Fonte Algorithmwatch che ringraziamo. Per un uso professionale di questo articolo vedi la versione in lingua originale

di Josephine Lulamae

Con FindClone e servizi simili come PimEyes e Search4faces, uno “scenario da incubo” della privacy è già una realtà. Quali sono i casi di (cattivo) uso degli strumenti di riconoscimento facciale che chiunque può pagare per utilizzare?

18 marzo, mega-rally nazionalista di Vladimir Putin: se ingrandisci un’immagine del palco, puoi vedere un uomo con grandi cuffie e un impermeabile blu tirato sulla bocca, in agguato . Ora fai scorrere la sua faccia attraverso il sito russo di riconoscimento facciale da $ 5 al mese FindClone, che consente agli utenti di scattare foto di persone e trovare i loro volti sui social media russi in pochi secondi. Un fiammifero: una foto, ora cancellata, di un uomo con una croce al collo, seduto su un letto con altri tre uomini in topless.

Dopo la manifestazione, la testata giornalistica ceca Radio Liberty ha utilizzato FindClone per cercare di identificare l’uomo nelle cuffie. Hanno scoperto che l’uomo con la croce al collo è molto probabilmente un impiegato sotto copertura della squadra di sicurezza personale di Putin. “Non un tecnico del suono, ma un dipendente del Reggimento Presidenziale dell’UST (Servizio della Guardia Federale)”, hanno concluso . Hanno anche verificato la corrispondenza con il riconoscimento facciale di Microsoft Azure, che ha assegnato un punteggio di confidenza del 74% ai volti identici.

Non tutti sono convinti, tuttavia: “OSINT (open source intelligence) sbagliato sulle persone reali”, uno sviluppatore di software di Bosch chiamato Uli Stopper ha pubblicato nell’articolo di Radio Liberty. È “completamente impossibile” per qualsiasi algoritmo “identificare definitivamente” qualcuno da un’immagine in cui hanno la bocca, il mento / la mascella e le orecchie coperti, se anche quell’immagine è a bassa risoluzione, mi ha detto. Inoltre, non è chiaro quale software di riconoscimento facciale utilizzi Microsoft Azure e cosa significhi il loro “punteggio di fiducia”.

Le preoccupazioni per il riconoscimento facciale non sono nuove. Clearview AI ha ricevuto molta attenzione per aver offerto alle forze dell’ordine il potere di cercare il volto di uno sconosciuto in un database di 20 miliardi di immagini, prelevate illegalmente da Facebook e altri social media. FindClone offre lo stesso servizio utilizzando VKontakte, la Facebook russa controllata dallo stato. Ma lo vendono a chi paga. (A causa delle sanzioni occidentali, ora devi pagare da un conto bancario in Russia o in un paese amico come la Bielorussia.)

Ricordi come un CEO di Google ha affermato nel 2011 di poter rilasciare uno strumento che consentirebbe agli utenti di scattare foto di persone e identificarle in pochi secondi, ma non lo farà, a causa delle conseguenze negative? Clearview AI in mani pubbliche è descritto come lo “scenario da incubo” della privacy. Con FindClone e servizi simili come PimEyes e Search4faces , questo scenario è già una realtà: abbiamo riscontrato casi in cui le persone vengono erroneamente identificate da esperti ricercatori OSINT, in cui utenti anonimi di forum online si aiutano a vicenda a identificare, molestare e perseguitare le persone e dove i manifestanti sono essere doxxed (avere le proprie informazioni personali esposte).

Live True Crime Style Threads su Twitter 

Sempre a marzo: una donna appare in un video pubblicato dall’ambasciata russa a Londra. Dice di essere nella città assediata di Mariupol, nel sud dell’Ucraina, e ripete la narrativa dello stato russo secondo cui un battaglione Azov ucraino ha fatto saltare in aria un teatro dove si stavano rifugiando dei civili. Mezz’ora dopo, il giornalista olandese Henk van Ess ha twittato l’identificazione sbagliata di lei come donna nella città russa di Magadan, sulla base di un risultato di ricerca dal sito Web di riconoscimento facciale da $ 29,99 al mese PimEyes e un “punteggio di fiducia” di Microsoft Azzurro.

“Questa non è la partita giusta”, scrive in seguito van Ess. Ma l’immagine della donna Magadan casuale, insieme a un collegamento a un campo estivo a cui ha partecipato una volta, sono ancora nel filo.

