L'infelice vicenda della #PasswordDiStato

Pur sovrastata dalle notizie giustamente più importanti sulle tensioni internazionali, non è passata sotto silenzio (almeno tra gli addetti ai lavori), anzi ha suscitato un discreto putiferio, l'intervista radiofonica della ministro dell'innovazione in cui proponeva una "password di stato" per ogni cittadino, utile non solo per l'autenticazione verso i servizi online della Pubblica Amministrazione, ma anche per tutti gli altri. Putiferio che è stato seguito da due precisazioni via social della stessa ministro, e dalle prese di posizione più o meno autorevoli da parte della stampa e della politica.

Premetto che (spiegherò tra poco il perché) ho seguito poco il putiferio, le precisazioni e le prese di posizione; ma quel poco che ho sentito si annovera maggiormente nel calderone delle "poche idee ma ben confuse". E quindi non potevo esimermi dal dire la mia.

Conoscere la "proposta"

Per iniziare, consiglio l'ottimo riassunto della vicenda, che include anche i leciti dubbi che comunque ogni buon informatico deve porre, di Paolo Attivissimo.

Vale la pena anche questo breve articolo che la stessa ministro ha postato su Linkedin.

Cosa ho capito io

Personalmente, ho sentito per la prima volta parlare di questa vicenda con una segnalazione della (prima?) precisazione, per cui per me la questione si era già parzialmente sgonfiata. Per farla breve, a me è sembrato che la prima reazione all'intervista radiofonica abba indotto molti, sentendo l'espressione "password di stato", a pensare che si trattasse di un sistema di autenticazione unico, fornito dallo Stato, in cui la password viene impostata dallo Stato stesso e non è modificabile da noi. La posizione (dopo il chiarimento) della ministro fa riferimento invece al potenziamento dell'utilizzo della SPID anche verso servizi non necessariamente relativi ai pubblici servizi o alla pubblica amministrazione.

Glossario minimo

Prima di passare alle mie opinioni, bisogna capire di che stiamo parlando.

L'autenticazione, nel mondo informatico, è quel processo che verifica l'identità di un utente. Nella stragrande maggiornanza dei casi, ciò avviene attraverso l'inserimento di due  parametri: il nome utente (che non è segreto), che lo identifica; e la password (segreta) che lo conferma. Il sistema funziona solo e soltanto se l'utente è l'unico a conoscere la sua password. Per ovviare a tutti i problemi che questo sistema ha, sono stati implementati altri sistemi come l'autenticazione a 2 fattori (oltre alla password si richiede un ulteriore codice di verifica legato ad un oggetto posseduto, come lo smartphone) e la biometria (impronte digitali, riconoscimento facciale).

La SPID è un sistema di autenticazione che prevede una verifica preventiva dell'identità reale dell'utente e sia ad essa collegata a tutti i fini di legge, per cui ogni operazione effettuata tramite la SPID è riconducibile ad un preciso cittadino italiano (in realtà essendo un'implementazione italiana di una direttiva europea, la SPID è utilizzabile anch in tutti i paesi UE e gli equivalenti sono utilizzabili in Italia). Attualmente la SPID è gestita da 9 operatori privati per conto dello Stato, ed è gratuita (per i primi due anni). Molti servizi pubblici centrali la richiedono (INPS, Agenzia delle Entrate, etc) mentre molti servizi locali ancora no.

