Guerre di Rete - una newsletter di notizie cyber
di Carola Frediani
N.178 - 28 gennaio 2024
Specie per i nuovi, ricordo che questa newsletter (che oggi conta più di 13mila iscritti - ma molti più lettori, essendo pubblicata anche online) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione.
In più, il progetto si è ingrandito con un sito indipendente e noprofit di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
- E’ nata Digital Conflicts, la newsletter in inglese
- AI e lavoro
- Sanità, dati e attacchi informatici
- Il DDL cybersicurezza
- Ingiustizie algoritmiche
- E molto altro
NUOVA NEWSLETTER IN INGLESE
Il progetto Guerre di Rete questa settimana si è allargato, aggiungendo Digital Conflicts, una newsletter bimensile in inglese, che per ora sarà principalmente una trasposizione della newsletter italiana, con alcune aggiunte e modifiche pensate per un pubblico internazionale (e con particolare attenzione all’Europa).
Qui leggete il primo numero.
Qui per iscriversi.
Su Digital Conflicts lavorerà soprattutto Andrea Daniele Signorelli, uno dei migliori giornalisti tech in circolazione, con il supporto e il contributo del Centre for Digital Ethics dell’Università di Bologna, e qui un particolare ringraziamento va al suo direttore, Luciano Floridi.
Per noi Digital Conflicts è un po’ un esperimento, sappiamo bene che sarà dura farsi conoscere in un ambito globale ed estremamente saturo. Ma ci proviamo. Dunque se avete amici, colleghi, contatti non italiani interessati, o se interessa a voi avere una newsletter di questo tipo nella mailbox da consultare, fate girare il link a Digital Conflicts, che è gratuita. E per quei primi affezionati lettori che già anni fa mi chiedevano “ma quando fai la versione inglese?”, eccovi accontentati!
AI E LAVORO
Class action, certificazioni “fair”, avvelenamento dei dati: alcune reazioni dal mondo creativo
La class action intentata da 10 artisti americani in California contro Midjourney, Stability AI e altri generatori text-to-image basati su intelligenza artificiale ha trovato una sponda britannica. Nell’Exhibit J del procedimento è infatti sbucata una lista di 16mila nomi di artisti il cui lavoro sarebbe stato usato per addestrare Midjourney (uno dei più noti strumenti di creazione di immagini da testo). Nella lista, fra gli altri, molti artisti britannici, fra cui i noti Bridget Riley, Damien Hirst, Rachel Whiteread, Tracey Emin, David Hockney e Anish Kapoor. Secondo il Guardian, alcuni artisti britannici avrebbero contattato avvocati statunitensi per discutere la possibilità di unirsi a una class action contro Midjourney e altre aziende di AI, mentre altri avrebbero dichiarato all'Observer che potrebbero avviare una propria azione legale nel Regno Unito. Tra questi Tim Flach, presidente dell’Association of Photographers e fotografo famoso per i ritratti di animali. I suoi progetti costano molti soldi, ha dichiarato, ma i generatori di immagini AI possono produrne copie in pochi secondi.
“Dobbiamo agire per riconoscere il valore e l'investimento in opere creative originali e contrastare alcuni sviluppatori di Generative AI, attraverso misure legali e/o tecnologiche che cerchino di rimediare a questo abuso di posizione”, ha scritto su Linkedin Isabelle Doran, Ceo di AOP, un’associazione di fotografi.
Qui trovate il primo complaint dell’azione legale. Qui quello del novembre 2023. Exhibit. Qui una versione della lista salvata su Archive.
Sperimentazioni di chi usa lo strumento
Va detto che non tutti gli artisti sono ostili all’AI, come riportava tra l’altro proprio un diverso articolo del Guardian un po’ di tempo fa, intervistando chi si sta cimentando con questi strumenti per provare a incorporarli nel proprio lavoro.
Ma nel mondo creativo le preoccupazioni per le ricadute economiche restano. Secondo il Financial Times, “Dall-E, Stable Diffusion e Midjourney hanno trasformato ciò che avrebbe richiesto una settimana di lavoro a un illustratore o animatore estremamente esperto in qualcosa che chiunque di noi può commissionare in pochi istanti. Non c'è dubbio che questi lavori siano a rischio esistenziale. Gli architetti stanno già utilizzando l'intelligenza artificiale per gestire compiti banali, dalla distribuzione dei posti auto e dei bagni alla disposizione degli isolati in un piano urbanistico”.
