La tecnologia di riconoscimento facciale è, ancora una volta, nella bufera. Sul banco degli imputati sono finiti MegaFace, database dei volti con quasi 700.000 individui messo insieme dall’Università di Washington, e decine di aziende (come Google, Amazon, Tencent e SenseTime) che lo hanno scaricato per istruire i loro algoritmi per il riconoscimento biometrico.
Entrare nel database e fare il download dei volti è semplice: il New York Times ha ottenuto l’accesso nel giro di pochi minuti. Molti di questi volti sono stati caricati su MegaFace a partire da foto postate su Flickr diversi anni fa e senza il consenso degli interessati. Ciò viola le leggi di alcuni stati Usa, in particolare dell’Illinois, dove esiste una severa regulation su privacy e biometria (il Biometric information privacy act del 2008). Le aziende che hanno abusato dei dati biometrici potrebbero subire una class action e dover sborsare risarcimenti record.
La ricerca sui volti
Come spiega il New York Times nella sua inchiesta, i database con i volti sono nati fin dagli Anni ’90 per studiare la tecnologia di riconoscimento facciale. La raccolta massiccia di volti reali permette di “allenare” gli algoritmi di machine learning che si occupano di identificare le persone a partire dalle fattezze. Più grande è il database e con foto di qualità e più la tecnologia può diventare accurata.
Il database di MegaFace deriva da un progetto di Yahoo del 2014. Per portare avanti la ricerca sulle tecnologie di computer vision (e battere la concorrenza di Google e Facebook, leader per quantità di dati e tecnologie di intelligenza artificiale a disposizione), Yahoo ha creato cinque anni fa una raccolta con 100 milioni di foto e video. Le immagini – tutte in licenza Creative Commons o per usi commerciali — derivavano da Flickr, il sito per la condivisione di foto allora sua sussidiaria (nel 2018 Flickr è stata acquisita da SmugMug).
Le foto di Yahoo venivano messe a disposizione non direttamente ma tramite il loro link alla fonte primaria sul web. Era una forma di salvaguardia del dato privato: le l’utente aveva rimosso la foto da Internet o cambiato le impostazioni sulla privacy la foto non doveva più essere accessibile. In teoria: il New York Times ha portato alla luce una falla si sicurezza che permetteva di accedere alle foto di Flickr anche se erano rese “private”.
Così diversi ricercatori hanno usato il database di Yahoo e hanno scaricato e distribuito le immagini. Da quella raccolta massiccia è derivato anche MegaFace, iniziativa avviata nel 2015 da professori della University of Washington. MegaFace oggi raccoglie oltre 4 milioni di foto di circa 672.000 persone e viene usato per testare e perfezionare gli algoritmi di riconoscimento facciale.
Decine di aziende hanno usato MegaFace
MegaFace include anche molte foto di minorenni. Il riconoscimento del volto è più difficile sui bambini e per questo il database è considerato prezioso dai ricercatori dell’Università di Washington. Nel 2015 e nel 2016, l’ateneo americano ha lanciato la “MegaFace Challenge”, invitando gruppi di lavoro della tecnologia di face recognition a usare i dati di MegaFace per la loro ricerca. L’università ha specificato che i dati scaricati dovevano essere usati solo per scopi di studio e non commerciali.
Oltre 300 gruppi di lavoro hanno risposto all’appello o usato quei dati, tra cui team di aziende come Google, Tencent, SenseTime, NtechLab, Amazon, Mitsubishi Electric e Philips, scrive il New York Times. Google, in particolare, tramite il suo Faculty Research Award è uno dei finanziatori del progetto MegaFace, insieme a Intel (tramite la sua National Science Foundation) e Samsung. Inoltre, i professori di Washington che curano il progetto hanno venduto una società che sviluppa tecnologie di riconoscimento facciale a Facebook.
Class action in Illinois contro Facebook
Per gli utenti americani che si riconosceranno nel database non c’è molto da fare: la legge sulla privacy negli Usa ha in genere le maglie larghe e le aziende riescono a usare milioni di volti per la ricerca sulla tecnologia biometrica senza doverne rendere conto. L’Illinois fa però eccezione. La sua legge punisce con sanzioni pecuniarie chi viola i dati biometrici dei residenti. I cittadini dovranno dimostrare che ad essere utilizzato è stato lo scan della foto, non la foto in sé, ma la porta è aperta: per gli esperti ogni persona ha diritto a 1.000 dollari per ogni utilizzo dello scan, e 5.000 dollari se tale utilizzo è stato “spregiudicato”. Lo spettro della class action per lo sfruttamento commerciale delle immagini dei MegaFace è più che concreto.
Nell’Illinois sono state avviate dal 2015 oltre 200 class action per abuso dei dati biometrici dei residenti, tra cui una del valore di 35 miliardi di dollari contro Facebook per l’uso del riconoscimento facciale per taggare le persone nelle foto. La causa è in corso ma non sta andando bene per Facebook: ad agosto la United States Court of Appeals for the Ninth Circuit ha respinto la difesa del social media basata sulla tesi secondo cui nessuna persona è stata danneggiata.
Gli esperti americani affermano che sono stati creati più di 200 database simili a MegaFace, con decine di milioni di foto di circa 1 milione di persone, anche se non tutti contengono foto di qualità utilizzabili per la ricerca sul riconoscimento dei volti.