“È sempre positivo condividere i tuoi metodi con i colleghi in modo che possano commentare”, mi ha scritto van Ess. Non è l’unico ricercatore a condurre indagini in diretta su Twitter, in cui condividi alcuni risultati preliminari, quindi li sfati nei tweet di follow-up.

“Il mio feed riguarda il percorso che devi percorrere”, aggiunge. “Mostro ogni passaggio, sperando che le persone che sono nuove imparino da esso… il modo migliore per me di praticare OSINT [open source intelligence] è essere vulnerabile condividendo e consentendo alle persone di commentare.”

Questo non è un approccio condiviso da tutti.

Il rischio maggiore dell’utilizzo di FindClone e strumenti simili nelle indagini OSINT è che i ricercatori si affidano solo a una corrispondenza di riconoscimento facciale per “accusare persone innocenti di aver commesso crimini gravi” in modo che “altri utenti online che vedono quelle informazioni possano iniziare molestie online nei loro confronti” , afferma Johanna Wild, ricercatrice presso Bellingcat, un’organizzazione investigativa open source.

Aric Toler, direttore della formazione e della ricerca presso Bellingcat, afferma di cercare “dettagli facciali unici o semi-unici, come nei, forma del lobo dell’orecchio, lentiggini, cicatrici”, nonché “informazioni contestuali” e “altre fonti di dati come abbinare un numero di telefono da VK” per verificare una corrispondenza di riconoscimento facciale. Toler afferma di conoscere solo tre strumenti pubblici di riconoscimento facciale: FindClone, PimEyes (che, a differenza di FindClone, raschia i siti Web ma non i social media) e Search4faces (che, analogamente a FindClone, include i risultati di VKontakte, nonché TikTok, Instagram e Sito di social media russo OK.ru.)

Dvach: Riesci a trovare mio padre? 

“Signore, anons, ho ancora 40 ricerche FindClone e il termine scadrà presto, è un peccato se scompaiono. Pertanto, offro i miei servizi di ricerca”. Negli ultimi anni, ancora e ancora, post come questo appaiono sul forum anonimo russo 4Chan-esque 2ch.hk (altrimenti noto come “Dvach”.) Le risposte arrivano in streaming: gli utenti pubblicano foto di adolescenti, foto di video porno o sesso fatto in casa nastri, una signora che “rifiutava di assumermi”, “lui per favore”, “lei per favore”.

“Ho comprato un sacco di richieste in FindClone, per il bene di una, le altre non sono necessarie e scadranno semplicemente…” Le risposte arrivano in streaming. Qualcuno pubblica la foto di un adolescente con uno zaino arcobaleno che viene intervistato a una dimostrazione.

“Ho ancora 40 ricerche in FindClone, ti aiuterò a trovare i tuoi pulcini..” Le risposte arrivano in streaming. Un utente anonimo (o “anon”) chiede: “Aiutami a trovare mio padre, ha lasciato me e mia madre 10 anni fa .” La risposta del donatore FindClone: ​​“No grazie”.

“Poiché in media non cerco più per un mese, posso cercare qualcuno per te gratuitamente.. In cambio sarei grato all’anon che mi autorizza nell’applicazione GetContact [un’app per la rubrica dei contatti telefonici].” Le risposte arrivano in streaming. Uno anon pubblica una foto, scrivendo “Voglio integrarmi e poi prendere in giro la sua calvizie”.

Dvach è ospitato dal gruppo Mail.ru, affiliato allo stato, che gestisce anche VKontakte (la Facebook russa). Dal 2010 è gestito da un utente chiamato Abu – la cui vera identità è Nariman Namazov , uno specialista SEO azerbaigiano di 27 anni di Mosca – che una volta disse di aver acquistato il sito per 10.000 dollari.

Quando gli utenti di Internet hanno scoperto per la prima volta il sito FindClone nel febbraio 2019, dvachers ha iniziato a utilizzare il servizio per cercare le pagine VKontakte delle donne nei video porno o nei servizi di incontri di scorta. Hanno condiviso consigli su come “smascherarli”: a chi mandare messaggi (le amiche delle donne, la famiglia, i compagni di scuola dei loro figli) e cosa dire (presentarsi come giornalista, e “ricatti e molestie”).

