Thomas Zaffino

EFF critica il nuovo database biometrico dell'FBI

Il rapporto dell'agenzia governativa GAO evidenzia la scarsa accuratezza della tecnologia di identificazione e poco rispetto per la privacy. Associazioni sul piede di guerra

Roma - Il Government Accountability Office (GAO), ovvero l'agenzia governativa indipendente degli Stati Uniti che analizza le spese federali per conto del Congresso, ha pubblicato un dossier incentrato sulle funzionalità del famoso sistema di riconoscimento facciale in dotazione al Federal Bureau Investigation (FBI), noto come Next-Generation Identification (NGI): ovvero un corposo upgrade al vecchio sistema di identificazione degli individui socialmente pericolosi, basato sulle impronte digitali, che il FBI ha concretamente iniziato a sviluppare nel 2010, portato a termine nel 2014 e per il quale il governo federale ha speso oltre 1 miliardo di dollari.

Processo di ricognizione e di identificazione del NGI

Dal rapporto del GAO emerge che uno speciale reparto del Bureau investigativo ha avuto accesso a centinaia di milioni di foto, "molto più di quanto abbiamo immaginato" ha dichiarato in maniera indignata Electronic Frontier Foudation (EFF), storica associazione a difesa dei diritti e della privacy dei cittadini in epoca digitale, la quale è inoltre convinta che il Bureau abbia per anni "nascosto il fatto al pubblico", in "flagrante violazione del diritto federale".

EFF ritiene che le conclusioni del GAO siano particolarmente scioccanti, soprattutto in merito alla gestione della tempistica. Circa un mese fa l'FBI ha chiesto per il proprio sistema di riconoscimento facciale una speciale deroga a varie disposizioni del Federal Privacy Act del 1974 (FPI), dando ai cittadini appena 30 giorni per appellarsi: un tempo ritenuto troppo breve anche dall'associazione a difesa della privacy e dei diritti Electronic Privacy Information Center (EPIC), la quale chiede in maniera esplicita la piena applicazione del FPI al sistema NGI in mano ai federali.
Interazione tra NGI e forze dell'ordine locali e dei singoli stati

Sempre secondo le associazioni per la difesa dei cittadini, le procedure segrete di raccolta dei dati da parte del FBI non fanno altro che confermare l'esigenza di ottenere "più trasparenza, non di meno". A tale proposito, EFF sta per avviare una petizione popolare allo scopo di raccogliere il maggior numero di firme da allegare ad un messaggio critico sulle pratiche dell'FBI, ritenute "inaccettabili" e che devono essere modificate.

Secondo il rapporto, oltre ad avere accesso all'enorme database NGI, l'FBI è in possesso di decine di milioni di fotografie, tra civili e criminali, e attraverso l'unità Facial Analysis, Comparison and Evaluation (FACE), alla banca dati del Dipartimento di Stato incaricato dei visti e dei passaporti, ai dati biometrici del Dipartimento della Difesa e alla banca dati delle patenti di guida rilasciate in almeno 16 stati. In totale il Bureau può accedere ad oltre 400 milioni di foto di cittadini americani e stranieri che non hanno commesso reati.

Timeline dell'implementazone del sistema NGI da parte del FBI

Sempre nel rapporto del GAO si legge che per decenni "l'analisi delle impronte digitali è stata la tecnologia biometrica ampiamente utilizzata per identificare i detenuti", legata tra l'altro a indagini penali. Nel luglio del 1999 l'FBI ha implementato un sistema integrato ed automatizzato per le impronte digitali (IAFIS) capace di memorizzare, confrontare e condividere i dati in un formato digitale che ha enormemente ridotto i tempi (da settimane ad alcune ore) per l'elaborazione. Tale database IAFIS è stato alimentato con le impronte digitali prese durante gli arresti, a livello locale o statale, prima raccolte nell'archivio centrale dello stato e poi trasmesse all'FBI per la conservazione nel database IAFIS stesso, nel quale sono confluite anche quelle delle persone in stato di detenzione.

Informazioni disponibili per il NGI nei singoli stati

Dal 2010 l'FBI ha iniziato a sostituire gradualmente il sistema IAFIS con il Next Generation Identification (NGI), progettato per includere non solo i dati relativi alle impronte digitali IAFIS e biografici, ma anche dati biometrici avanzati, oltre ad essere dotato di un potente (ma non infallibile) sistema per il riconoscimento facciale. Il Bureau ha infatti aggiornato l'Interstate Photo System (IPS) in maniera da ottenere un servizio di riconoscimento facciale che consenta alla polizia di cercare all'interno di un database di foto segnaletiche di criminali attraverso le impronte digitali. Il progetto pilota NGI-IPS, lanciato a dicembre del 2011, è diventato pienamente operativo nel mese di aprile 2015, secondo quanto asserito nel rapporto del GAO.

Tipologia di foto e provenienza delle immagini disponibili nel datase NGI

EFF deplora il fatto che, secondo il rapporto, lo sforzo per garantire che i risultati delle ricerche non includa fotografie di persone innocenti è troppo esiguo. L'FBI avrebbe fatto molto poco per assicurare l'accuratezza delle funzionalità di riconoscimento facciale NGI, oltre a non avere preso misure tali da garantire che i sistemi di riconoscimento facciale di partner esterni - i vari stati e le altre agenzie federali - siano sufficientemente precisi per impedire che persone innocenti siano additate come sospetti criminali. Dello stesso avviso è l'associazione American Civili Liberties Union (ACLU).

EFF intende inoltre valutare le ricerche già eseguite per verificare che i tassi di inesattezza nel riconoscimento facciale di cittadini "afro-americani e di altre minoranze etniche, di giovani e donne" non sia superiore rispetto a quelli di "bianchi, anziani e maschi". Secondo un rapporto di EPIC, infatti, il tasso di inesattezza del sistema NGI sarebbe di circa il 20 per cento.

Numero di ricerche e obiettivi trovati dal sistema NGI

Il rapporto del GAO, infine, usa toni duri sul fatto che la diffusione di una tale capacità di riconoscimento facciale non sia stata sufficientemente illustrata all'opinione pubblica, soprattutto per le implicazioni in materia di privacy. Come ricordato da EFF, secondo quanto previsto dalle legge federali e dal Dipartimento di Giustizia, tutti i programmi che prevedono la raccolta di dati dei cittadini statunitensi, da parte delle forze dell'ordine, devono prevedere la redazione di un Privacy Impact Assessment (PIA), ovvero di un documento pubblico che ne valuti l'impatto sulla privacy: ciò deve avvenire all'inizio del programma, o se vengono apportati cambiamenti significativi nel corso del tempo.

Per il sistema NGI-IPS il Bureau ha redatto il PIA nel 2008. Da allora non è mai stato aggiornato, in particolare nel 2015 a distanza di ben sette anni dopo che il sistema ha subito cambiamenti significativi. Ciò non è avvenuto neanche per il sistema FACE. Ed è proprio su questo tema che le associazioni intendono iniziare la propria battaglia per costringere il Bureau a modificare lo stato delle cose.

Thomas Zaffino

fonte immagini