La mia opinione

1.  È evidente che l'espressione "password di stato" sia stata infelicissima; ciò nonostante, ritengo che l'idea di una password imposta dallo Stato fosse così balzana che nemmeno i nostri più scriteriati amministratori della cosa pubblica potessero concepirla, e che essa sia frutto solo delle più becere propagande ideologiche e politiche che infestano i media italiani ed i social
2. Chiarito che si parla della SPID, l'idea di un suo utilizzo per i servizi online più disparati pone una serie di problematiche ben descitte da Attivissimo nell'articolo precedentemente segnalato, per cui la ritengo poco praticabile
3. Tuttavia, se l'alternativa alla SPID (sempre per i servizi online non pubblici) è quella di utilizzare sempre la stessa password, o peggio le credenziali di Facebook, Google, Twitter o Linkedin, allora siamo alla demenza più totale: meglio mille volte il nostro Stato, per quanto malandato (sotto tutti i punti di vista), piuttosto che privati colossi esteri bramosi di raccogliere e rivendere al miglior offerente tuttle le informazioni possibili su di noi
4. Quanto appena detto vale esclusivamente se con "Stato" intendiamo le istituzioni al servizio del cittadino, e non organizzazioni private legate a doppio filo a questo o quel partito (per essere chiari: Casaleggio)
5. Il paventato pericolo che dall'uso della SPID lo Stato raccolga informazioni su di noi che non avrebbe avuto altrimenti, è reale; ma non è nemmeno un automatismo, tecnicamente svincolare completamente il processo di autenticazione da ciò che avviene dopo è fattibile; ed il legame (questo sì, inevitabile) che rimane tra ciò che facciamo e la nostra identità può essere regolato correttamente secondo la normativa europea sui dati personali (da notare che il ministro stesso su Linkedin fa riferimento alla necessità di interpellare il Garante, come previsto dalla legge ma mai avvenuto in casi precedenti...)
6. Fatto salvo tutto questo, il problema ultimo che nessuno sembra voler affrontare è che la maggioranza della popolazione italiana, semplicemente, non è in grado di capire ed utilizzare gli strumenti che gli vengono messi a disposizione; finché sarà così, a mio parere parlare di "innovazione" (soprattutto da parte di chi non ha le competenze per capire cosa significhi) è totalmente inutile.
   

Computer quantistici, rivoluzione presunta

Pochi giorni fa, Google ha annunciato di aver raggiunto la supremazia quantistica, ossia di aver fatto funzionare un computer quantistico per effettuare in 200 secondi un calcolo che un computer tradizionale avrebbe fatto in 10000 anni.

Non voglio qui spiegare cos'è un computer quantistico (è comunque una tecnologia di cui si parla da decenni), ma analizzare le conseguenze del suo avvento (che, sia chiaro, non è poi così imminente: siamo ancora in fase di prototipi, la commercializzazione per i comuni mortali è ancora lontana).

La prima e più evidente conseguenza riguarda le nostre "amate" password: se oggi, con i pur potentissimi computer moderni, le password da 8 caratteri (purché non banali) sono considerate abbastanza sicure, l'avvento dei computer quantistici le renderà sostanzialmente inutili perché indovinabili in pochi secondi.

In pratica, per mantenere lo stesso livello di sicurezza di una password da 8 caratteri, bisognerà passare a una da 13 o 14 caratteri. Sopravviveremo.

Una seconda considerazione invece deriva dal fatto che dovrebbero diventare molto più veloci quei calcoli che oggi sono i più complessi: le simulazioni.

Le simulazioni servono principalmente per fare previsioni: a partire da quelle del meteo (o del clima), e via via dinamiche varie, da quelle delle traiettorie dei corpi celesti, all'evoluzione sociale umana, etc. Il vero problema delle simulazioni non è però la quantità di calcoli necessaria: è la conoscenza reale del fenomeno che si vuole simulare, e la capacità di trasformarla in un modello matematico.

Primo esempio: le leggi che governano l'evoluzione dell'universo sono ormai acclarate con un buon grado di certezza; in questo caso, la capacità di calcolo dei nuovi computer permetterà sicuramente di andare oltre le nostre capacità attuali, permettendo nuove scoperte.

Secondo esempio: l'evoluzione del clima è probabilmente il problema con complessità più elevata che si affronti ai nostri giorni; ma al contrario di quello che la narrativa mediatica racconta, le dinamiche ed i fattori che la regolano sono note con estrema approssimazione (cioè: nessuno ne capisce ancora quasi nulla). Se i modelli di oggi falliscono nel fare previsioni accurate, il computer quantistico che userà gli stessi modelli permetterà di avere sì previsioni a più lungo termine, ma ancora più inaccurate ("propagazione dell'errore").