I timori degli sviluppatori di videogiochi
Nel frattempo negli Stati Uniti gli organizzatori della Game Developers Conference (GDC) hanno pubblicato, scrive The Verge, il sondaggio annuale sullo stato dell'industria dei videogiochi, in cui l'84% degli oltre 3.000 intervistati si è detto in qualche modo o molto preoccupato per gli aspetti etici dell'uso dell'AI generativa.
Tra i motivi della preoccupazione degli sviluppatori, la possibilità che l'AI sostituisca i lavoratori, aggravi i licenziamenti o esponga gli sviluppatori a possibili denunce per violazione del copyright, ma anche che questi sistemi raccolgano dati senza il loro consenso.
Da notare che gli intervistati che lavorano in settori come il marketing pensano in generale che l'AI avrà un impatto positivo sul loro lavoro, mentre quelli con mansioni creative si aspettano un impatto negativo.
La certificazione Fairly Trained
Ed Newton-Rex è stato il responsabile del team audio di Stability AI, creatore del popolare modello di generazione di immagini AI Stable Diffusion, ma a novembre si è dimesso perché riteneva inaccettabile l’addestramento di questi modelli su milioni di immagini rastrellate (scraped) da internet senza autorizzazione.
Il 17 gennaio Newton-Rex ha annunciato un'associazione senza scopo di lucro, chiamata "Fairly Trained", che offre una certificazione alle aziende di AI che addestrano i loro modelli solo sui dati di cui hanno il consenso dei creatori.
“I modelli certificati da Fairly Trained in concomitanza con il suo lancio sono stati in gran parte realizzati da aziende di intelligenza artificiale che operano nel settore della generazione musicale”, scrive TIME. “La certificazione indica che le aziende hanno ottenuto una licenza legale per i dati su cui sono stati addestrati i loro modelli”.
Ripensare il copyright
Nel frattempo c’è chi si interroga su come riconfigurare concetti e questioni legate alla proprietà intellettuale in questo ambito, e forse non solo in questo.
Scrivono Kate Crawford, autrice di Atlas of AI, e Jason Schultz, direttore della NYU's Technology Law & Policy Clinic, in un recente articolo su Issues in Science and Technology: “È forse giunto il momento di sviluppare concetti di proprietà intellettuale più incentrati sull'equità e sulla creatività che sugli incentivi economici per le aziende del settore dei media. Stiamo vedendo i primi prototipi emergere dai recenti contratti collettivi di lavoro per scrittori, attori e registi, molti dei quali non hanno diritti d'autore ma sono comunque il cuore creativo della produzione cinematografica. Le lezioni che ne trarremo potrebbero costituire un potente precedente per la pluralizzazione della proprietà intellettuale. Per creare un mondo migliore sarà necessario un impegno filosofico più profondo su cosa significhi creare, su chi abbia voce in capitolo, su come le creazioni possano essere utilizzate e su chi debba trarne profitto”.
Disponibile lo strumento avvelena dati
Infine, a distanza di mesi dal suo annuncio (ne avevo scritto in newsletter), Nightshade, uno strumento software gratuito per permettere agli artisti di "avvelenare" i modelli di intelligenza artificiale che cercano di addestrarsi sulle loro opere, è ora disponibile per tutti.
Si scarica qua.
Un modello di intelligenza artificiale addestrato su molte immagini “alterate” con Nightshade probabilmente finirebbe col classificare erroneamente gli oggetti per tutti gli utenti di quel modello, anche in immagini che non sono state modificate con Nightshade, scrive Venture Beat.
AI E IL PAPA
Anche Papa Francesco ha parlato di AI e lavoro
“Alcune domande sorgono dunque spontanee: come tutelare la professionalità e la dignità dei lavoratori nel campo della comunicazione e della informazione, insieme a quella degli utenti in tutto il mondo?”
Il messaggio di Papa Francesco sull’intelligenza artificiale.
AI E ENERGIA
Domanda di elettricità in crescita
Secondo le previsioni dell'Agenzia Internazionale dell'Energia (IEA), la domanda globale di elettricità da parte di data center, criptovalute e intelligenza artificiale potrebbe più che raddoppiare da qui al 2026, scrive Bloomberg.
Qua il report.
