Questa è una rubrica mensile, che non ha come obiettivo quello di seguire l’attualità. A volte accade, però, che sia l’attualità a inseguire te, e allora quello che rimane da fare è provare a vedere se si riesce almeno a seguire il filo degli eventi, e vedere dove ci porta.
Nella giornata di venerdì 19 luglio, aeroporti, ospedali, banche, reti televisive, industrie di vario genere, imprese commerciali grandi e piccole hanno vissuto un disservizio informatico di vasta portata, che ha prodotto interruzioni di servizio di vario genere, parte delle quali non sono ad oggi ancora state risolte, e il cui impatto economico è quasi impossibile da ricostruire.
Per l’esattezza gli eventi sono stati due: un malfunzionamento, la cui portata non è ancora del tutto chiara, della struttura di cloud computing di Microsoft, e un aggiornamento del software di sicurezza Falcon, fornito da un’azienda privata, la CrowdStrike (nomen omen, probabilmente un’ironia sin troppo facile, ma francamente irresistibile).
Il CEO Kurtz (e anche qui la tentazione è forte…) si è scusato, come fanno tutti i CEO dopo un disastro di qualche tipo, o uno scandalo, o una convocazione in qualche commissione parlamentare americana o europea (da noi no, qui le audizioni parlamentari dei capitani d’industria sono di solito all’acqua di rose e col tappeto rosso ben steso). Dopodiché, le scuse dei CEO di turno valgono quello che valgono, cioè abbastanza meno di zero. Bonus e stock option di solito resistono tetragoni alle ingiurie del tempo, e la giustizia civile, si sa, ci mette il tempo che ci vuole, o che si vuole.
Ma prima che il problema dell’aggiornamento di CrowdStrike esca dai radar del circo mediatico, qualche riflessione qui vale la pena di spenderla. Un mio vecchio amico, professore universitario, qualche decennio fa, per spiegarmi cosa fosse il Cloud, mi disse: “ il computer di qualcun altro”. Quello che nella nostra simbologia stile powerpoint è disegnata come una nuvoletta gentile ed eterea, a cui affidiamo fiduciosamente dati, sistemi e processi operativi è in realtà il computer, uno molto grosso, di qualcuno che paghiamo, con molti soldi, per fare lui quello che una volta ci si faceva “in casa”, prima di terziarizzare tutto il terziarizzabile in nome della “creazione di valore” per gli azionisti.
Con il risultato ovvio che, poiché quelli sufficientemente grossi sono pochi, i sistemi informativi sono sempre più centralizzati, sempre più interconnessi, e complessivamente sempre più fragili. Non c’è bisogno di ricorrere alla teoria del caos per spiegare perché un errore di codice in un file di aggiornamento possa aver interrotto l’attività di una camera operatoria di cardiochirurgia o il sistema di gestione degli imbarchi di un aeroporto. Quanto più ci affidiamo a piattaforme e infrastrutture centralizzate, tanto più aumenta il rischio di “single point of failure”, e un singolo errore di programmazione può avere ripercussioni globali. Per chi volesse trovare una ricostruzione storica di come siamo arrivati fino a qui, “Power and Progress”, di Damon Acemoglu e Simon Johnson, è un ottimo punto di partenza.
Il CEO di CrowdStrike ha avuto l’onestà intellettuale di chiarire da subito che non si è trattato di un attacco informatico, ma il risultato non cambia, e gli effetti sono stati molto simili a quelli per la cui prevenzione la sua azienda è ben pagata. Ma qui entra in campo l’intelligenza artificiale, fino ad ora rimasta ai margini del racconto.
Uno dei casi d’uso di cui si declamano le più grandi prospettive di sviluppo, nell’ambito dei sistemi di intelligenza artificiale generativa, è quello legato alla scrittura di codice di programmazione. Diamo per scontato che in CrowdStrike siano persone ragionevoli, e che la causa dell’incidente di venerdì sia da attribuirsi a qualche tipo di errore umano. E speriamo che questo incidente possa almeno raffreddare per un po’ gli animi degli innovatori a tutti i costi, e di chi sta già pregustando il prossimo bonus aziendale per aver ridotto i costi del personale dei gruppi di lavoro che fanno sviluppo applicativo. Siamo solo moderatamente ottimisti, perché di una cosa, una volta tanto, dobbiamo dare atto a Mr. Facebook, Mark Zuckerberg: “move fast and break things” è un mantra fighissimo, e continua a fare scuola, davvero, in tutti i sensi, come sanno bene otto milioni di utenti Windows. Quindi immaginiamo che, passata la tempesta mediatica, gli innovatori continueranno a venderci innovazioni.
E veniamo da questa parte dell’Atlantico. Tra pochi giorni, a Parigi, inizieranno le olimpiadi. Un evento globale, talmente complesso da essere oggetto di studi critici sotto ogni tipo di prospettiva. Tra i tanti profili di analisi, quello legato agli aspetti di sicurezza è uno dei principali. Secondo Philip Boyle, le Olimpiadi possono ormai essere definite come “la più grande operazione di sicurezza dopo le guerre”.