Ad onor del vero, la possibilità di aumentare i calcoli eseguibili permetterà di eliminare le approssimazioni che vengono volutamente introdotte nei modelli proprio per limitare il tempo necessario all'esecuzione dei calcoli; quindi un vantaggio, com'era prevedibile, si ha comunque.

Ma in ogni caso, senza l'intelligenza umana, anche il computer quantistico rimane un inutile ammasso di (costosissima) ferraglia.

AGGIORNAMENTO: IBM contesta la misura della prestazione rispetto ad un computer tradizionale, cioè lo stesso calcolo che il computer quantistico di Google ha fatto in 200 secondi, un computer di IBM lo avrebbe eseguito in circa 2 giorni e mezzo, invece di 10000 anni. Una bella differenza, che comunque non sminunisce il salto tecnologico; personalmente non sono in grado di giudicare chi abbia ragione, semplicemente la posizione di IBM mi sembra più plausibile.

AGGIORNAMENTO 2: un altro interessante articolo (anche se abbastanza tecnico), sostiene che in pratica il "calcolo" eseguito da Google non ha una reale utilità; ma la parte interessante è che pare che al momento i computer quantistici non siano programmabili nel senso tradizionale del termine. Questo vuol dire che finchè non sarà superato questo limite (se mai lo sarà), il computer quantistico sostanzialmente non serve a nulla! Lunga vita al computer tradizionale... ed ai programmatori.

#AbbandonoChromeos La conversione

Qualcuno dei miei lettori ricorderà la serie di post con cui ho raccontato la scelta di abbandonare Windows e di passare a ChromeOS, anche se con una buona aggiunta di Linux. Orbene, tutto andava benissimo (vabbé, diciamo abbastanza bene), quando a luglio mi appare l'avviso che il mio ChromeBox non avrebbe più ricevuto aggiornamenti perché erano passati i canonici (per Google) 5 anni rispetto all'uscita del modello. E l'integrazione delle applicazioni Linux, che aspettavo da 3 anni???

A questo punto, non potendo restare senza aggiornamenti di sicurezza (le basi!!!), scelta obbligata: visto che l'hardware è ancora buono (è pur sempre un i7), si passa ad un Linux tout court. A dire la verità, non me la sono sentita di sovrascrivere definitvamente ChromeOS, perché non si sa mai... ho preferito il dual boot. Quale distribuzione? Semplice: a fine giugno è stata rilasciata la versione 3 di GalliumOS, una distribuzione Linux fatta apposta per i Chromebook, che ora è basata su Xubuntu 18.04, cioè esattamente la distribuzione che uso sul laptop di lavoro. Ciò significa stesse applicazioni, stessi aggiornamenti, stesso tutto.

Quindi una sera dello scorso weekend, tra una partita di pallavolo ed un altra, sono partito con l'installazione. Premesso che avevo già partizionato la SD card, scaricato e scritto l'immagine della distribuzione su una USB, in 1 (una) ora ero operativo. 40 minuti di installazione/aggiornamenti e 20 per installare le applicazioni (poche, in verità... molte erano pre-installate, essendo opensource, mica come Windows!) e fare qualche configurazione (tipo l'import dei favoriti del browser). E indovinate quante volte si è riavviato durante l'installazione? Beh, una, alla fine dell'installazione. E quante licenze da accettare, permessi per la privacy, configurazioni varie mi ha chiesto? Beh, una: lo username e password. Anche il fuso orario aveva indovinato.

In realtà era una cosa che avrei voluto fare prima, quella di passare ad un Linux vero; ma mi bloccavo perché GalliumOs era fermo ad una vecchia versione, e comunque quando era strettamnte necessario avevo il laptop a disposizione. Perché il sistema ChromeOS + Linux in chroot, alla fine, aveva dei limiti, tipo che per colpa dei driver della scheda video non riuscivo a vedere i filmati FullHD a pieno schermo: ora invece sì.