ITALIA / CYBERCRIME
I dati sanitari di migliaia di italiani sono ormai online
Secondo quanto è stato possibile ricostruire da Guerre di Rete, attraverso le informazioni rilasciate sui siti ufficiali delle cyber gang, solo negli ultimi due mesi del 2023 sono stati diffusi oltre 1,5 terabyte di dati sanitari (circa due milioni di file) sottratti a diverse strutture del nostro Paese. Dati che includono cartelle cliniche, fotografie di pazienti affetti da tumori cutanei, referti di abusi sessuali, esami per le malattie ereditarie, e liste dei vaccinati al Covid-19. Stando alle nostre fonti, alcuni file contengono persino nome, cognome e data di nascita di persone che sono state assistite dai centri di salute mentale, o dai servizi per le dipendenze patologiche. Un patrimonio enorme pubblicato sul dark web, la parte della Rete a cui si può accedere tramite specifici software, e che è alla portata di tutti.
Fragili dal punto di vista sia tecnico sia organizzativo. Si presentano così le aziende sanitarie italiane di fronte agli attacchi informatici, per lo più di tipo ransomware (cioè diretti al pagamento di un riscatto), dei gruppi criminali internazionali che, ormai da anni, le prendono di mira. E a farne le spese è la privacy dei cittadini. “Nel momento in cui questi dati sono stati trafugati, il danno in gran parte è stato fatto”, ammette Bruno Saetta, avvocato esperto di diritti digitali. “Però è possibile adottare dei comportamenti per limitare i danni futuri. L’azienda che ha subito il furto dei dati deve attivarsi immediatamente. La normativa europea impone l’obbligo di comunicare il data breach al Garante della privacy entro tempi stringenti”.
Ne scrive Rosita Rijtano in questo articolo sul sito Guerre di Rete.
ITALIA
Cosa c’è (e cosa non c’è) nel DDL cybersicurezzaIl Consiglio dei Ministri ha approvato il nuovo DDL sulla cybersicurezza (SCHEMA DI DISEGNO DI LEGGE: Disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale), una proposta che dovrà poi passare in Parlamento. Prevede in particolare un inasprimento delle pene per reati informatici, e un allargamento dei soggetti (della Pubblica amministrazione) che devono dotarsi di protezioni e comunicare tempestivamente incidenti e attacchi.
Inasprimento delle pene
Inasprite un po’ tutte le pene. In particolare segnalo che nell’accesso abusivo ad un sistema informatico o telematico (615-ter - qui trovate quello attuale), le pene sono portate dalle attuali da uno a cinque anni a due-dieci anni (se dall’intrusione deriva danneggiamento o interruzione anche parziale). Inasprite anche le pene nel caso si tratti di sistemi militari, sanità, sicurezza pubblica o interesse pubblico, e qui si può arrivare fino a 12 anni.
Pene diminuite dalla metà a due terzi per chi si adopera per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l’autorità di polizia o l’autorità giudiziaria nella raccolta di elementi di prova.
Misure per la PA
Così il sottosegretario alla presidenza del Consiglio Alfredo Mantovano in conferenza stampa: “Questo disegno di legge allarga il perimetro di soggetti tenuti a dotarsi di sistemi di cybersicurezza. Lo allarga ai comuni con popolazione superiore ai 100.000 abitanti, alle Asl e ai capoluoghi di regione. E chiama questi enti a una notifica immediata ad ACN (L’Agenzia di cybersicurezza nazionale. ndr) dell'attacco, in modo da poter articolare un'azione immediata”.
“Così facendo - scrive Wired Italia - il governo chiede un impegno forte a queste realtà, scegliendo addirittura di sanzionarle nel caso in cui non notifichino l'attacco a chi di dovere: la prima volta, con un semplice richiamo, e la seconda volta con una multa variabile tra i 25.000 e i 125.000 euro”. Alla Pubblica Amministrazione la richiesta di dotarsi di un proprio ufficio di cybersicurezza.
Farà discutere gli addetti ai lavori una disposizione per “evitare la fuga dalle strutture pubbliche” del personale tecnico cyber.
“Così - scrive Il Fatto - il governo ha pensato al cosiddetto ‘raffreddamento‘, ossia “un paio d’anni in cui se hanno fatto parte di strutture pubbliche non possono assumere incarichi similari per il privato”.
Guerre di Rete ha sentito alcuni veterani del settore cybersicurezza, che hanno espresso preoccupazioni per l’inadeguata protezione e tutela dei ricercatori di sicurezza, specie di quelli che segnalano vulnerabilità nei sistemi.
