Nel settembre 2025 un leak ha mostrato un sistema cinese che assegna a ogni persona un punteggio di rischio prima di qualunque atto. La domanda spontanea è se funzioni. È la domanda sbagliata: conta cosa produce il solo fatto che esista e perché la stessa logica lavora già nei nostri archivi.
Geedge Networks è un'azienda cinese che produce e vende sistemi per sorvegliare e filtrare il traffico internet su scala nazionale: gli strumenti con cui uno Stato decide cosa i suoi cittadini possono vedere online e tiene sotto osservazione ciò che fanno in rete. Nel settembre 2025 oltre centomila dei suoi file interni sono finiti online, analizzati dai ricercatori dell'InterSecLab della Vanderbilt University e ricostruiti in un'inchiesta del New York Times.
Tra quei documenti c'è una funzione da isolare dal resto. Non perché sia la più clamorosa ma perché è la più precisa. Il sistema non si limita a registrare ciò che gli utenti di una rete fanno, scrivono, cercano. Calcola, per ciascuno, un grado di rischio. Un numero che non descrive un comportamento avvenuto: anticipa una traiettoria.
È un dettaglio tecnico e proprio per questo è facile leggerlo come una variante più aggressiva della solita sorveglianza. Lo è, in un senso quantitativo. Ma c'è un cambiamento qualitativo che conviene non lasciarsi sfuggire, perché è lì che sta tutto il peso della questione. L'oggetto del controllo si è spostato. Non è più quello che hai fatto. È quello che, secondo il calcolo, potresti fare.
Dallo specchietto al parabrezza
La sorveglianza che conosciamo guarda indietro. Raccoglie tracce, le conserva, le interroga quando serve un colpevole o un sospetto. È retrospettiva per costruzione: ha bisogno di un atto, di un fatto già accaduto a cui agganciarsi. Anche nelle sue forme più invasive, lavora sul passato. Ti osserva per ciò che hai commesso.
Il sistema documentato in casa Geedge (la linea commerciale si chiama Tiangou Secure Gateway, e l'azienda è legata a Fang Binxing, l'ingegnere considerato l'architetto del Great Firewall) fa un'altra cosa: guarda avanti, assegna un rischio prima che ci sia un atto a cui riferirlo. La traccia raccolta non serve a ricostruire cosa è successo, serve a stimare cosa succederà. Lo specchietto retrovisore diventa parabrezza.
Sembra una distinzione sottile ma non lo è. Nella sorveglianza retrospettiva, per quanto pervasiva, resta in piedi un principio elementare: sei giudicato per qualcosa che hai fatto. Puoi non aver fatto nulla, e allora non c'è niente da osservare. La soglia dell'atto, qualunque atto, è ciò che separa la persona libera dalla persona sotto inchiesta. Sposti l'oggetto sulla traiettoria e quella soglia evapora. Non devi aver fatto nulla per avere un punteggio. Ti basta esistere dentro un modello che ti calcola.
Conviene soffermarsi su cosa fa, in concreto. Il Tiangou Secure Gateway è un'infrastruttura che si installa a monte, al livello dell'operatore telefonico: ispeziona il traffico in transito (deep packet inspection), riconosce e blocca VPN e strumenti di aggiramento, rallenta o interrompe le connessioni, e àncora ogni attività a un singolo abbonato, in tempo reale. Su quella base costruisce il profilo: secondo i documenti analizzati da InterSecLab e dal New York Times, incrocia cronologia di navigazione, tabulati telefonici e posizione ricavata dalle celle, e dà tutto questo in pasto a modelli di intelligenza artificiale che stimano chi potrebbe diventare, in futuro, un oppositore. Il punteggio non resta un'astrazione: nella stessa piattaforma che lo calcola ci sono le leve per limitare l'accesso, filtrare, sorvegliare la persona a cui si riferisce.
Il sistema è documentato in uso nello Xinjiang e in esportazione: Kazakhstan, Pakistan, Myanmar, Etiopia. È un prodotto. Ha clienti. Questo è il primo fatto da tenere in considerazione. Il secondo arriva quando si prova a fare la domanda che a tutti viene spontanea.
La domanda sbagliata
La domanda è: ma funziona? Può davvero prevedere chi diventerà un oppositore? Perché se la risposta è no, se i falsi positivi sono troppi, se il modello scambia per pericoloso chi non lo è, allora siamo davanti a un'illusione tecnica, ingegneria della paura più che tecnologia reale. Un sistema che non azzecca le previsioni non è potere, è propaganda. E la propaganda, almeno, si può smascherare.
