giovedì 4 luglio 2013

Messaggistica Incorporata - Qualche dubbio




Salve a tutti i lettori di questo blog, sono Emanuele Sabetta, uno dei coordinatori del Progetto Parlamento Elettronico del M5S.

Questo è il mio primo post, ed insieme ad altri membri del team vi parleremo dei problemi e delle questioni relative all'architettura del progetto che stiamo realizzando confrontandola con quella di altre piattaforme.

E' recente l'annuncio dei nostri amici del Partito Pirata di una nuova versione della piattaforma Liquid Feedback con messaggistica incorporata. 


Per quanto questa novità nella struttura di Liquid avvicini la piattaforma ai modelli comunicativi dei social network, rendendolo più vicino al modo di relazionarsi delle persone e quindi più fruibile, d'altro canto questa scelta non può che farmi sollevare alcune perplessità.


La messaggistica istantanea apre infatti una vulnerabilità che prima Liquid non aveva.


Con l'IM integrato in Liquid Feedback un utente malintenzionato potrebbe adottare la seguente strategia:


  1. Raccogliere il maggior numero di contatti di utenti nella rubrica IM integrata
  2. Creare una Issue o una sua Proposta
  3. Con uno script (programmato per fare le dovute pause per non essere intercettato e filtrato), spammare a tutti gli utenti messaggi istantanei in cui propaganda la sua proposta supportandone la validità con con informazioni false o con ingegneria sociale.
  4. Raccogliere i frutti di una esposizione pubblicitaria diseguale, che conferisce un vantaggio sleale alla proposta in questione. Profitto!

Si potrebbe obiettare che:

  1. Liquid Feedback ha un sistema che associa pubblicamente le email agli utenti, e permette già in teoria un simile abuso.
  2. La falsa propaganda può essere combattuta utilizzando il feedback degli utenti alle proposte, ovvero i suggerimenti e le proposte alternative, dove possono essere evidenziate le criticità e i difetti della proposta propagandata in modo sleale e con informazioni false.


Ma entrambi questi punti, per quanto validi, non riducono le mie perplessità.

Gli indirizzi email sono molto meno pericolosi dell'IM, per due differenti ragioni.

Per prima cosa tutti i gestori di email oggi sono dotati di filtri spam. Se qualcuno manda una email a 1000 utenti diversi, il sistema della casella elettronica attiva un algoritmo che le cestina automaticamente classificandole come spam. Un sistema di IM invece non è in grado proprio per la sua natura di immediatezza e comunicazione p2p di combattere efficacemente lo spam.

In secondo luogo, in Liquid Feedback (poiché solo il sistema deve inviare e ricevere email agli utenti) non è strettamente necessario che l'indirizzo email sia pubblico e quindi facilmente harvestabile dai bot. 
Nella nostra versione di Liquid "a 5 Stelle" ad esempio l'indirizzo email è proprio tra i dati personali non visibili, ed è tenuto criptato su una macchina distinta dal server, con db separato e non mirrorabile liberamente, una macchina dedicata solo all'invio delle email di notifica agli utenti.
L'email non ha infatti un valore di verifica (chiunque abbia accesso ad un server può crearsi una casella email e fingersi un'altra persona) e quindi pubblicarla non ha molta rilevanza in termini di trasparenza.

La falsa propaganda può essere combattuta bene usando i suggerimenti di Liquid solo finché si parla ancora di piccoli numeri di iscritti. Purtroppo non è così su scale maggiori. Su popolazioni di utenti come quelle del blog di Beppe Grillo, ad esempio, il numero di messaggi e commenti diventa talmente grande da rendere impossibile per l'utente medio leggerli tutti, e quindi si rientra nel caso dell'informazione incompleta.

Nelle strategie ad informazione incompleta (vedi: Callander, 2006), essendo la stima di veridicità del cervello umano approssimabile ad una stima Bayesiana (con le dovute eccezioni, vedi: Gigerenzer, 1999), vince chi immette nel sistema più informazioni e con più frequenza, in altre parole i messaggi degli utenti iperattivi seppelliscono rapidamente i messaggi dei singoli onesti. E' quindi inevitabile che gli iperattivi dominino qualsiasi votazione in cui siano aperti i commenti e le controinformazioni, sia che vogliano stroncare una proposta sia che vogliano sostenerla in complicità con il promotore.

