«Vi spiego perché gli Atenei non dovrebbero affidarsi a Google», l’intervista a Giacomo Tesio (Monitora PA)

Giornalettismo ha trattato in diverse occasioni le tematiche riguardanti il caso Google Analytics e il trasferimento di dati presso Paesi Terzi. Questioni affrontate anche a livello normativo sia dall’Italia che dall’Europa, con interventi che hanno modificato quello status quo divenuto una vera e propria routine. Ma cosa accade se anche la Pubblica Amministrazione non riesce a rimettersi al passo utilizzando strumenti in linea con gli impianti legislativi forniti dallo European Data Protection Board? Ne abbiamo parlato con Giacomo Tesio, co-fondatore di Monitora PA, la comunità italiana di hacker attivisti che ha come obiettivo primario quello di proteggere i dati riservati degli italiani.

LEGGI ANCHE > Monitora PA ha chiesto a 45 Atenei italiani di smettere di utilizzare i servizi di Google

Proprio da Giacomo Tesio è partita un’interessante iniziativa che è andata a toccare un settore fondamentale per la formazione dei giovani cittadini: gli Atenei. Secondo le ricerche effettuate da Monitora PA, infatti, nel nostro Paese ci sono 45 Atenei che ancora utilizzano e-mail legate a Google. E lo fanno nonostante l’ultimo aggiornamento del documento dello European Data Protection Board sull’utilizzo del cloud da parte delle pubbliche amministrazioni. Proprio partendo da questo assunto, il co-fondatore di Monitora PA ha inviato 45 distinte PEC alle Università, elencando i problemi e le violazioni che si sono palesate.

Giacomo Tesio, la PEC inviata agli Atenei contro il “Codice Google”

Ma come è possibile che nonostante le norme e le sentenze (come la Schrems II) ci siano ancora pubbliche amministrazioni che utilizzano sistemi che prevedono il trasferimento di dati personali degli utenti a Paesi Terzi? In particolare, come è possibile che tutto ciò si verifichi anche all’interno del mondo accademico delle Università? Domande che portano a paragoni con fiabe con un esito differente rispetto alla narrazione comune: «Più che la “Bella addormentata” sembra “L’avvelenata morente”, completamente imprigionata da questi sistemi che sono penetrati grazie alla gratuità all’interno della PA a tantissimi livelli – ci ha spiegato Giacomo Tesio -. Siamo partiti dalle Università perché sono le pubbliche amministrazioni che ragionevolmente dovrebbero avere le competenze per fare a meno di questi strumenti, sia attraverso i software liberi attualmente esistenti sia per il personale interno che hanno a disposizione».

Perché questo fenomeno ha infestato i sistemi degli Atenei da qualche tempo, nonostante nel corso degli anni si fossero già palesate problematiche per quel che concerne la gestione e il trasferimento di dati personali vero Paesi terzi. Eppure, un tempo le cose erano gestite in modo differente: «Fino a qualche anno fa tutte le Università gestivano la propria mail, adesso devono semplicemente riprendere a farlo – ci ha detto Giacomo Tesio -. Oppure affidarlo, eventualmente anche a pagamento, a quelle aziende europee che sono in grado di fornire tutto ciò. È complesso gestire le mail, ma non è nulla di trascendentale visto che lo hanno fatto per decenni, o affidarsi a chi è capace. Ma non possono continuare a trasferire dati personali che sono sensibili, talvolta vietati dall’articolo 9 del GDPR perché, per esempio, possono essere dati medici o legati a opinioni filosofiche o ideologiche degli studenti, che possono emergere attraverso i contenuti presenti all’interno di una mail, anche con gli insegnanti».

Il caso dei dati medici

Il dottor Tesio, per rendere più concreta la questione, ha deciso di spiegare tutto citando un caso esemplificativo che connaturerebbe una violazione dell’articolo 9 del GDPR: «Un esempio che ci è stato fatto da un professore universitario è quello degli studenti affetti da DSA (Disturbi specifici dell’apprendimento) che prima di un esame concordano – legittimamente – con il professore alcune variazioni sul contenuto dell’esame con il docente e che, naturalmente, nel momento in cui lo fanno verso una casella Gmail informano della propria malattia o disturbo anche Google che poi utilizza quei dati per molte finalità, tra cui il miglioramento dei propri servizi, forniti a qualunque cliente o utente di Google. Naturalmente tutto ciò è, anche solo a livello economico, non è né corretta né trasparente. Perché cosa significa migliorare i propri servizi? Vuol dire che possono scegliere meglio cosa “vendere” a quello specifico studente. Quindi, vuol dire sottoporlo a una manipolazione come può essere anche una manipolazione politica. Questa è la natura del problema che stiamo cercando di affrontare».