E poi adesso ho potuto approfittare anche per un'altra prova: usare Firefox come browser principale invece di Chrome (che non ho nemmeno installato, finora). Un primo, timidissimo passo di emancipazione da Google (ma ci vuole molto tempo e molta volontà per farlo sul serio).

Le alternative esistono. Basta provarle.

Guerre virtuali, attacchi reali

La notizia è passata sui giornali quasi come fosse solo una curiosità: Trump ferma i bombardieri  diretti in Iran e invece ordina l'attacco cybernetico. Pieno successo, dicono gli americani; nessun danno, dicono gli iraniani: certo, il campo di battaglia è virtuale, come possiamo noi sapere veramente cos'è successo? Oltretutto le infrastrutture attaccate erano militari, quindi il segreto è d'obbligo. Comunque nessuno si è fatto male e siamo tutti contenti.

Resta il fatto che la guerra digitale, forse per la prima volta, è stata preferita a quella tradizionale. Buona notizia, senz'altro: ma non così buona come potrebbe sembrare ai meno attenti. Bene ha fatto il Generale Rapetto a rimarcarlo immediatamente.

Analizziamo la situazione. La guerra totale (cioè quella che coinvolge la popolazione civile per fiaccare la volontà di resistenza di una nazione o popolo) ha raggiunto il suo massimo nella seconda guerra mondiale, ma non è certo una novità del secolo scorso. Strategicamente parlando, per costringere una nazione alla resa devi fiaccarla economicamente (distruggendo le industrie e la produzione alimentare) e socialmente (attraverso sofferenze così atroci da rendere preferibile qualsiasi altra cosa, incluse le condizioni imposte per la resa). Gli strumenti sono stati per secoli bombardamenti, violenze, fame,  distruzioni indiscriminate.

Il problema è che ora gli stessi scopi possono essere raggiunti attraverso strumenti virtuali che però hanno conseguenze estremamente reali: semplicemente perché ormai tutta l'economia e la società si è digitalizzata. Non ci credete? Qualche esempio, ispirato da episodi reali.

Industrie, ospedali, trasporti bloccati per giorni da un virus (informatico, s'intende).

Sistemi di controllo di impianti idraulici accessibili via internet (pensate a cosa succederebbe aprendo completamente, all'improvviso, le chiuse di una diga).

Conti correnti e risparmi spariti cancellando i database delle banche.

Grandi flussi di notizie fasulle e contraddittorie sui social ma anche sui giornali "ufficiali".

Blackout energetico indotto da attacchi "denial of service".

Esami diagnostici modificati o cancellati.

Finché tutto ciò è episodio singolo e sporadico causato da un gruppetto di hacker, poco male (si fa per dire); ma se invece una nazione attaccasse deliberatamente un'altra con azioni coordinate e simultanee effettuate da esperti? L'effetto potrebbe essere che una mattina ci troviamo senza luce, gas, telefonia, coi campi agricoli allagati, i trasporti bloccati, impossibilitati a pagare nei supermercati (ammesso che siano aperti), soccorsi impantanati nella mancanza di comunicazioni, tutti senza sapere cosa sta succedendo ed in balia delle voci che girano incontrollate. Una situazione in cui i morti non li troveresti tutti insieme sotto le macerie dei bombardamenti; li troveresti nelle strade, a poco a poco, mano mano che il caos ed il panico si espande.

Fantascienza? Trama di film catastrofici? Pensare che quello appena descritto sia uno scenario impossibile è semplicemente da criminali (o stupidi, se preferite), tanto è vero che l'Unione Europea ha varato una Direttiva (la 2016/1148, detta "NIS") che impone agli stati membri di individuare i gestori di infrastrutture critiche, che a loro volta, sulla base del loro livello di criticità, devono dotarsi di misure di sicurezza (sia tecniche che organizzative) contro gli attacchi informatici. Anche la vicenda Huawei può essere presa ad esempio (anche se in questo caso credo prevalgano gli aspetti economici): se gli USA basassero le loro infrastrutture critiche su dispositivi fabbricati in Cina, si esporrebbero all'enorme rischio di subire attacchi del genere appena descritto che vengono veicolati in modo nascosto proprio attraverso quei dispositivi.