Quindi una strategia che pagasse orde di utenti iperattivi per floodare i commenti con informazioni false vincerebbe sempre in mancanza di un sistema di moderazione.

E la moderazione non è applicabile in un sistema di eDemocracy, perché il moderatore diventerebbe immediatamente il punto debole di tutto il sistema: infatti una volta corrotti i moderatori si potrebbe manipolare l'informazione e il voto a piacimento bloccando o consentendo le azioni propagandistiche di questo o quell'utente. Questo ad esempio e' uno dei problemi della piattaforma Airesis, che concede all'autore della proposta poteri di moderazione. In questo modo ogni proponente può potenzialmente censurare tutti i commenti critici e le proposte contrarie, ottenendo sempre l'apparenza del sostegno unanime degli utenti alla sua proposta e la mancanza di elementi o dati che ne mettano in dubbio la validità.

In altre parole: l'unico modo di eliminare completamente la propaganda e i rischi della moderazione è ingabbiare l'input degli utenti in un sistema "sui binari", come Liquid Feedback già fa, in parte, con il sistema dei suggerimenti di modifiche. Noi abbiamo ulteriormente imbrigliato il feedback testuale limitando l'input a emendamenti diretti del testo, senza commenti su motivazioni o discussioni, e limitando il numero dei suggerimenti/emendamenti ad un massimo di due a settimana per ogni utente, con opzione di modifica/edit illimitata.

In questo modo l'input degli utenti è limitato allo stretto necessario per proporre una o due modifiche, rendendo Liquid una sorta di "seggio blindato" dove le proposte referendarie si possono postare sulla teca e sulla scheda di voto, e poi votare, ma nessuno può fare propaganda dentro il seggio. La discussione viene quindi spostata fuori e, grazie a link diretti, diffusa a pioggia nel web, evitando così ogni concentrazione e quindi facili colli di bottiglia comunicativi che faciliterebbero il lavoro degli spammer dandogli un singolo sito dove concentrare il loro lavoro di propaganda ed ottenendo così il massimo effetto propagandistico con il minimo sforzo. L'utente se vuole sapere se una proposta è migliore di un'altra, se un emendamento è giusto o sbagliato, deve essere costretto a chiederlo e ad informarsi nel web, non su Liquid stesso. Il web è il vero parlamento libero, liquid deve essere solo la cabina di voto blindata.

Infine i quorum sono certamente un ottima difesa, insieme anche alla media armonica dei sostenitori per ordinare i suggerimenti, ma se l'input è libero non bastano più.
Diventano facilmente superabili: sono sufficienti gruppi organizzati e pagati di utenti iperattivi per dare sostegno numerico più rapidamente e coerentemente di quanto farebbero in media cittadini normali e non coordinati. L'unione fa la forza, e bastano un centinaio di utenti pagati bene per manipolare la posizione di un elemento di qualsiasi classifica, anche includendo pesi e contrappesi nelle formule di ranking (nota: esistono in realtà dei sistemi di contrappesi che valutano anche il fattore temporale, riducendo il peso di sostegni dati tutti allo stesso item in un ristretto delta di tempo e che si discostano eccessivamente dalla normale curva di distribuzione statistica media, ma nel nostro sistema non potrebbero essere utilizzati perché darebbero falsi positivi. E' infatti una dinamica normale di internet che una proposta vada su un blog popolare e ottenga tutti i suoi sostegni nel giro di pochi minuti, per poi restare privo di input per giorni).

Comunque pur mantenendo le suddette perplessità, è bene ricordare che siamo tutti in una fase altamente sperimentale della democrazia diretta in questo momento della storia, quindi è un bene che i nostri amici del Partito Pirata sperimentino anche in direzioni nuove.

Magari potremmo scoprire che con l'Instant Messaging la rete di informazione e tam tam fatto dalla massa dei cittadini per smentire i dati e le informazioni false diviene più efficace grazie alla conoscenza diretta degli amici nei contatti, controbilanciando gli effetti negativi della propaganda che elencavo sopra.

E' sicuramente un orizzonte affascinante e tutto da esplorare.


