Immagine in evidenza: foto di Thomas Park da Unsplash
Quest’autunno, negli Stati Uniti, dieci college lanceranno il progetto metaversities: un sorta di replica digitale dell’ambiente didattico per promuovere un apprendimento immersivo. Un’iniziativa che già dal nome ci riporta al metaverso: gli studenti iscritti a questi dieci istituti potranno immergersi nel proprio campus universitario da qualsiasi luogo e continente, interagire in tempo reale con gli avatar degli altri studenti e dei docenti. I contenuti delle lezioni saranno presentati in modelli 3D, facendo vivere loro un’esperienza in realtà virtuale (VR) e tridimensionale, non solo della vita universitaria, ma pure degli argomenti trattati.
Se da un lato le metaversities sono presentate come una novità e una risorsa aggiuntiva per la formazione scolastica, una ricerca condotta e pubblicata a giugno dalla testata The Chronicle ha evidenziato problemi che concernono la tutela della privacy e la sicurezza dei dati degli iscritti.
The Chronicle ha chiesto di poter esaminare i contratti tra le 10 università e i fornitori dell’interfaccia di realtà virtuale. Dalla documentazione fornita da cinque college è risultato che tutte e cinque le istituzioni scolastiche hanno stipulato un contratto con VictoryXR, start-up statunitense specializzata in tecnologia per l’istruzione in VR. The Chronicle ha però rilevato una scarsa attenzione verso la privacy e la sicurezza dei dati: se si analizzano i contratti del Southwestern Oregon Community College e della West Virginia University emerge che nessuna delle due istituzioni ha previsto misure di sicurezza informatica o istruzioni per segnalare una violazione dei dati; mentre la South Dakota State University ha concesso a VictoryXR il diritto illimitato di utilizzare qualsiasi informazione per qualunque scopo considerato legittimo.
VictoryXR non sarebbe però l’unico fornitore: sebbene nei contratti non sia stata menzionata, a essere coinvolta in questo progetto c’è anche Meta (e non sorprende visto che l’azienda di Zuckerberg ha investito 150 milioni di dollari nell’apprendimento immersivo, il Meta Immersive Learning) che fornirebbe gratuitamente agli studenti i visori VR Oculus Quest 2 (che, ricordiamo, fino ad agosto, necessitavano di un account Facebook per funzionare, mentre dopo questa data richiedono un account Meta e un profilo Meta Horizon). Resta il fatto, nota The Chronicle, che gli studenti avrebbero ben poche alternative all’utilizzo dei visori di Meta e che le università e le scuole si stanno buttando su tecnologie educative (EdTech, espressione che si riferisce soprattutto all’industria di tali tecnologie) con poca cognizione delle ramificazioni in termini di privacy e security.
La crescita delle tecnologie educative nelle scuole
Durante i due anni di pandemia molte scuole sono rimaste chiuse e in molti Paesi si è scelto di fare la didattica a distanza (DAD) ricorrendo a piattaforme educative. Ora, per quanto le EdTech siano applicazioni con lo scopo di diffondere l’apprendimento, non sono estranee alla raccolta dei dati. Un report di Human Rights Watch (HRW) tra marzo e agosto 2021 ha analizzato 163 prodotti EdTech diffusi in 49 Paesi. Emerge che l’89 per cento di questi “mettono a rischio i diritti dei bambini, contribuiscono a comprometterli o a violarli”. “Questi prodotti – scrive il report – monitoravano o erano in grado di monitorare i bambini, nella maggior parte dei casi segretamente e senza il loro consenso o quello dei genitori, in molti casi raccogliendo dati su chi sono, dove sono, cosa fanno in classe, chi sono i loro famigliari e amici e che tipo di dispositivo le loro famiglie possono permettersi di usare”. Le EdTech non si sono però “limitate” a raccogliere dati: 146 prodotti hanno inviato i dati dei bambini a 196 società terze, in prevalenza AdTech (società di advertising technologies). “In altre parole, si è scoperto che il numero di aziende AdTech che ricevono i dati dei bambini è di gran lunga superiore a quello delle aziende EdTech che li inviano”, scrive il report. In risposta alle richieste di commento da parte di HRW, diverse società EdTech hanno però negato di raccogliere dati sui minori.