L'era dei bunker antinucleari è finita da un pezzo: inizia ora quella della cybersecurity.

Breve storia di una foto farlocca

Il 24 dicembre 2018, ovviamente vigilia di Natale, l'Etna si fa notare per un'attività piuttosto intensa (prevista da mesi, pare): sciame sismico, eruzione, e spettacolare nube di fumo e cenere, le cui foto fioccano sui social. Per un mio personalissimo interesse di materie geologiche, seguo un po' su twitter l'evolversi della questione: tra tante foto prese da terra, ad un certo punto compare questa, presa senza ombra di dubbio dalla Stazione Spaziale Internazionale:

Si vede chiaramente la Sicilia con l'Etna in eruzione. Ma a me sta foto non torna: primo, mi sembra di averla già vista; secondo, la nube è verticale, mentre le foto da terra riprendono tutte una nube quasi orizzontale a causa del vento che spira da nord-ovest. Con una banalissima ricerca con Google, trovo questa segnalazione, da La Repubblica:

la cui data risale al 2013: bingo! Prendo una delle condivisioni e la retwitto facendo presente che è una foto vecchia; peccato che fino a sera continuano tranquillamente le ricondivisioni della foto farlocca, del mio avviso invece ricevo solo un paio di notifiche di "interazioni".
Per scrupolo, controllo poi che effettivamente sia stata scattata da Luca Parmitano (mai fidarsi, nemmeno dei giornali importanti), ed usando TynEye, tra i vari risultati, ecco qua:

Inoltre, la foto è anche presente nella gallery della missione Volare.

In conclusione: qualcuno ha preso una vecchia foto dell'Etna in eruzione dallo spazio e l'ha postata come fosse fresca fresca, e mi riesce difficile pensare che l'abbia fatto inconsapevolmente. Perché? Mania di protagonismo? Facile caccia dei like? Non lo so. Quello che so è che meriterebbe di essere portato in cima all'Etna a controllare mooooolto da vicino l'eruzione. E che, per noi, è assolutamente vietato fidarsi ciecamente di ciò che viene postato sui social, soprattutto in occasione di eventi più o meno gravi.

Tutti pazzi per la fibra (e il 5G)

A metà anni '90, forse nel 1997, all'incrocio davanti a casa dei miei genitori un giorno iniziò un cantiere, uno dei tanti: la particolarità di questo è che il "buco" rimase aperto 3 mesi in cui non si vide nessuno a lavorarci. Sapemmo poi che si trattava del Progetto Socrate, ossia il primo tentativo, dell'allora monopolista Telecom, di cablaggio in fibra ottica per la cosiddetta banda larga. Appena aperto il buco, il progetto fu sospeso (e poi annullato) perché era stata sviluppata la tecnologia ADSL, che sfruttava il doppino telefonico già presente in tutte le case. Oggi, sempre davanti a casa dei miei genitori, un cantiere (stranamente veloce) stende cavidotti per la fibra ottica, che peraltro arriva già a 200 metri in uno dei cabinet TIM.

Sempre in tema di banda larga, l'asta di assegnazione per le frequenze del 5G, ossia la prossima tecnologia di connettività dati per i dispositivi mobili, ha ottenuto un introito del 50% superiore rispetto al previsto. Insomma, banda larga per tutti.

Ma cos'è 'sta banda larga, e come la utilizziamo (e utilizzeremo)?

