via Internet attraverso un’app.

Si tratta di una proposta che periodicamente si riaffaccia in diversi paesi del mondo per – come sempre si dice in casi di questo genere – “aiutare la democrazia”, incrementando la partecipazione al voto, impedendo brogli, diminuendo i costi e rendendo le procedure elettorali più veloci ed efficienti. La realtà è purtroppo ben diversa e la mozione approvata dalle assemblee del GII (il 16 novembre) e del GRIN (il 29 ottobre), a larghissima maggioranza (solo qualche decina di astensioni su quasi 1.600 professori e ricercatori di ruolo in totale negli atenei italiani), argomenta sinteticamente perché questa è una cattiva idea. Senza assumere un atteggiamento fideistico, ma portando evidenze raccolte dalla comunità scientifica internazionale. Ne avevo discusso in precedenti occasioni, qui, qui e qui, in ordine di tempo, con riferimento ad un panorama robusto e coerente di critiche provenienti da tutto il mondo.

Aggiungo che alcune soluzioni tecnologiche intrinsecamente pericolose per la società, quali – per fare un paio di esempi recentemente dibattuti – il riconoscimento facciale in luoghi pubblici e le armi letali autonome, andrebbero esplicitamente vietate. Il che non esclude che si possa fare sperimentazione e ricerca su alcuni aspetti, ma avendo ben chiaro in mente che i possibili costi sociali rendono impraticabili quelle soluzioni. Ovvio che ci sarà sempre qualcuno che per interesse (dei finanziamenti associati alle sperimentazioni) o per visibilità (come le recenti vicende delle virostar televisive hanno mostrato) si farà avanti sostenendo che tali soluzioni vanno comunque investigate a fondo “per capire meglio”. Però, penso che l’esempio magnificamente illustrato da Walt Disney nell’episodio “L’apprendista stregone” del cartone “Fantasia” sia sufficiente ad illustrare con chiarezza i rischi di questo approccio, considerato che nella realtà non c’è un Maestro che ritorna per rimettere a posto una situazione fuori controllo.

Gli articoli scientifici offrono uno scarso supporto alle motivazioni usate da chi vuole introdurre il voto via Internet e la mozione approvata fa anche riferimento ad un esteso compendio delle problematiche incontrate dall’utilizzo della tecnologia digitale nel contesto elettorale. L’uso di modalità online di votazione ha un effetto minimo oppure nullo in pratica, come evidenziato da diversi studi. Uno è stato realizzato in Svizzera, con votazioni reali, per più anni (2003-2016 per Ginevra e 2005-2011 per Zurigo) e non ha mostrato alcuna influenza sulla partecipazione. Uno studio del 2014 relativo al Belgio ha evidenziato un leggero decremento. Uno studio canadese del 2020 ha evidenziato un leggero incremento concludendo, però, che «non era la soluzione per aumentare la partecipazione al voto». Studi sulle elezioni in Estonia hanno evidenziato che l’incremento di partecipazione era proporzionale al livello economico e di istruzione. Il pericolo quindi, di perdita di interesse al voto da parte di alcune fasce della popolazione è reale.

D’altro canto, le conseguenze negative cui un Paese viene esposto in caso di problemi nel funzionamento di una procedura di voto via Internet sono tali da rendere questa scelta difficilmente giustificabile. L’osservazione principale che viene utilizzata a sostegno del voto elettronico è che anche nel commercio elettronico e nell’online banking si verificano dei fallimenti ma questo non ci impedisce di usarli. Ciò è vero, ma tali malfunzionamenti determinano conseguenze puramente economiche che possono essere tenute presenti nella gestione di tutto il sistema sotto forma di costi aggiuntivi, come in realtà avviene con il meccanismo delle commissioni applicate a tutte le transazioni. È stato stimato che in tale area circa l’1% del volume economico scambiato serve per coprire i fallimenti. Ma mentre un simile margine può essere accettabile in ambito economico-finanziario, pensate voi che su 40 milioni di votanti avere 400mila voti (cioè l’1%) espressi in modo errato o truffaldino sia un “malfunzionamento” tollerabile? Anche una percentuale di errore di 1 su 10.000, corrispondente a soli 4 mila voti può decidere il futuro politico di un Paese.

Inoltre, le transazioni economico-finanziarie sono molto meno ristrette del voto: chiunque, purché abbia la disponibilità di un mezzo di pagamento elettronico, può operare quante volte vuole, indipendentemente dall’età o dalla nazionalità. Nel voto, invece, è necessario accertarsi che solo coloro che sono titolari del diritto di elettorato attivo esprimano effettivamente il loro voto, ma senza che sia possibile ricondurlo all’identità di chi lo ha espresso, ed in modo che ogni votante, indipendentemente dal suo livello di preparazione tecnica sia in grado di comprendere e ritenere regolare l’intero processo.

La mozione approvata dagli informatici italiani, oltre a ricordare le problematiche tecniche legate all’utilizzo di modalità di voto via Internet, discute anche questo rilevante aspetto sociale (ricordando un’importante sentenza del 2009 della Corte Costituzionale tedesca in questa direzione, che rappresenta una pietra tombale sulle velleità dei tecno-fanatici “dottor Stranamore”) e si conclude con queste parole: «riteniamo quindi che introdurre l’uso di sistemi di voto elettronico nelle elezioni politiche rischi di mettere a repentaglio le basi fondanti della nostra democrazia».

Come si dice sinteticamente in questi casi “la carta è la soluzione, non il problema”: la comunità italiana degli informatici universitari ritiene che un voto espresso su scheda cartacea sia ancora oggi il mezzo tecnologico più sicuro e affidabile che abbiamo a disposizione per le elezioni.

Non una verità rivelata, ma un’opinione razionalmente argomentata, a proposito della quale sarebbe auspicabile che si esprimessero anche colleghi universitari di altra estrazione culturale, dal momento che la fiducia nel processo elettorale è uno dei pilastri fondanti della democrazia, al di là di ogni questione specialistica. Hanno già espresso il loro sostegno due eccellenze della ricerca scientifico-tecnologica italiana in ambito informatico, il Laboratorio Nazionale di Cybersecurity e il Laboratorio Nazionale “Informatica e Società” del CINI, il Consorzio Interuniversitario Nazionale per l’Informatica.

Le associazioni scientifiche che volessero unirsi alla nostra posizione ed aderire alla mozione possono scrivere ai presidenti di GII e GRIN.

--
Versione originale pubblicata su "Key4Biz" il 23 dicembre 2021.