È un'obiezione seria ed è la più diffusa. Ha solo il difetto di presupporre che il sistema debba indovinare per funzionare. E la questione è tutta qui, perché è il punto su cui ruota tutto il resto.
Un apparato di anticipazione non ha bisogno dell'accuratezza che promette. Ha bisogno di esistere, di essere temuto e di farsi conoscere. Il suo prodotto non è la previsione corretta: è il comportamento di chi sa di essere previsto. Nel momento in cui una persona apprende che un punteggio di rischio la accompagna (che certe ricerche, certi contatti, certi silenzi spostano un numero che qualcuno legge), comincia a regolarsi su quel numero. Non perché il numero sia giusto ma perché c'è. La conformità si fa preventiva: non risponde a una sanzione subita, anticipa una sanzione possibile.
Non è lo scenario di Minority Report, dove la macchina vede davvero il futuro e il dramma nasce dal raro errore di previsione. Qui è più radicale: il sistema non ha bisogno di vedere niente di vero. Gli basta che tu sappia di essere calcolato.
In questa logica l'inaccuratezza smette di essere un difetto. Diventa un moltiplicatore. Se il sistema colpisse solo i veri oppositori, gli altri si sentirebbero al sicuro e continuerebbero a comportarsi liberamente. È proprio l'errore (il fatto che chiunque possa trovarsi classificato male, senza aver fatto nulla, senza sapere perché) a estendere la cautela a tutti. Il margine d'errore non indebolisce il potere. Lo diffonde. Un sistema che sbaglia molto e in modo opaco insegna a tutti la stessa lezione: meglio non avvicinarsi alla soglia, qualunque essa sia, perché non sai dove l'hanno messa.
Per questo «ma funziona davvero?» è la domanda sbagliata. Cercando il bug tecnico (l'imprecisione da correggere) si guarda nella direzione opposta a dove agisce il meccanismo. Il sistema è performativo prima che predittivo. Non descrive un futuro: lo modella, inducendo le persone a evitare di diventare ciò che potrebbero essere classificate. E un meccanismo performativo non si neutralizza migliorandone l'accuratezza. Più diventa preciso, più diventa efficace nel disciplinare. La via tecnica (più regole sui chip, più accuratezza, più firewall a difesa) non tocca il problema perché il problema non è tecnico.
Quello che viene sottratto
Allora che cosa attacca, di preciso, una tecnologia così?
Non la privacy, anche se la viola. La privacy è la cornice in cui di solito si infilano queste discussioni, ed è una cornice troppo stretta. Si può immaginare un sistema di anticipazione perfettamente trasparente sui dati che usa, conforme a ogni norma sul trattamento, e ciò nonostante distruttivo. Perché ciò che colpisce non è la riservatezza dell'informazione. È qualcosa che viene prima.
Quando vivo, do per scontata una cosa così ovvia che raramente la nomino: il futuro è aperto. Posso smentire chi mi conosce. Posso diventare diverso da come sono stato, da come appaio, da come gli altri mi prevedono. Questo margine, lo spazio tra ciò che sono e ciò che ancora non sono, non è un lusso psicologico. È la condizione di possibilità di qualunque cambiamento, ravvedimento, dissenso, crescita. È il «non-ancora»: l'orizzonte in cui le mie traiettorie restano mie, perché non sono ancora state scritte da nessuno.
Un punteggio di rischio anticipatorio fa precisamente questo: prende il «non-ancora» e lo chiude in un calcolo. Trasforma un futuro condizionale (potresti) in un dato presente (sei a rischio). La colpa, che nel diritto è sempre stata legata a un atto, diventa una proprietà calcolabile in anticipo, attaccata alla persona prima di qualunque azione. Non è più «hai fatto», è «sei il tipo che farebbe». E contro il «sei il tipo che farebbe» non c'è difesa, perché non c'è un fatto da contestare. C'è solo un profilo da cui non ti è concesso divergere.
La posta, quindi, non è la sicurezza dei miei dati. È il diritto a non coincidere con il mio profilo. Il diritto a restare, rispetto a qualunque previsione mi riguardi, ancora indeterminato.