Oltre a ciò abbiamo chiesto un parere a un avvocato di lungo corso, esperto di questioni digitali e reati informatici, Carlo Blengino (Studio Blengino Penalisti Associati) che così ha commentato: “Immagino che il provvedimento voglia esser la risposta del Governo al disastro dell’ultimo anno, con aziende, enti pubblici e pubbliche amministrazioni oggetto di devastanti attacchi. Tuttavia, l’ampliamento ed inasprimento della repressione penale non serve mai, specie per gli attacchi su larga scala, stante la dimensione globale delle attività criminali e le difficoltà di attribuzione. L’aumento delle pene e l’anticipazione delle responsabilità con i reati di pericolo è, nell’ambito della cyber security, addirittura controproducente in particolare sul tema delle vulnerabilità e degli exploit.
Stupisce infatti - prosegue Blengino - un DDL sulla cybersecurity in questo momento quando entro il 17 ottobre 2024 deve essere attuata la Direttiva 2022/2555 del 14/12/2022 “relativa a misure per un livello comune elevato di cybersicurezza nell'Unione” che abroga la vecchia direttiva NIS (Network Information Security).
La nuova NIS II invero prevede un complesso sistema di coordinamento e risposta agli attacchi a livello quanto meno regionale e, proprio in relazione alla criminalizzazione delle attività di hacking, prevede un allentamento della repressione penale con la creazione di safe harbour per la divulgazione coordinata delle vulnerabilità e la creazione di una banca dati europea, in un complesso meccanismo di coordinamento tra le diverse autorità ed i centri di contatto.
Tutto questo sembra essere estraneo al provvedimento ed il giudizio è fortemente negativo”.
AI ACT
AI Act in chiusura, tra le resistenze francesi
L'AI Act dell'Unione Europea è quasi concluso. Venerdì 2 febbraio i Paesi dovrebbero votare sulla ratifica dell'atto. Ma Parigi continua a fare pressione. “Dal giugno 2023 - scrive Le Monde - la Francia ha ripetutamente sostenuto che alcune disposizioni della legge potrebbero soffocare l'innovazione e ostacolare le start-up europee di AI - come la francese Mistral AI, LightOn o Hugging Face, che cercano di competere con aziende americane come OpenAI o Google. Parigi ha mantenuto la sua posizione critica, nonostante l'accordo politico raggiunto l'8 dicembre 2023 a Bruxelles tra Parlamento, Consiglio e Commissione dell'UE”
"Ci sono alcuni punti che ci sembrano ancora problematici", ha spiegato lo staff del ministro dell'Economia francese Bruno Le Maire. E i punti problematici sarebbero la richiesta di trasparenza sui dati usati dai modelli. “La Francia vorrebbe che la sintesi dei dati fosse condivisa solo con una "terza parte fidata", come il futuro "Ufficio europeo per l'AI".
Uno, dieci, cento AI Act
Impazziti a confrontare le ultime versioni dell’AI Act? Il team di Digital Policy Alert ha lanciato un strumento, CLaiRK (Beta), con cui è possibile confrontare le diverse versioni del testo. Lo trovate qua.
Qui invece un’analisi di Wired Italia sull’ultima versione dell’AI Act.
“Il regolamento fissa una soglia per identificare i sistemi ad alto impatto, che hanno maggiori effetti sulla popolazione e perciò devono rispettare obblighi più stringenti. Il valore, come dichiarato a dicembre, è un potere di calcolo pari a 10^25 FLOPs (floating point operations per second, un'unità di misura della capacità computazionale). Al momento, solo GPT-4 di OpenAI, Gemini di Google e qualche modello cinese rispetterebbero questa caratteristica. (..) Le AI ad alto impatto dovranno applicare ex ante delle regole su sicurezza informatica, trasparenza dei processi di addestramento e condivisione della documentazione tecnica prima di arrivare sul mercato. Al di sotto si collocano tutti gli altri foundational models. Tra cui le due startup made in Europe: la francese Mistral e la tedesca Aleph Alpha. In questo caso l'AI Act scatta quando gli sviluppatori commercializzano i propri prodotti. E sono esclusi i modelli offerti con licenza open source”
AI FACTORIES
La strategia industriale della Commissione Ue
La Commissione europea sta elaborando una strategia di innovazione sull'intelligenza artificiale per creare "fabbriche di AI” (AI factories) entro la fine di gennaio. “La strategia può essere vista come un primo passo verso una politica industriale specifica per l'intelligenza artificiale, mentre sul piano normativo l'UE si sta avvicinando all'adozione formale dell'AI Act”, scrive Luca Bertuzzi su Euractiv.
Al centro della strategia le cosiddette "AI factories", definite come "ecosistemi aperti formati attorno a supercomputer pubblici europei che riuniscono le principali risorse materiali e umane necessarie per lo sviluppo di modelli e applicazioni di AI generativa". I supercomputer dedicati all'AI e i centri dati "associati" vicini o ben collegati costituiranno l'infrastruttura fisica.