“Ciao a tutti. Alcune persone probabilmente lo sanno già, ma la maggior parte no. È apparso un nuovo servizio di riconoscimento facciale…” Katya, un avatar in un forum online per escort pubblicato a dicembre 2019. “Prendono uno screenshot del tuo viso da un video o una foto, inseriscilo nella ricerca e mostra i tuoi profili in VK, se c’è una foto del tuo viso lì. Quindi scrivono a tutti gli amici e parenti, inviano schermate e foto e altre informazioni…”

Nel 2020, gli utenti di Dvach hanno doppiato le attrici russe che hanno recitato in un film horror porno del cantante dei Rammstein Till Lindemann. Nessun segno che abbiano usato il riconoscimento facciale. “Se qualcuno avesse bisogno di avvelenare le donne, le avrebbe riconosciute e avvelenate 10 anni fa senza questi strumenti”, mi ha detto una femminista russa, che ha ricevuto minacce di morte dopo aver difeso le donne nel video di Lindemann, sostenendo che gli strumenti di riconoscimento facciale ” può anche servire per il bene, ad esempio per riconoscere i criminali e gli imbroglioni”.

Origini FindClone: ​​per tutti, tranne le forze dell’ordine russe

Quando FindClone ha attirato l’attenzione per la prima volta nel 2019, un giornalista di una testata giornalistica indipendente russa ha utilizzato il servizio per identificare, bene, gli sviluppatori del software stessi: due giovani matematici del Daghestan, chiamati Gadzhi Saidov e Yuri Zdanovich.

Nell’intervista che ne risulta, il giornalista sembra molto entusiasta di FindClone (“Spiego a (Zdanovich) che giustizia, anonimato e strumenti di ricerca possono essere per tutti o per nessuno”) e chiede agli inventori se intendono vendere il loro algoritmo a le forze dell’ordine, come “la maggior parte dei loro concorrenti.” Saidov gli disse che era improbabile che vendesse il suo software allo stato, che lo avrebbe usato per combattere gli oppositori politici, piuttosto che per il crimine.

Un concorrente a cui si riferiva il giornalista: NTechLab , una sussidiaria russa di una società con sede a Cipro, che nel 2016 ha rilasciato un’app proprio come FindClone . L’app ha avuto molta pubblicità, ad esempio quando le persone l’hanno usata per doxare le prostitute e i manifestanti alle manifestazioni contro la corruzione. Due anni dopo, NTechLab ha annunciato che avrebbe ritirato dall’accesso pubblico il suo algoritmo di abbinamento dei volti e lo ha venduto, tra gli altri , al governo di Mosca, che lo ha inserito nelle 200.000 telecamere a circuito chiuso della città.

La nuova rete di sorveglianza di Mosca è nota per essere utilizzata dalla polizia contro manifestanti , oppositori politici e trasgressori del blocco. Ciò che è stato appena riportato, tuttavia, è che la polizia usa anche le immagini delle telecamere per aiutare i mariti violenti a rintracciare le loro mogli che scappano da altre parti della Russia nella capitale: tutto ciò che gli uomini devono fare è presentare una “denuncia di scomparsa”. Questo accade “anche se una donna o il suo avvocato chiede alla polizia di non cercarla”, mi ha detto Olga Gnezdilova, un’avvocato di Voronezh che ha consigliato un certo numero di vittime di violenza domestica.

Alena Eltsova, che gestisce il centro di accoglienza per violenze domestiche di Mosca Kitezh , è stata testimone di molti casi simili. Mi ha parlato di una donna che è stata detenuta dopo essere stata filmata in metropolitana. Un altro, che ha aiutato un amico a scappare a Mosca, è stato filmato nella camera di commercio della città. La polizia l’ha visitata e ha chiesto di sapere dove fosse la sua amica. In un altro caso, una donna è stata rintracciata dopo essere stata filmata all’ingresso di un edificio a Mosca.

Ottimismo su FindClone: ​​agenti di polizia Doxxing 

“Questi servizi aiutano a identificare chi ha ucciso [Boris] Nemtsov e a indagare sui crimini di guerra commessi dall’esercito russo in Ucraina”, mi ha detto ad aprile un amministratore del progetto anticorruzione Municipal Scanner , quando ho chiesto cosa pensassero di FindClone. (Boris Nemtsov è un politico dell’opposizione assassinato a Mosca nel 2015.)