Il termine banda larga è usato come sinonimo di internet veloce, dove veloce significa che i dati fluiscono in quantità maggiore a parità di tempo. L'unità di misura è il bit per second (bit al secondo), indicato come bps. Le velocità attuali, come molte altre unità di misura, necessitano dei moltiplicatori standard:

• k, ossia kilo, che corrisponde a mille
• M, ossia Mega, che corrisponde ad 1 milione
• G, ossia Giga, che corrisponde ad 1 miliardo
• T, ossia Tera, che corrisponde a 1000 miliardi

Tanto per fissare le idee: i primi modem andavano a 56 kbps, utilizzando sostanzialmente la capacità normale dei doppini telefonici; l'ADSL arriva fino a 7 Mbps (oggi fino a 20) sfruttando capacità oltre quelle normali dei doppini; la fibra ottica va nell'ordine dei Gbps (nella pratica è molto variabile a seconda di come è fatto il cavo, il tipo di luce, etc.). Nel mobile, il 4G viaggia nell'ordine dei 50 Mbps col 5G che potrebbe arrivare a 400 e oltre (teorici). Il Tbps è attualmente appannaggio solo dei laboratori di ricerca.

Quello che occorre sapere è che la velocità effettiva che ognuno di noi sperimenta a casa sua (o sul suo smartphone) dipende anche dalla lunghezza dei cavi (o dalla distanza in linea d'aria) rispetto all'ultimo ripetitore di segnale: questo semplicemente perché i segnali che codificano i bit si attenuano all'aumentare della distanza, e ciò corrisponde ad una diminuzione della velocità (capire il perché richiede nozioni di elettromagnetismo e teoria dei segnali). La fibra ottica ha in proporzione un'attenuazione molto inferiore rispetto al doppino in rame, ed è il motivo per cui viene utilizzata per le grandi distanze; ovviamente ha un costo molto superiore (ed è delicatissima). Questo è il motivo per cui la fibra ottica non arriva quasi mai dentro casa, ma si ferma negli armadi (o centraline) stradali: stendere un cavo in fibra fin dentro ogni appartamento ha costi esorbitanti rispetto ad utilizzare il già presente doppino. D'altra parte, su distanze brevi (diciamo entro i 500 metri), con le tecniche attuali il doppino è in grado di supportare velocità di tutto rispetto, superiori ai 30 Mbps fino a circa 100 per distanze brevissime (qualche decina di metri). Ecco perché oggigiorno il metodo più comune di portare la banda larga a casa è il misto fibra-rame: i cavi in fibra ottica arrivano fino agli armadi stradali, dove i segnali delle varie utenze vengono ridistribuiti sui singoli doppini, ognuno dei quali avrà una lunghezza che determina le prestazioni effettive.

A proposito dei costi, bisogna evidenziare che pure gli apparati di rete che si trovano nelle centrali, centraline ed armadi hanno differenze significative a seconda delle tecnologie che possono supportare. Questo è principalmente il motivo per cui in Italia la banda larga stenta ad arrivare in alcune zone, che sono poi quelle a minore densità abitativa (tipicamente disagiate anche per altri servizi): i ritorni economici non giustificano gli investimenti. Questo problema non si è risolto nell'epoca dell'ADSL, mentre ora è lo Stato a finanziare i lavori di cablaggio in fibra ottica delle zone a minore ritorno economico per gli operatori, anche perché la banda larga è ritenuta indispensabile per lo sviluppo economico italiano al pari di altre infrastrutture più tradizionali. A vegliare su tutto c'è l'Agenzia Garante per le Comunicazioni, che tra le altre cose ha sul suo sito una mappa degli accesi internet disponibili e delle velocità teoriche raggiungibili (per verifiche più di dettaglio, a livello di singolo numero civico, ho trovato utile quest'altro sito).

