Dopo una lunga e faticosa gestazione ha visto la luce l’intelligenza artificiale sulla quale questo Governo ripone le speranze per andare là dove nessuno è mai giunto prima, ovvero vincere la lotta all’evasione fiscale. VE.RA., questo il nome della creatura, si immergerà nelle diverse basi dati dell’anagrafiche tributaria che spaziano dalle dichiarazioni fiscali, ai patrimoni immobiliari e mobiliari fino alle cryptovalute. Da questo “abisso” di informazioni estrarrà nuova conoscenza che si spera riguardi l’identità di tutti, auspicabilmente proprio tutti, gli evasori ignoti al Fisco. 



Di fronte a questo scenario e in nome del bilanciamento dei diritti dei cittadini, anche il Garante per la Protezione dei Dati ha accettato questa pesante intrusione automatizzata nella vita dei cittadini italiani. Certo ha messo diversi paletti: dalla pseudonimizzazione dei dati alle pesanti restrizioni di accesso al sistema, passando attraverso la costante possibilità per l’essere umano di intervenire, rispetto alle elaborazioni effettuate da VE.RA. 



Inutile dire che dove c’è una grande opportunità si accompagna sempre un rischio di pari entità. Molti penseranno alla possibilità che commetta degli errori, magari anche su vasta scala, spingendo qualche onesto contribuente nella rete del nostro fisco. In realtà non dovremmo preoccuparci del fatto che VE.RA sbagli (non ci sarebbe nulla di strano), quanto piuttosto che i suoi “guardiani” siano in grado di riconoscere la cantonata, ma soprattutto di fare una scelta contraria a quella della macchina. 

Si tratta di un problema non banale e vale la pena porsi alcune domande. Primo quesito: un funzionario di banca di fronte a una valutazione negativa di un algoritmo di scoring finanziario potrà o vorrà assumersi la responsabilità di concedere un prestito? Secondo quesito. Un medico di fronte alla diagnosi di un’intelligenza artificiale specializzata può fare valere un suo eventuale parere contrario? In parole molto semplici: la possibilità di intervenire è una cosa, l’assumersi la responsabilità di farlo realmente un’altra. Il secondo rischio, non proprio trascurabile, è connesso all’interconnessione di una quantità di base dati enorme, e la storia insegna che per quanto sofisticati i processi di pseudonimizzazione, che per definizione è reversibile e garantisce la possibilità di ricostruire i dati nella loro forma originale, non è invulnerabile.



Ancora nel 2006, anno in cui America On Line pubblicò una banca dati contenente 20 milioni di parole chiave utilizzate per le ricerche da 650 mila utenti in tre mesi, i nominativi degli utenti erano stati sostituiti con stringhe numeriche, ma incrociando i dati con gli indirizzi IP e le configurazioni dei sistemi usati, molti degli utenti vennero pubblicamente identificati. Nel 2013, poi, i ricercatori del MIT hanno studiato i dati pseudonimizzati di 15 mesi di coordinate che descrivevano gli spostamenti di 1,5 milioni di persone in un raggio di 100 km. Il risultato è stato che il 95% dei soggetti poteva essere identificato sulla base di quattro destinazioni. 

Dobbiamo sperare che le misure di sicurezza informatica e fisiche siano all’altezza del progetto. Provate a immaginare cosa accadrebbe se un attacco come quelli recenti, che hanno portato all’esfiltrazione di migliaia di gigabyte di dati, avesse successo su questi sistemi. Sarebbe una  VE.RA. sciagura.

— — — —

Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.

SOSTIENICI. DONA ORA CLICCANDO QUI