UPDATE 7 Luglio 2013: I nostri amici del Partito Pirata ci hanno informato che la loro implementazione del sistema di messaggistica che hanno annunciato NON è quella classica dell'Instant Messaging, ma passa per l'email. Riporto quanto scrittoci da Carlo Von Lynx: "Non è un sistema di IM interno bensì la possibilità di lasciare un messaggio a un utente che gli viene recepito via e-mail. Se lo si fa in massa si può applicare logiche anti-spam, sia dalla parte dei provider in ricezione che dal liquid trasmittente." Sono felice di constatare ancora una volta che quando i Pirati fanno qualcosa lo fanno con grande consapevolezza e competenza, e mai con leggerezza. Questo conferma quanto da me detto sopra riguardo ai rischi dell'introduzione di strumenti social nelle piattaforme di eDemocracy, rischi che vanno sempre tenuti presenti. 



10 commenti:

  1. forza ragazzi aspettiamo qualcosa di veramente funzionale e che inspiri la partecipazione

    RispondiElimina
  2. Concordo nel dividere luoghi di discussione da luoghi di voto.
    LF deve essere blindato, con poche funzionalità, facili da controllare e usare.
    I luoghi dove il pensiero e le idee si formano sono altrove, e non solo sul web ma anche negli incontri fisici "meet up". Una volta deciso si va su LF e si vota. Punto.

    RispondiElimina
  3. Anche io,pur non essendo un informatico,condivido l'impostazione ed il concetto che il dibattito debba svilupparsi ovunque (famiglia,condominio,sala d'attesa dottore-sperimentato personalmente ieri pomeriggio-,lavoro ma anche tv,giornali e certamente in grandissima parte in rete)lasciando alla piattaforma la funzione di "sintesi",direbbero i vecchi politici,di tutto questo dibattere;credo però che sia cruciale partire in questo preciso momento storico per la riuscita di tutto il sogno della democrazia diretta.Attendo con trepidazione la conferenza stampa che avete annunciato per il 10 e più sommessamente un link su questo blog per poter effettuare qualche piccolo contributo alla causa.

    RispondiElimina
  4. concordo il problema che abbiamo dispersione sui dibattiti oggi ad esempio in Lombardia non sappiamo su quali temi lavora Milano, piuttosto che Bergamo. Nulla sappiamo dei Siciliani. Bisognerebbe trovare luoghi di dibattito sui tanti temi condivisi a livello nazionale. Trovare poi un modo per passare la sintesi su liquid

    RispondiElimina
  5. Credo anche io che, almeno in questa fase, introdurre la messaggistica sia rischioso e prematuro.
    Trovo che i paletti che limitano l'iperattività, che, se ho capito bene, avete introdotto in PE, siano molto importanti e vadano tarati col tempo, in base all'esperienza.
    Credo che sia importante fare in modo che il "tutti devono poter portare avanti una propria proposta" non vada confuso con il "tutti possono dire la prima cosa che passa loro per la testa". Perlomeno non in PE o LF che sia.

    RispondiElimina
  6. vorrei fare un appunto sulla moderazione di Airesis: il redattore della proposta può "integrare" i contributi che successivamente vanno a finire nella cronologia della proposta e non può eliminare commenti e contributi che non abbiano ricevuto almeno 5 richieste di cancellazione da parte di tutto il gruppo. In ogni caso tali contributi e commenti saranno visualizzabili anche dopo essere stati cancellati. Un redattore che si comporti in maniera da abusare di questo strumento verrebbe subito smascherato. Spero solo di aver chiarito il ruolo del moderatore di Airesis.

    RispondiElimina
  7. Complimenti a emanuele per la competenza stratosferica. Tutta questa attesa è stata evidentemente necessaria per gestire l'infinita complessità e per trovare l'equilibrio tra democrazia e difesa dai malintenzionati.

    RispondiElimina
  8. Grazie comunque per l'analisi, una lettura interessante

    RispondiElimina
  9. ho inserito un commento ma non ho ricevuto nessun feedback da front end. È voluta oppure è un'anomalia che disorienta l'utente?

    RispondiElimina
  10. Consiglio di filtrare gli IM attraverso un filter chain costituito da più proxy (GoF) per contare il numero di utenti ai quali si invia un IM, le assonanze di testo, la frequenza di IM di un utente a persone diverse.
    La chain chiede il permesso ad un motore di regole basato sullo storico di invii da parte dell'utente per inviare i successivi messaggi

    Un amico discreto

    RispondiElimina