La società cibernetica e la consapevolezza

Problemi reali di un mondo etereo che, spesso, non viene percepito. E Giacomo Tesio prova a contestualizzare i motivi di questa scarsa percezione di questioni che non riguardano solamente il presente, ma anche il futuro prossimi (e renoto): «Il problema è che viviamo in una società cibernetica. La cibernetica è una disciplina antichissima. Il termine cibernetico l’ha inventato Platone, come l’arte del governare la nave. Però, la cibernetica contemporanea risale al 1948 con Norbert Wiener, dove per civiltà cibernetica si intende quel sistema in cui integrano strettamente automatismi e autonomie delle persone. Quindi persone e macchine, non solo fisiche come cellulare e pc, ma anche software, quindi automatismi digitali. Il problema è che noi non ci siamo evoluti in una società cibernetica, ci siamo evoluti in un ecosistema in cui gli agenti che partecipavano all’evoluzione del sistema erano o persone o animali».

Dunque, una catena all’interno della quale si è aggiunto anche un altro attore, entrato a far parte della quotidianità nella sua trasparenza eterea, nonostante il suo peso specifico percepibile e potenzialmente dannoso per quel che riguarda il bene primario del nuovo Millennio: i dati sensibili personali. Ma cosa manca a moltissime persone per capire la portata del problema: «Non c’è una consapevolezza che un automatismo, come un software, sia un agente che lavora e serve la volontà di chi lo ha programmato, prima di tutto – ha spiegato Giacomo Tesio a Giornalettismo -. Molto di più che di chi lo utilizza o ci interagisce. E questo significa che non abbiamo la sensibilità, l’idea e la percezione di quanti ci sorvegliano o di come ci manipolano attraverso questi software. Se già solamente iniziassimo ad avere consapevolezza di quanti sensori e di quanti agenti cibernetici ci portiamo addosso dentro a un cellulare, secondo me molti inizierebbero ad avere paura. Se poi iniziassero ad avere la percezione di quanti attuatori, ovvero di quanti meccanismi, questi agenti cibernetici possono utilizzare per orientare il nostro comportamento o le nostre opinioni, allora la cosa diventa ancora più inquietante. Non abbiamo bisogno di leggere un romanzo di Orwell, ci stiamo già vivendo».

Scarsa comunicazione

Un romanzo già scritto che, come ci ha spiegato Tesio, è la realtà quotidiana che stiamo vivendo. Con una scarsa consapevolezza, soprattutto per via di spazi dedicati ristretti, non aperti a molti e – soprattutto – che sembrano non interessare ai cittadini (o, almeno, non è al vertice degli interessi personali parlare di argomenti come questi: «Il problema è che di queste cose se ne parla nei circoli di intellettuali particolarmente illuminati sul tema, come può essere il Nexa del Politecnico di Torino, ma sono ambiti involontariamente molto di nicchia perché non vi accedono in molti. Una piena consapevolezza delle problematiche che questi sistemi comportano non c’è, se non in forma allarmista, con un allarme che è motivato. Per esempio, è oggettivo il fatto che i ragazzi che utilizzano Instagram sono tendenzialmente più soggetti a depressione. È una cosa che persino Facebook sa, è emerso da suoi studi che sono poi trapelati. Nonostante Facebook lo sappia, non fa nulla per cambiare questa cosa perché su quei ragazzi Facebook macina miliardi, manipolandoli. La stessa cosa vale per Google, per Microsoft e per molti altri. Potenzialmente, però, vale anche per un Ateneo visto che esso stesso è un agente cibernetico nel momento in cui si mettono la propria posta elettronica in casa. La differenza fondamentale è un differente modello di business: l’Ateneo ha come modello di business la formazione degli studenti, Microsoft o Google hanno come modello di business la manipolazione di miliardi di persone. È proprio differente la finalità».

Ma ci sarà tempo e spazio per rendere tutti consapevoli? «Il fatto che non abbiamo consapevolezza non vuol dire che non possono averla, ma l’unico modo per fornirgliela è spiegare loro queste cose – che poi spiegano, visto che sarebbe contraddittorio poi continuare a utilizzare quegli stessi strumenti – e, dall’altro canto, vuol dire anche fornire delle alternative. Alternative che ci sono, come le migliaia di software liberi che si possono sostituire a quelli forniti da questi grandi player. Non solo, talvolta sono migliori, solo che le persone non lo sanno, i tecnici in Italia sono ancora molto pochi quelli competenti e quindi diventa difficile pensare ad alternative. È un po’ il cane che si morde la coda: fin quando nessuno interrompe questo sistema e mette le persone di fronte alla contraddizione, il problema non si risolve e non si vede. Perché, naturalmente, è interesse di tutti far finta di non vederlo. Prima di tutti, gli stessi fornitori che sono felicissimi di fornire gratuitamente questi sistemi, perché i dati che raccolgono sono infinitamente più preziosi di qualunque pagamento che potrebbero ricevere, visto che sono all’origine di quei fatturati».