E’ una tendenza nata a partire dalle Olimpiadi di Monaco del 72, rafforzatasi dopo l’11 settembre 2001 e gli attentati degli anni successivi, ma che ha subito un’enorme accelerazione, in termini di crescita di budget e sviluppo tecnologico, in corrispondenza con il boom dei big data, con la sempre maggiore influenza dei fornitori privati di tecnologia, e le sempre più forti derive securitarie che tutti i governi, a livello planetario, hanno seguito, per un fine o per un altro, come risposta pavloviana alla multicrisi contemporanea.
Sappiamo già che ogni record sarà battuto, e non parliamo di quelli sportivi, ma di costi, forze di sicurezza in campo, numero di telecamere, droni, centri di controllo in cui si integreranno gli apparati di sicurezza di ogni operatore pubblico e privato e, immancabilmente, applicazione di tecniche di intelligenza artificiale, specialmente, ma non solo, nell’ambito delle analisi delle immagini riprese dalle decine di migliaia di occhi elettronici attivi.
E come sempre, una volta installati sensori e telecamere, sono destinati a rimanere. Ogni grande evento come le olimpiadi consente uno stato di eccezione destinato immancabilmente a trasformarsi in regola.
E a proposito di stati di eccezione, a Parigi sono stati previdenti, con una legge che già nel maggio 2023 ha introdotto norme eccezionali per la gestione della sicurezza delle olimpiadi, e la cui scadenza, guarda un po’, si estende ben oltre la durata dei giochi, fino al 31 marzo 2025, e prevede espressamente, all’articolo 10, che meccanismi di analisi algoritmica delle immagini saranno utilizzati. Il legislatore transalpino assicura che nessun dato biometrico sarà analizzato, né alcuna tecnica di riconoscimento facciale sarà utilizzata. Ci si limiterà ad analizzare eventi anomali, come improvvise concentrazioni di persone in un’area o movimenti in qualche modo “irregolari” tra il pubblico. Le regole sulla privacy, quindi, sarebbero salve.
Se non che, l’AI ACT appena pubblicato nella Gazzetta Ufficiale dell’Unione prevede tutta una serie di eccezioni al divieto dell’identificazione biometrica remota in luoghi pubblici, una delle quali, appunto è la prevenzione di una specifica sostanziale e imminente minaccia alla vita o alla sicurezza fisica delle persone o una attuale o prevedibile minaccia attendibile di attacco terroristico. Se Joseph Heller avesse scritto oggi Comma 22 troverebbe spunti interessanti in alternativa al “chi è pazzo può chiedere di essere esentato dalle missioni di volo”.
E se l’apparato securitario di Parigi vi sembra distopico, non è niente in confronto a quello che si prospetta sull’altra sponda dell’Atlantico.
Secondo il Washington Post Trump e i suoi alleati stanno preparando un ordine esecutivo sull’AI che lancerebbe una serie di “progetti Manhattan” per sviluppare tecnologia militare e abrogherebbe le non necessarie e pesanti regolamentazioni introdotte dall’amministrazione Biden nel settore. Il progetto prevederebbe anche la creazione di agenzie “guidate dall’industria” cui affidare la valutazione dei modelli di AI.
Che molti tycoon siano già saltati sul carro del probabile vincitore delle prossime presidenziali era già un fatto noto. E continuiamo a sorridere nel ragionare di mega apparati tecnologici di sorveglianza negli stessi giorni in cui leggiamo su come sia facile comprarsi un fucile AR 15 e andare in giro a sparare qui e là, magari a un candidato presidenziale, nella terra delle opportunità.
E per venire a casa nostra, dove è tutto sempre un po’ alla volemose bene, queste sono le dotte riflessioni del nostro ministro degli Interni sui possibili utilizzi dell’AI nel campo della sicurezza. Buona parte di quanto dice sarebbe vietato dall’AI Act, in teoria, ma basta spalmarci sopra un po’ di sicurezza nazionale e minacce terroristiche e la pillola va giù.
E alla fine, questo filo, dove ci porta?
Qualche anno fa, nel 2013, James Bridle ha scritto un libro, “New Dark Age – technology and the end of the future”, di rara profondità. Non era un libro dedicato specificamente all’AI, ne esiste una traduzione italiana, e ne consiglieremmo fortemente la lettura. C’era un passaggio che ci è tornato in mente in questi giorni, a proposito di complessità, e degli episodi di “flash crash” dei mercati finanziari alimentati dagli algoritmi che consentono l’automatizzazione delle operazioni di acquisto e vendita di strumenti finanziari.
“O forse il flash crash in realtà assomiglia esattamente a tutto ciò che stiamo vivendo in questo momento: l’aumento della disuguaglianza economica, il crollo dello stato nazionale e la militarizzazione dei confini, la sorveglianza globale totalizzante e la limitazione delle libertà individuali, il trionfo delle multinazionali e del capitalismo neuro-cognitivo, l’ascesa di gruppi di estrema destra e ideologie nativiste e il totale degrado dell’ambiente naturale. Nessuno di questi è il risultato diretto di nuove tecnologie, ma tutti sono il prodotto di una generale incapacità di percepire gli effetti più ampi e in rete delle azioni individuali e aziendali accelerati da una complessità opaca e tecnologicamente aumentata.
CrowdStrike ci ha fatto incrociare un piccolo cigno nero, pochi giorni fa. Ne incroceremo altri, probabilmente presto, e ci sembra che James Bridle valga la pena rileggerselo.
Alla prossima.