Immuni: manca l’ultimo miglio

L’applicazione che non c’è, ma che si farà

La pandemia è alla sua fase discendente, ma, a quanto pare, con il Covid 19 dovremo conviverci ancora per un pò di tempo.

Ma che fine ha fatto “Immuni”, la tanto famigerata applicazione di tracciamento? Dopo giorni di silenzio, tanto che voci di corridoio la davano per protagonista  della prossima puntata del programma “Chi l’ha visto?”, da qualche ora è cominciato un certo “battage”; come se non bastasse è stato pure reso di pubblico dominio un listato di codice del “front end” dell’applicazione.

“Caruccia”, non c’è che dire. Accattivante il “design”, rassicuranti le animazioni e le spiegazioni.

Allo stato dell’arte, tuttavia, non abbiamo delle certezze su quale sarà il suo assetto definitivo, anche perché prima del suo lancio ufficiale dovrà essere testata e soprattutto dovrà superare il parere preventivo del Garante per la protezione dei dati.

Farà il “contact tracing”, ma non solo, secondo quanto riferiscono i bene informati; per esempio potrebbe anche tenere un diario clinico degli utilizzatori. Il menù, dunque, sta per essere servito, poi la passa passerà ai politici che dovranno scegliere le portate.

Sappiamo, comunque che in questa partita stanno giocando un ruolo importante anche Google ed Apple, che collaborano alla realizzazione di un’API (Application Interface Program), cioè ad un’interfaccia di programmazione, che dovrebbe consentire agli sviluppatori dei vari Paesi di realizzare applicazioni perfettamente interoperabili sui sistemi Android ed Ios.

Dalle lettura dalla documentazione rilasciata da Apple-Google, l’API sembra gestire le problematiche privacy in modo piuttosto serio soprattutto perché fa riferimento ad un sistema di conservazione dei dati decentralizzato.

Qual è la funzione di “Immuni”

La domanda al punto in cui siamo appare persino banale, tuttavia le domande ingenue a noi piacciono molto, perché le risposte che seguono non sono mai scontate.

Attraverso “Immuni” una persona che ha scaricato l’applicazione potrà ricevere una notifica di “alert” sul proprio smartphone nel caso in cui negli ultimi quindici giorni sia entrata in contatto cioè sia stata vicino  ad un’altra persona, anch’essa utilizzatrice dell’applicazione, risultata positiva al tampone Covid 19.

Quanto vicino? Sembrerebbe nel perimetro di due metri. Per quanto tempo? Verrebbero prese in considerazione esposizioni di almeno cinque minuti e le registrazioni verrebbero comunque interrotte dopo trenta minuti per motivi di riservatezza.

Gli attori in scena

In questa storia dei nostri giorni troviamo una rinomata Software House Italiana incaricata dal Governo, Bending Spoons, (cucchiai piegati in omaggio al film Matrix) che sta sviluppando, stando alle carte, gratuitamente, un’applicazione denominata”Immuni” che, a sua volta dovrebbe incorporare un particolare software di terze parti cioè un’ API sviluppata da Apple insieme con Google. Un bel triangolo!

Il compito di quest’ultima interfaccia di programmazione, l’API è quello di consentire l’interoperabilità tra i sistemi Android e Ios oltre che a risolvere alcuni problemi che erano stati ravvisati nel sistema IOS.

Grazie alle API quindi i device con sistema operativo Android e Ios potranno trasmettersi i dati senza problemi. Più in particolare  la raccolta e l’archiviazione delle informazioni di contatto sarà interamente gestita dal framework Apple Google, che fornirà  all’applicazione un riepilogo del rilevamento dell’esposizione e (nel caso di esposizioni rischiose) informazioni sull’esposizione.

Faccio un esempio per rendere meglio la differenza tra Applicazione ed Api: facciamo finta che l’applicazione sia l’insieme dei compiti per casa assegnati ad uno studente. Assumiamo ora che nella consegna vi siano due versioni di Greco. Ecco la versione che lo studente si fa fare dal secchione della classe è l’API. L’insieme di tutti i compiti assegnati, è,  invece, l’applicazione.