D'altra parte, la velocità è davvero così importante? Risposta breve: dipende... ☺

La realtà è che per visualizzare un testo bastano pochi kbps; per una foto qualche centinaio di kbps; per video "normali" (tra questi includiamo anche la fastidiosissima pubblicità e quelli fatti dagli smartphone), 1 Mbps. I servizi realmente bisognosi di tanta banda (cioè velocità) in ambito casalingo sono:

• Media streaming in alta definizione (la tv via web)
• Videogiochi online
• Videoconferenza in alta definizione (Skype ed affini)

Tanto per dare un'idea, nei giorni scorsi, e più di una volta, una ADSL da 10 Mbps ha sostenuto contemporaneamente due streaming in diretta (sport, ovviamente...) di cui uno in alta definizione. Inoltre, a differenza di ciò che qualche volta viene detto, la domotica, IoT, telemedicina, telelavoro, etc, per non parlare dei social, non hanno bisogno di alte velocità, quanto invece di affidabilità (e questo è più funzione dell'operatore, ossia dell'Internet Service Provider).

Ma allora perché la banda (ultra)larga è così importante oggi? In realtà, non lo è, ma lo sarà probabilmente a breve. Cisco stima, sulla base della tendenza attuale, che nei prossimi 5 anni transiterà su internet la stessa quantità di dati che è transitata dall'inizio fino a oggi. Una buona ADSL è ancora una soluzione più che accettabile (a meno di esigenze particolari), certo è "a scadenza", cioè non lo sarà più tra pochi anni, ma nel frattempo speriamo la fibra, o gli altri metodi alternativi, siano arrivati dappertutto.

Ancora niente banda larga via cavo? Esiste l'alternativa senza. A parte le già citate 4G e 5G per i dispositivi mobili (il cui problemi principali sono la copertura non completa, e la condivisione della banda), esistono tecnologie per collegamenti fissi che utilizzano collegamenti via radio. Necessitano di un'antenna che punti verso il ripetitore; a prezzi ragionevoli si hanno offerte con velocità intorno ai 30 Mbps (anche in questo caso, conta la distanza). Il problema di questa tecnologia è la necessità della vista libera tra antenna e ripetitore, il che rende il servizio non sempre disponibile (banalmente, se la casa è dietro un'altura o esposta dal lato sbagliato), e potrebbe non diventarlo a causa di eventi naturali, come la crescita degli alberi.

Tutta colpa dell'Algoritmo

"Facebook cambia algoritmo", "Algoritmo impazzito", "Twitter sconfessa l'algoritmo": sono solo alcuni (estratti di) titoli di notizie recenti che hanno a che fare il mostro dei nostri tempi: l'algoritmo. Pochi giorni fa, ad un convegno in tema di privacy, una stimatissima professoressa di Diritto ha confessato che deve farsi aiutare dai tecnici a capire cosa vuol dire che "si è perso il controllo dell'algoritmo". Ne ha ben ragione: non ne ho idea neanch'io, di cosa vuol dire. Ma alla fine, cos'è 'sto algoritmo?

Dal Dizionario della lingua Italiana di De Mauro:

matematica: insieme di regole per la risoluzione di un calcolo numerico; gener., procedimento matematico
informatica: insieme di regole che forniscono una sequenza di operazioni atte a risolvere un particolare problema

Le parole su cui bisogna soffermarsi sono: regole, procedimento, risoluzione. Lo scopo di un algoritmo è trovare la soluzione di un problema; è composto da un procedimento e delle regole. Tutto qui; ma per capire meglio, guardiamolo un algoritmo (ho scelto quello che era mitico all'università, il bubble sort, che è il più efficiente tra i procedimenti di ordinamento):

Immagine tratta da: http://ivandelvecchio.altervista.org/informatizziamoci/ordinamento-bubble-sort-array/

In pratica, presa una sequenza di elementi, si procede a scambiare ripetutamente quelli che non rispettano l'ordinamento, finché non si arriva alla sequenza ordinata. Facile no?

In realtà, quello che mi preme sottolineare è che un algoritmo non è altro che un procedimento logico per risolvere un problema. Niente di più. Un frutto dell'ingegno umano. Che poi deve diventare qualcosa di realmente utilizzabile, tipicamente un programma software: il che vuole dire che qualcuno, che non è quasi mai chi ha "inventato" l'algoritmo, lo traduce in un linguaggio di programmazione, diventando, appunto, il programma (o parte di esso). In realtà, vale anche il viceversa: ogni programma non è altro che l'implementazione di uno o più algoritmi, che magari esistono solo nella testa del programmatore.