The Nielsen Company, un data broker e società di AdTech, avrebbe ricevuto, secondo Human Rights Watch, dati di bambini da tre piattaforme EdTech: Stoodi (Brasile), CBC Kids (Canada) e WeSchool (Italia). Al riguardo però Luca Ghirimoldi, Head of Operations di WeSchool, ha dichiarato all’Indipendente che quanto riscontrato dal report farebbe “riferimento a un contratto che non è stato applicato nel contesto della DAD, contesto che in epoca di massima crisi sanitaria ha imposto soluzioni straordinarie concordate” direttamente con il Ministero dell’Istruzione. “In pratica, il documento in questione non garantisce all’azienda la possibilità di adoperare i dati raccolti ai fini commerciali, al massimo questi possono essere usati nell’ottica della ricerca”, riferisce la testata.
Microsoft e Google: le Big Tech dominano a scuola
Stando sull’Italia, in questo momento nelle scuole dominano soluzioni commerciali. Un’indagine svolta da Altreconomia ha rilevato che l’applicazione educativa più usata dalle scuole italiane è Google G Suite (86,3%), seguita da Microsoft 365 (18%) e WeSchool (6,2%). “Anche tra gli ulteriori sistemi per videocall o strumenti digitali utilizzati emerge la forte prevalenza di soluzioni commerciali (quali Whatsapp, Skype e Zoom) a discapito di quelle con licenza open source (come Jitsi o Moodle)”, scriveva la rivista. Un tema che era stato posto anche durante un’audizione davanti alla Commissione parlamentare per l’infanzia e l’adolescenza dell’8 luglio 2020, quando l’allora Garante della privacy, Antonello Soro, suggeriva al ministro dell’Istruzione che sarebbe stato più prudente utilizzare il registro elettronico consolidato (sebbene non privo di problemi), rispetto alle piattaforme di multinazionali straniere. Inoltre chiedeva all’Italia di dotarsi di una piattaforma pubblica italiana che mettesse insieme risorse e competenze, per garantire una maggiore sicurezza dei dati, soprattutto quelli dei minori.
Un tema che prima della pandemia era molto sentito in Europa. Nel 2019 Michael Ronellenfitsch, garante della protezione dei dati dell’Assia, uno degli Stati federali della Germania, aveva vietato di usare il cloud di Microsoft per le scuole, sostenendo ci fosse il rischio che i dati, a seguito del Cloud Act statunitense (norma che permette alle autorità a stelle e strisce di acquisire dati dagli operatori nazionali di cloud), venissero inviati nei server americani e fossero accessibili a terze parti.
L’emergere del proctoring
Ma la pandemia ha anche aperto le porte, a livello globale, anche a una serie di strumenti pensati per controllare l’attività degli studenti da remoto. Tra questi ci sono i software di “proctoring“, il cui obiettivo è controllare che lo studente non stia copiando durante una prova, monitorando in vari modi comportamento, schermo e ambiente. Sono usati dunque per valutare il comportamento degli studenti nel corso di esami, interrogazioni e verifiche svolte da remoto. In alcuni casi, dopo essersi identificato, l’alunno mostrerà la sua stanza attraverso la webcam che, assieme al microfono, rivelerà movimenti e rumori sospetti che verranno comunicati al docente tramite un avviso. In altri casi sono registrate le attività di mouse, tastiera e schermo. Sono queste procedure che potrebbero compromettere la privacy e la tutela dei dati degli studenti.
A questo proposito non sono poche le istituzioni e associazioni che hanno sollevato preoccupazioni in merito. Tra queste compare il gruppo americano Fight for the Future che ha lanciato una campagna per vietare l’utilizzo dei software di proctoring nelle scuole e nelle università sostenendo i seguenti tre punti: i dati raccolti dai dispositivi degli studenti vengono ceduti a terze parti; il sistema biometrico di riconoscimento facciale è difettoso e spesso ha avuto difficoltà a riconoscere i volti degli studenti afroamericani; si tratta di un sistema invasivo (si pensi ad esempio all’ispezione della propria camera).