Il modello adottato dalla strana coppia Google – Apple

Ora vi do due dettagli, ma non preoccupatevi perché poi spiego: l’API realizzata da Google ed Apple è orientata su un modello decentrato, a maggior tutela della privacy, inoltre non prevede alcuna geolocalizzazione anche se poi all’utente viene chiesto di inserire la provincia in cui è domiciliato.

Inizialmente Bending Spoons si era affidata ad un protocollo più centralizzato sviluppato dal Consorzio Progetto europeo PEPP-PT e proprio questa scelta era stata indicata fra le ragioni della preferenza accordata a questa società.

Sta di fatto che in corso d’opera,  Bending Spoons ha abbandonato il progetto originario e si è affidata al sistema descritto dal protocollo DP-3T (Decentralized Privacy-Preserving Proximity Tracing), considerato più sicuro sotto il profilo della privacy e della cybersecurity, già adottato dalla coppia Google Apple per la realizzazione dell’API.

Nella documentazione rilasciata da queste ultime, peraltro, viene abolita l’espressione “contact tracing” cioè non si parla più di tracciamento delle persone, ma semplicemente di una tecnologia che fa “la notifica di esposizione” cioè che ti avvisa se sei stato vicino ad una persona contagiata.

Non c’è pertanto nessuna geolocalizzazione e nessun tracciamento. Non viene utilizzata la tecnologia GPS, ma la tecnologia Bluetooth a bassa energia.

E non ci dovrebbe essere nemmeno nessuna  raccolta centralizzata e generalizzata di dati.

Infatti i dati non verrebbero raccolti da un server centrale, cioè da un data center, ma rimarrebbero conservati negli stessi smartphone, per di più in forma crittografata.

Come funziona “Immuni”

Passiamo ora a vedere come in linea di massima funziona “Immuni”.

Ricorro ad un esempio fantascientifico ed iperbolico: il Capitano Picard e il Comandante Ryker hanno scaricato l’applicazione “IMMUNI”.
Ogni dieci minuti, l’applicazione  assegna un codice a caso.

Una mattina il Capitano Picard si incontra con il Comandante  Ryker sul ponte 4. Sia Picard che Ryker hanno uno smartphone di milionesima generazione; nel momento in cui si incontrano entrambi hanno “Immuni” installata nello smartphone. Nel momento in cui si incontrano lo smartphone del Comandante Picard trasmette il proprio codice dinamico F14 allo smartphone del Comandante Ryker che a sua volta trasmette il codice B52. Entrambi non conoscono i rispettivi codici. Inoltre dieci minuti dopo entrambi deterranno e trasmetteranno codici completamente diversi.

Immaginate la scena: i due parlano a due metri di distanza l’uno dall’altro. Ad un certo punto però il Comandante Ryker consegna al Capitano Picard una pistola a phaser.

Commette però un terribile ed imperdonabile errore, la mette letteralmente in mano del Capitano Picard, invece di lanciarla o posarla per terra prima di teletrasportarsi indietro di due metri.

Dopo qualche giorno il Capitano Picard risulta positivo al Covid 19.

Viene pertanto sentito dai sanitari per ricostruire l’elenco degli umanoidi con cui ha avuto contatti nelle ultime due settimane. Nonostante l’età si ricorda di aver installato sul proprio smartphone l’app “Immuni”.

A quel punto, l’applicazione viene agganciata al server che lancia tutti i codici raccolti dallo smarphone negli ultimi 15 giorni.

L’invio avviene a tappeto su tutti gli smartphone della Federazione Interstellare fin quando non vengono rintracciati tutti coloro che nei 15 giorni precedenti abbiano ricevuto la trasmissione di questi codici.

Fintanto che non viene effettuata questa operazione di sincronizzazione nessuno può sapere che in un determinato giorno ad una determinata ora F14 e B52 si sono incontrati.

Nessuno inoltre sa a chi corrisponde F14 o B52 proprio perché i codici cambiano ogni dieci minuti.

Infine non c’è nemmeno bisogno di geolocalizzazione, in quanto ai fini della prevenzione del Covid non ha importanza se Picard e il Comandante Riker si siano incontrati sul ponte 4 dell’Enterprise o in plancia.