ALGORITMI E WELFARE
India, ingiustizie algoritmiche
Un reportage di Al Jazeera (sostenuto dal Pulitzer Center’s AI Accountability Network) sviscera le ripercussioni sociali di Samagra Vedika, un sistema algoritmico usato nello stato indiano del Telangana che consolida i dati dei cittadini da diversi database governativi per creare profili digitali completi.
Inizialmente utilizzato dalla polizia per identificare i criminali, “il sistema è ora ampiamente utilizzato dal governo statale per accertare l'ammissibilità dei richiedenti l'assistenza sociale e per individuare le frodi assistenziali”.
Dal 2014 al 2019, il Telangana ha cancellato più di 1,86 milioni di tessere per l’accesso sussidiato a cibo e ha respinto 142.086 nuove domande senza alcun preavviso. Ma secondo Al Jazeera diverse migliaia di queste esclusioni sono state fatte erroneamente, a causa di dati errati e di decisioni algoritmiche sbagliate da parte di Samagra Vedika.
Vedi anche il progetto indiano The reporters’ collective, che è uscito con una serie di inchieste sull’uso di sistemi algoritmici in India per gestire il welfare, e sui loro errori che hanno privato famiglie e persone povere di sussidi e aiuti essenziali.
CYBERCRIME
Gli attacchi ransomware verranno potenziati dall’AI
Gli attacchi ransomware aumenteranno sia in volume che in impatto nei prossimi due anni grazie alle tecnologie di intelligenza artificiale. L’infausto pronostico arriva dal National Cyber Security Centre (NCSC), parte dell’agenzia di intelligence britannica GCHQ, che si è detta “quasi certa” della previsione, scrive The Record.
I Metacrimini del Metaverso secondo l’Interpol
Dal suo canto l’Interpol - l’organizzazione che consente alle polizie di diversi Paesi di collaborare contro il crimine internazionale - ha rilasciato un white paper sui crimini nel metaverso.
Il documento identifica i “Metacrimini” attuali e potenziali, come l'adescamento, la radicalizzazione, il furto di identità, la violazione di spazi virtuali privati, assalto e molestie, o la rapina a un avatar.
Sono tutti elencati nel paper, insieme alla sfide e difficoltà per gli investigatori. Tra queste, la mancanza di standardizzazione e interoperabilità, l’estensione dei mondi virtuali su più giurisdizioni, la difficoltà nell’estrarre dati.
LINK, LETTURE, APPROFONDIMENTI
AI E ANALISI SOCIALI
Una società AI
Una raccolta di saggi che affrontano le sfide urgenti della governance della AI generativa. “Sbagliare la governance potrebbe significare restringere le storie culturali, disincentivare la creatività e sfruttare i lavoratori. In questi 11 saggi, scienziati sociali ed esperti di scienze umane esplorano come sfruttare l'interazione tra l'AI e la società, rivelando le urgenze della ricerca e della politica”.
An AI society - Issues
PROTAGONISTI DELL’AI
Un profilo di Kai-Fu Lee, esperto ed investitore di AI, autore di AI Superpowers, già a Google e Microsoft, ora lanciato con la sua nuova startup 01.AI che vuole creare le prime "killer app" di AI generativa. Su Wired.
PODCAST
Questioning OpenAI's Nonprofit Status - TechPolicy
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Non sei ancora iscritto? Iscriviti qua, è gratuita.
—> INFO SU GUERRE DI RETE
Guerre di Rete è un progetto di informazione sul punto di convergenza e di scontro tra cybersicurezza, sorveglianza, privacy, censura online, intelligenza artificiale, diritti umani, politica e lavoro. Nato nel 2018 come newsletter settimanale, oggi conta oltre 12.000 iscritti e da marzo 2022 ha aggiunto il sito GuerreDiRete.it.
Nell’editoriale di lancio del sito avevamo scritto dell’urgenza di fare informazione su questi temi. E di farla in una maniera specifica: approfondita e di qualità, precisa tecnicamente ma comprensibile a tutti, svincolata dal ciclo delle notizie a tamburo battente, capace di connettere i puntini, di muoversi su tempi, temi, formati non scontati.
Il progetto è del tutto no profit, completamente avulso da logiche commerciali e di profitto, e costruito sul volontariato del gruppo organizzatore (qui chi siamo).
Ha anche una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter li trovate sulle principali piattaforme ma attualmente sono in pausa (Apple Podcasts; Spotify; Google Podcast; Anchor.fm)