La differenza che possiamo perdere senza accorgercene
Se la posta è questa, allora la domanda giusta non è quanto sia lontano un sistema come quello di Geedge, ma quanto sia vicino. Perché la logica del rischio anticipato non è un'esclusiva cinese: è già di casa nei nostri sistemi di scoring. Ogni volta che un algoritmo decide in anticipo chi è probabile che non ripaghi un prestito, chi è probabile che commetta un reato, chi è probabile che abusi di un sussidio, fa la stessa operazione, sposta il giudizio dall'atto alla traiettoria. La dipendenza vera, semmai, non è nei chip e nella filiera: è in questa grammatica.
Lo dimostra la nostra stessa legislazione. L'AI Act europeo (il Regolamento UE 2024/1689) all'articolo 5 vieta alcuni sistemi di polizia predittiva fondati sulla profilazione individuale e sul risk-scoring. Si vieta ciò che è già presente, o abbastanza prossimo da meritare un divieto. La logica anticipatoria non è descritta come una minaccia esterna da cui proteggersi: è normata come un rischio interno, qualcosa che cresce dentro il perimetro e che si è dovuto mettere fuori legge.
Allora la differenza tra Geedge e un nostro sistema di scoring non è di natura: è di garanzie. Restano diverse per finalità e potere coercitivo, certo, ma quelle differenze stanno negli argini, non nella logica che le muove. Da una parte un calcolo del rischio senza contestabilità, senza trasparenza, senza limiti verso chi colpisce; dall'altra lo stesso calcolo, per ora circondato da divieti, ricorsi, soglie. Una differenza enorme, finché regge: e gli argini si abbassano per gradi, una deroga «per la sicurezza» alla volta, senza che nessuno scelga mai di attraversare la soglia. È questo che si può perdere senza accorgersene: non la tecnologia, che già abbiamo, ma le garanzie che la tengono diversa.
Il non-ancora come diritto
Riconoscere tutto questo ha un costo, e tanto vale dirlo apertamente, perché è la ragione per cui la via facile è più seducente. Costa due rassicurazioni.
La prima è la distanza: «è roba cinese». È una rassicurazione perché tiene il problema lontano, esotico, riconducibile a un regime con cui non abbiamo nulla a che spartire. Rinunciarvi significa accettare che la stessa grammatica lavora nei nostri archivi, sotto altri nomi e con altre garanzie.
La seconda è l'illusione tecnica: basta più accuratezza, più regole sui chip, più firewall. È una rassicurazione perché promette una soluzione di ingegneria a un problema di ingegneria. Rinunciarvi significa accettare che migliorare il sistema non lo neutralizza: lo affina.
Tolte le due rassicurazioni, resta una scelta secca, e va nominata per quello che è. La discussione su queste tecnologie viene quasi sempre incanalata su un asse: sicurezza contro dipendenza, quanto controllo concediamo in cambio di quanta autonomia tecnologica conserviamo. È un asse reale, ma è il fronte sbagliato. Perché il pericolo di un apparato di anticipazione non è che ci renda dipendenti da una filiera straniera. È che riscriva, ovunque venga adottato, il rapporto tra una persona e il proprio futuro.
Il fronte vero non è l'autonomia tecnologica. È la difesa del futuro non scritto. Il «non-ancora», lo spazio in cui posso ancora smentire ciò che si prevede di me, non è un auspicio, qualcosa di carino da preservare se avanza tempo. Dovremmo trattarlo come una categoria di diritto, accanto e prima della privacy: il diritto a non essere ridotti, in anticipo, alla nostra previsione più probabile.
Difenderlo costa più della via tecnica, perché obbliga a guardare i nostri sistemi di scoring con lo stesso sospetto che riserviamo a quelli altrui. Ma è l'unica posizione che tiene. Tutto il resto (l'accuratezza, i chip, i firewall) è manutenzione di un meccanismo del quale non abbiamo ancora deciso se vogliamo l'esistenza.
Fonti
- The New York Times, «China Aims A.I. at Predicting Who Could Pose a Political Risk», 2026: inchiesta sui documenti interni di Geedge Networks (oltre 100.000 file trapelati).
- InterSecLab, Vanderbilt University, «The Internet Coup», 2025: analisi tecnica dei materiali Geedge e del Tiangou Secure Gateway.
- Agenda Digitale, «Sorveglianza predittiva: così l'AI potrebbe capire chi diventerà dissidente»: il legame tra Geedge Networks e Fang Binxing e l'esportazione del sistema verso paesi terzi.
- Unione Europea, Regolamento (UE) 2024/1689 (AI Act), art. 5: pratiche di intelligenza artificiale vietate, comprese forme di polizia predittiva e risk-scoring su base individuale.
Commenti
Solo gli iscritti possono commentare. Iscriviti gratis o accedi con la tua email.