Il 27 luglio 2019, il profilo Twitter di Municipal Scanner ha avviato una campagna per pubblicare i nomi e i profili VKontakte degli agenti di polizia, dotati di scudi antisommossa e manganelli, che erano stati fotografati mentre picchiavano i moscoviti che avevano manifestato per le elezioni democratiche all’inizio di quel giorno. Ruslan Leviev, capo del gruppo di ricerca Conflict Intelligence Team, ha proposto che gli strumenti utilizzati per “deanonimizzare” i poliziotti fossero FindClone e la funzione di ricerca inversa delle immagini del motore di ricerca russo Yandex (che consente agli utenti di collegare i risultati delle immagini ai loro account VK. ) Diversi agenti si sono lamentati di aver ricevuto minacce. Secondo quanto riferito , il capo della polizia cittadina di Mosca ha ordinato ai dipendenti di eliminare tutte le foto online in cui erano visibili i loro volti.

Pochi giorni dopo, è apparso un sito web chiamato “Criminal Justice Info”, sostenendo di identificare i manifestanti di Mosca del 27 luglio e pubblicando collegamenti ai loro profili VKontakte.

“Era il culmine [dell’uso del riconoscimento facciale per smascherare la polizia violenta]”, afferma Anatoly Reshetnikov, politologo e attivista, riferendosi al luglio 2019. Ma in seguito, la polizia ha iniziato a nascondere i propri volti dietro elmetti e maschere colorate. E gli agenti hanno iniziato a usare il riconoscimento facciale per identificare i manifestanti: “In questo modo ora riescono a evitare la brutta immagine delle percosse nelle piazze pubbliche e vengono semplicemente nelle case private degli attivisti per trattenerli poche ore dopo l’evento”.

L’altro scenario da incubo: un monopolio statale sui servizi digitali

“Quando sono apparse per la prima volta le informazioni sull’esistenza di una macchina di ricerca per il riconoscimento facciale, molti utenti erano molto preoccupati”, afferma Sarkis Darbinyan, fondatore del Digital Rights Center con sede a Mosca . Sottolinea che quasi 100.000 persone hanno firmato una petizione contro l’uso della tecnologia di riconoscimento facciale da parte delle “autorità di polizia e di controllo”.

Al contrario, non c’è stata molta indignazione per FindClone e strumenti simili, secondo un attivista per i diritti digitali, che per motivi di sicurezza non vuole essere nominato in questo articolo, perché “chi comprende il riconoscimento facciale è più preoccupato per la monopolizzazione di riconoscimento facciale da parte dello Stato”.

NTechLab, ad esempio, sembra ora essere sotto il controllo totale delle società statali, da quando il co-fondatore della startup ha lasciato all’inizio del 2022. Un altro grande attore che ha installato software di riconoscimento facciale in Russia è Sberbank, una banca a maggioranza statale. Nel 2021, il sistema biometrico unificato russo, creato nel 2018 per consentire l’uso del riconoscimento facciale per l’online banking, ha ricevuto lo status di “sistema statale”.

VKontakte ha minacciato di citare in giudizio FindClone per aver raschiato il database degli utenti. Non perché l’azienda voglia proteggere la privacy dei suoi utenti, dice Darbinyan. VKontakte vuole essere l’unica azienda a raschiare il database degli utenti per fornire nuovi servizi.

Da quando Putin ha invaso l’Ucraina, diversi ricercatori hanno utilizzato FindClone per trovare le pagine sui social media di soldati russi morti o catturati, le cui immagini sono apparse su un canale Telegram chiamato “rf200_nooow” (200 è il gergo militare in Russia per “carico con cadaveri”). Hanno quindi contattato e intervistato i parenti dei soldati per scoprire cosa sapevano sul destino dei loro cari, alla luce della propaganda di stato russa che rifiuta di riconoscere la guerra.

A maggio, i giornalisti della testata russa IStories Media hanno utilizzato FindClone per identificare un soldato russo coinvolto nell’esecuzione di nove civili disarmati a Bucha. Il soldato era apparso nel filmato della telecamera di sorveglianza che è stato reso disponibile al New York Times. Un giornalista di Istories Media ha chiamato la moglie del soldato, dicendo che considerava la foto del New York Times “falsa”, perché suo marito era “ben rasato” in loro, il che apparentemente significava che non poteva essere fuori a Bucha.

“C’è sempre la preoccupazione” che servizi come FindClone vengano bloccati, afferma Andrey, un giornalista investigativo russo, che, per motivi di sicurezza, non vuole che il suo nome completo venga pubblicato. Ma, aggiunge, “Ci sono già così tanti dati personali sui cittadini russi disponibili , che il riconoscimento facciale è solo uno dei tanti strumenti che giornalisti, forze dell’ordine e investigatori privati ​​usano per violare la privacy delle persone per svolgere il proprio lavoro”.