Ovviamente niente vieta che un algoritmo possa essere sbagliato (cioè non risolve correttamente il problema), o che lo sia il corrispondente programma (cioè il software non fa quello che prevede l'algoritmo); ma se si effettuano i dovuti controlli, la questione è marginale.

Che c'azzecca tutto ciò con gli algoritmi che impazziscono? Niente, appunto. Un algoritmo (o il computer attraverso il programma) fa ciò che gli viene detto. Il risultato è sbagliato se l'algoritmo (o il corrispondente programma) è sbagliato. Punto. A parte questo, non esistono algoritmi buoni o cattivi: buono o cattivo è lo scopo, o il risultato, dell'algoritmo.

Fin qui la teoria; la pratica è un po' più complicata. Perché gli algoritmi che, secondo alcuni, impazziscono, sono enormemente più complessi dell'esempio che ho proposto; ed è piuttosto comune (mi rifiuto comunque di considerarlo normale) che i suoi errori siano evidenziati in situazioni estreme, tipicamente dati enormi o molto diversi da quelli attesi da chi ha sviluppato l'algoritmo.

Gli algoritmi sono diventati famosi, uscendo dalle buie stanze dei nerd, con l'informatizzazione di massa, e da quando hanno iniziato ad avere effetti sulla vita dell'uomo comune: oggi vanno per la maggiore quelli che, a seconda dello scopo (o meglio, della tipologia di scopo) prendono il nome di Big Data, Intelligenza Artificiale, Machine Learning, e compagnia bella. Tutta roba bellissima per chi la studia, un po' meno per chi la subisce. Intanto perché l'abuso di questi algoritmi ci limita la libertà di scelta (vedi i risultati dei motori di ricerca: quelli che dovrebbero essere i più pertinenti sono scelti in base a criteri che non possiamo controllare); e poi perché molte volte nemmeno è chiaro come e perché si usano queste tecniche avanzatissime.

Facciamo un altro esempio, e lo prendiamo dal mondo dello sport, in particolare dalla pallavolo (chi mi conosce non ne resterà stupito). Esiste da anni la "moviola" in campo, per diverse situazioni; per stabilire la palla dentro o fuori, esistono in realtà due tecniche, una "reale" (telecamere ad alta velocità e risoluzione poste in corrispondenza alle linee) ed una "virtuale" (ricostruzione tridimensionale della traiettoria del pallone, lo stesso metodo usato nel tennis, cosiddetto occhio di falco).

 

Nessun dubbio che l'algoritmo alla base di "occhio di falco" sia corretto; tuttavia, basandosi sulla ricostruzione della traiettoria nello spazio a partire dalle immagini riprese da apposite telecamere che coprono tutto il campo (una tecnica, chiamata motion tracking, usata da più di 20 anni nel cinema, per esempio così fu generato Gollum nella trilogia del Signore degli anelli), richiede un'attentissima calibrazione e posizionamento per garantire precisione. Ma se hai una tecnica più semplice, e che non ti lascia nessun tipo di dubbio, perché usare un artificio, per quanto bellissimo e precisissimo? Eppure la prima viene utilizzata nelle competizioni italiane, e la seconda in quelle internazionali, ormai da diversi anni!

In conclusione, fermo restando che non sono gli algoritmi ad impazzire (è sempre e solo l'intelligenza umana a venire meno), è la dipendenza da essi il vero male della nostra società iperconnessa. Dove non portino effettivo beneficio per la comunità, è nostro dovere difenderci rifiutandoli, invece di lamentarci o, peggio, adeguandoci passivamente.

N.B. Il post è nato da un'idea di qualche giorno fa, ma non è un caso che sia stato scritto il giorno della finale del campionato mondiale femminile di pallavolo... serviva anche a smaltire la delusione della sconfitta (che non ha avuto nulla a che fare con decisioni arbitrali).