È proprio su questo ultimo punto che Aaron Ogletree, uno studente della Cleveland State University, ha portato in tribunale la sua università per l’uso del software Honorlock, sostenendo che l’adozione di tale strumento ha violato i suoi diritti. In particolare Ogletree fa riferimento all’utilizzo del proctoring durante un esame nel gennaio del 2021 dove gli era stato chiesto di scansionare la propria stanza. E su questo caso poche settimane fa la corte ha stabilito, con una sentenza piuttosto importante, che l’uso di quel software ha violato i diritti sanciti dal quarto emendamento, e che l’interesse dello studente alla privacy nella sua casa prevale sull’interesse della Cleveland State University a controllare la sua stanza.
Sono varie, comunque, le cause intentate contro i software di proctoring negli Usa. Richiamando la violazione del BIPA, l’Illinois Biometric Information Privacy Act, sono state intentate class-action contro le aziende Proctorio, Examity e Honorlock; senza inoltre scordare la complessa causa fra Linkletter e Proctorio.
E in Italia? Anche da noi alcune istituzioni in DAD si sono affidate al proctoring durante l’esecuzione di un esame, facendo emergere i dubbi già esposti in precedenza; per questo anche in Italia non sono mancate contestazioni e sanzioni. Nel settembre 2021 il Garante della privacy ha comminato una sanzione di 200mila euro all’Università Bocconi, a seguito della segnalazione di uno studente. Come si può leggere nell’ordinanza di ingiunzione il Garante ha lamentato violazioni della disciplina sulla protezione dei dati personali causate dall’utilizzo del software di proctoring Respondus.
Se, come constatato, l’uso del proctoring rischia di compromettere la privacy degli studenti, i rischi di questa tecnologia non finiscono qui. Nel 2020 ProctorU subì il data breach di un database che conteneva dati di ben 444.000 utenti iscritti al servizio. BleepingComputer rivelò che nel database erano presenti indirizzi e-mail di studenti di università e college.
Ma le insidie per intercettare gli utenti e fare collezione di dati possono nascondersi ovunque, anche in un “semplice” giocattolo. È il 2017 quando la bambola interattiva Cayla della ditta americana Genesis Toys, viene bandita dalla Bundesnetzagentur, agenzia federale tedesca per le reti delle telecomunicazioni, a seguito di una grave violazione della privacy causata da una scarsa sicurezza dei software presenti nel prodotto. Chiunque dotato di un cellulare ed entro i 20 metri di distanza poteva infatti connettersi, via Bluetooth, a Cayla e poter quindi ascoltare e registrare le conversazioni che avvenivano nei pressi del giocattolo, nonché interagire con i suoi fruitori, la maggior parte bambini.
Un caso simile avvenne in Usa con degli orsacchiotti connessi a internet che consentivano ai bambini e ai loro genitori di scambiarsi messaggi. Nel 2017 la Spiral Toys, ditta dell’orsetto, subì una violazione di dati dei clienti del suo marchio CloudPets, che portò a un reset della password di 800.000 utenti. Esposte anche due milioni di registrazioni di messaggi.
Due episodi simili ma riferiti a due regolamenti diversi: il GDPR per il primo, con l’applicazione nello specifico dell’articolo 25, e l’adozione dei principi di Privacy by Design (il gioco deve essere progettato garantendo la sicurezza richiesta dalla normativa con riguardo al trattamento dei dati personali nella sua interazione con un bambino) e Privacy by Default (avere un’impostazione predefinita che assicuri la minor intrusione nella privacy dei bambini e delle loro famiglie); il COPPA (Children’s Online Privacy Protection Rule) per il secondo, essendo statunitense.
Elettrodomestici spia e violazioni della privacy, sia in America che in Europa, non sono rare. The Markup nel dicembre 2021 ha scritto che la popolare app per la sicurezza delle famiglie Life360 avrebbe venduto dati sulla geolocalizzazione di decine di milioni di famiglie americane, inclusi i bambini, a chiunque desiderasse acquistarli.