Buongiorno,

Message: 3 Date: Wed, 4 Oct 2023 11:31:15 +0200 From: Damiano Verzulli <damiano@verzulli.it> To: nexa@server-nexa.polito.it Subject: Re: [nexa] Google User Data Has Become a Favorite Police Shortcut [CDT:L0] [CDT:L1] Message-ID: <18111b56-c069-4f98-9f9e-c318b6333d2a@verzulli.it> Content-Type: text/plain; charset="utf-8"; Format="flowed"

[TAGLIO]

Tornando al mio messaggio iniziale, il punto che sollevo è duplice:

* da un lato, il "controllo" --ormai acclarato e documentato-- di realta' USA che, dagli USA, accedono a dati e impattano su comportamenti di noi, extra-USA

* il dilagare di un comportamento ormai diffuso nel quale il cittadino medio (il politico medio, ed anche il cittadino/politico ben istruito), da ampiamente per scontato la "presenza" di soggetti esterni, sconosciuti, fin nei meandri piu' intimi della propria vita. Cioè: si vuole e si difende la "privacy"... da tutti, tranne che dai soggetti di cui sopra.

sono molto d'accordo con l'uso delle virgolette per "controllo" e "privacy" aggiungo "sicurezza" l'evoluzione dell'impiego di questi termini è sconcertante. Ormai Google è sinonimo di "sicurezza" e anche di "privacy" (che invece sono concetti IMHO incompatibili), e invece dovrebbe essere sinonimo solo di "controllo" limitandoci a Google, quello del "don't be evil", quello che nel 1998 nella homepage aveva "Linux Search" https://web.archive.org/web/19981202230410/http://www.google.com/ nel 2007 pubblicai per Feltrinelli "Luci e ombre di Google" con l'eteronimo Ippolita. L'editore non volle il titolo proposto, "The dark side of Google", non perché detestasse i Pink Floyd, ma perché riteneva di doversi tutelare. Nel libro, impaginato orrendamente e con una copertina orribile, non c'è una sola luce, solo ombre. è stato emendato e ripubblicato decentemente da Milieu con il titolo corretto nel 2018. Rimane il fatto che ancora oggi Google è percepito come un attore con luci e ombre, molte più le luci; un attore commerciale come tutti gli altri, anzi, meglio degli altri perché è percepito come "gratis" ("se è gratis, la merce sei tu", l'hanno scritto in parecchi, anch'io qualche volta). Negli ultimi tre anni le università che non sono passate a Microsoft 365 Teams e compagnia sono passate a GSuite e dintorni. Tutti costoro evidentemente associano riservatezza ("privacy") a "compilare e far compilare scartoffie" (ad esempio i moduli, in PDF, per qualsiasi missione accademica). Ben più importante, a parole, è la "sicurezza", che viene generalmente associata alla possibilità di "controllo" e, aggiungo io, di tracking invasivo (ergo addio privacy), per cui agli utenti vengono presentati dei moduli di consenso informato che tradotti in linguaggio comprensibile dicono: "per questo progetto/esperimento/servizio violeremo qualsiasi riservatezza, perché per raccogliere dati sull'utilizzo del servizio proprio non possiamo fare altrimenti, e poi dobbiamo garantire che TU utente ti comporti bene e poterti sanzionare se ti comporti male" Proprio oggi mi è stato prospettato che un progetto H2020 di cui abbiamo seguito la parte tecnica, installando i servizi su VM ospitate da GARR (OpenStack) https://docs.eucommeet.eu/ venga trasferito su AWS o Azure che "costano meno". I legali delle università fanno a gara a garantire che ormai i servizi USA si sono adeguati al GDPR, cosa che peraltro fanno anche i politici, rispolverando accordi che garantiscono agli Stati Uniti di continuare a fare ciò che vogliono con i dati degli utenti europei, così come fanno con tutti gli altri.

Come dicevo prima, mi piacerebbe approfondire queste dinamiche, a 360° (specie *NON* in ambito tecnico, ovviamente).

un tema è quello della lontananza (percepita), come sottolinea anche Andrea Barontini. La percezione diffusa è che un servizio oltreoceano che tutti conoscono di nome, ma sta "lontano", è meno suscettibile di fregarmi rispetto a un servizio locale che nessuno conosce ma sta "vicino" e in cui magari lavora qualcun* che conosco di persona. Il ragionamento che ho spesso sentito è: che interesse ha Google a stare addosso proprio a me? Io non conto nulla, non ho niente da nascondere e Google è "lontano". un altro esempio: se devo fare un servizio per soggetto pubblico in Italia, ad esempio un cloud dati per una scuola secondaria superiore, diciamo duemila utenti; a parte farmelo in casa (magari!), posso: - appoggiarmi a un servizio che trovo su MePa, il "Mercato della Pubblica amministrazione". già il redirect del link https://www.acquistinretepa.it su https://www.acquistinretepa.it/opencms/opencms/ dice molto sul livello tecnico dell'operazione, poi usano Google Analytics ci mancherebbe! Ma se avete mai provato a vendere o comprare su MePa sapete che vi serve qualcuno di MOLTO bravo in amministrazione. un/a burocrate CAPACE. Che poi il servizio acquistato/venduto faccia il suo dovere è abbastanza secondario. - appoggiarmi a Google (Microsoft o simili). sono "lontani", tutti li conoscono di nome, hanno fama di essere facili da configurare (be' in effetti rispetto a MePA è una passeggiata. certo, il default è "ci prendiamo tutto quello che fate che ci serve per cose nostre", altrimenti si può togliere appena qualcosina se proprio si configurano i dettagli). E nella percezione comune non hanno interessi a farsi gli affari nostri. anche questo ha consentito a questi soggetti di controllo di entrare a far parte della sfera della privacy degli utenti. con un un caro amico che lavora a Mozilla e si occupa di privacy ci diciamo che da sempre privacy è opposta a security. mi fa notare anche che nel calderone della "security" rientra anche T&S, Trust&Safety, che tradurrei con "moderazione". che sia umana, tramite l'inesistente AI, con votazione, fatta dalla comunità di utenti, ecc ecc. in ogni caso presuppone l'accesso al dato. mentre la privacy presuppone il NON accesso al dato. riporto la domanda che ci facciamo:

E' quindi piu' importante 1. permettere alle persone di comunicare sapendo che nessuno puo' leggere cio' che si scambiano, oppure 2. essere sicuri che non ci siano abusi, materiali pedopornografici, contenuti illegali o altro?

secondo me (noi) è più importante 1. d'altra parte, secondo me NESSUN sistema di controllo nemmeno il più orwelliano nemmeno a Singapore riuscirà mai davvero a garantire 2. però... però continuano ad arrivarci richieste che implicano invece che è più importante 2., ad esempio richieste di linee guida su come creare un social che sia inclusivo, sicuro per minoranze, "safe", ecc ecc ma questi son problemi sociali e la via maestra per affrontarli è l'educazione. non sono problemi tecnici. voler "risolvere" questioni socio-politiche con "soluzioni" tecniche implica assumere che le persone debbano essere protette anche da se stesse, quindi controllate; che siano potenzialmente dannose e che quindi sia meglio mantenerle in un perenne stato di minorità ovvero delegare a qualcun* che sta sopra (lontano, ma comunque sopra) l'organizzazione della società. non è detto che si debba continuare su questa strada k.

Saluti, DV

-- "tecnologie conviviali - https://tc.eleuthera.it" "tecnologie appropriate - https://alekos.net" "pedagogia hacker - https://circex.org"