Ad ogni modo il Comandante Riker  riceverà sul proprio smarphone un messaggio del seguente tenore:

“Rilevato un contatto a rischio

Immuni ha rilevato che due giorni fa hai avuto l’ultimo contatto con una persona positiva al COVID-19”

Seguiranno alcuni suggerimenti sul da farsi. Riker non saprà mai chi ringraziare della sfiga che gli è capitata.

Ecco perché l’API sviluppata da Google ed Apple non è un contact tracing, ma una tecnologia di “notification exposure”.

Ciò al fine di consentire al destinatario della notifica, prima che contagi altre persone, di potersi sottoporre tempestivamente alla verifica del tampone, sempre che esistano tamponi sufficienti.

Tuttavia il decreto legge n.28 del 2020  non chiarisce se alla fine verrà adottata la soluzione decentrata.

Il parere del Garante per la protezione dei dati personali

Ecco cosa  pensa il Garante per la protezione dei dati personali del contact tracing tecnologico:
“l’efficacia diagnostica di tale soluzione dipende, in ogni caso, dal grado di adesione che essa incontri tra i cittadini, in quanto la rilevazione potrebbe per definizione avvenire solo limitatamente alla parte della popolazione che consenta di “farsi tracciare”.
La percentuale minima per l’efficacia è stimata nell’ordine del 60%.
…omissis… la volontaria attivazione di una app funzionale alla raccolta dei dati sull’interazione dei dispositivi, ben potrebbe rappresentare il presupposto di uno schema normativo fondato su esigenze di sanità pubblica, con adeguate garanzie per gli interessati (art. 9, p.2, lett.i) Reg. (Ue) 2016/679)”

Si farà o non si farà. Intanto la legge c’è già

L’applicazione di cui stiamo parlando trova la sua fonte giuridica nel decreto-legge 30 aprile 2020, n. 28 che in qualche modo riprende le linee guida della raccomandazione della Commissione UE dell’8 aprile 2020.

Il decreto all’art. 6 fissa le linee guida per il funzionamento del sistema, che sarà reso operativo con un apposito decreto ministeriale, da emanarsi previo parere del Garante Privacy.

Prima però di esaminare le linee guida mi sembra doveroso spendere due parole sull’incipit dell’art. 6 che riproduco: “al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanita’ pubblica legate all’emergenza COVID-19″,  e’ istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile.”

La premessa in effetti appare importante perché delimita quella che dovrà essere la funzione dell’applicazione che è circoscritta al solo fine di fornire un segnale d’allerta individuale. I trattamenti di dati, che potranno essere svolti, dovranno pertanto essere coerenti con tale finalità. Il decreto precisa poi che il Titolare del Trattamento sarà il Ministero della Salute. Il comma 2 dello stesso articolo prevede, peraltro, la necessità di DPIA che dovrà essere costantemente aggiornata.

Veniamo ora alle linee guida vere e proprie:

  • obbligo di informativa: prima di attivare l’app, agli utenti devono essere date informazioni chiare circa le finalità e le operazioni di trattamento, le tecniche di pseudonimizzazione utilizzate e i tempi di conservazione dei dati
  • applicazione del principio di minimizzazione dei dati, ricondotto dalla legge alla privacy by default;
  • i dati raccolti non potranno essere trattati per finalità diverse da quella indicate, salvo l’utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica;
  • i dati di prossimità dei dispositivi saranno resi anonimi e, ove non sia possibile, pseudonimizzati; in ogni caso è esclusa la geolocalizzazione dei singoli utenti;
  • la conservazione, anche nei dispositivi mobili degli utenti, dovrà essere limitata per il periodo strettamente necessario al trattamento. L’uso della congiunzione “anche”  non consente di escludere il ricorso  a forme di conservazione centralizzata dei dati.
  • la deadline per l’utilizzo di tale tecnologia dovrà coincidere con la data in cui sarà decretata la cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non potrà essere prorogata  oltre il 31 dicembre 2020; entro la medesima data saranno cancellati o resi definitivamente anonimi tutti i dati personali trattati.
  • l’uso dell’applicazione dovrà avvenire su base volontaria, cioè solo previa acquisizione del consenso dell’interessato. Inoltre il mancato consenso non potrà comportare discriminazioni rispetto “all’esercizio dei diritti fondamentali dei soggetti interessati. La necessità del consenso è coerente con le già citate linee guida della Commissione Europea, tuttavia, a sommesso avviso di chi scrive, si sarebbe più efficacemente potuto operare nell’ambito dell’interesse pubblico (art. 9 lett. g GDPR) o della necessità di prevenzione previste (art. 9 lett. h GDPR). Nel panorama internazionale cito Shoshana Zuboff, una personalità estremamente garantista, già autrice del noto saggio “il capitalismo della sorveglianza”, ha auspicato l’obbligatorietà dell’uso di tale tecnologia facendo un parallelismo con l’obbligo della vaccinazione. Si può peraltro intuire come un conto sia la base giuridica del trattamento, altra cosa  l’imposizione dell’obbligo di utilizzare un’applicazione attraverso cui  poi verranno svolti dei trattamenti.
Gratis  non è open source

Si è molto posto l’accento in questi giorni sul fatto che l’applicazione sarà “open source” così da consentire a chiunque di leggere il codice sorgente e di scovarne eventuali “bug”.

Le cose tuttavia non stanno in questi termini. Infatti nell’ordinanza 10/2020 del Commissario Arcuri si parla più limitativamente di un contratto di concessione gratuita della licenza d’uso sul software “contact tracing”. Non vi è pertanto l’indicazione che detto software potrà essere open source e quindi sviluppabile da chiunque ne abbia passione ed interesse.

Inoltre non risulta allo stato che Apple o Google vogliano rilasciare il codice sorgente della loro API. Non mi pare un dettaglio di poco conto visto che l’API è forse il cuore dell’applicazione.

Quali rischi corriamo?

Molti cittadini nei mesi scorsi hanno accolto l’idea dell’applicazione con entusiasmo, affrettandosi a dire che se ne fregavano della privacy, essendo più importante il diritto alla salute.

Il problema è che la privacy è una di quelle cose che non vediamo, fino a quando non siamo sputtanati.

Non sono Snowden e non vi vengo, quindi, a tediare, affermando con le sue parole che “dire di non avere a cuore la privacy perché non si ha nulla da nascondere è come fregarsene della libertà di parola perché non si ha nulla da dire”.
Questi argomenti, che normalmente uso nei seminari, sono molto fighi, ma davvero poco efficaci.
Gli unici argomenti efficaci, questa è la mia conclusione, sono quelli che “fanno bruciare il peperone”; per questa espressione ringrazio una mia collega.
E quindi adesso dimenticatevi completamente la parola privacy. Questa parola non esiste più; cominciate a sostituirla con l’espressione “protezione delle informazioni” e proviamo a giocare insieme.

Cercherò di spiegarvi come la conservazione centralizzata dei dati non sia una buona idea e che il nuovo modello decentrato scelto da Bending Spoons si sia imposto proprio per ragioni di sicurezza della informazioni.

Ed ora giochiamo

Scenario n.1
Ci sono due grosse aziende che stanno valutando una fusione. La notizia è ovviamente riservata per evitare speculazioni di borsa. Ad un certo punto esponenti di una delle due aziende cominciano a incontrarsi con esponenti dell’altra una cinquantina di volte in un paio di mesi, mentre prima si vedevano una volta all’anno. Che succede? Succede che il criminale informatico acquisisce un’informazione importante con la quale è possibile cominciare ad approfondire lo scenario per fare diverse cose, per esempio “insider trading”. Se i vostri titoli nei giorni successivi avranno delle perdite sensibili, sapete chi ringraziare.
Scenario n.2
Siete in una specie di cinematografo sito in mezzo al nulla, una di quelle multisala che adornano le periferie, tra capannoni e mega centri commerciali. Vi state godendo “Il silenzio dei prosciutti”, una pietra miliare nella storia del cinema. Ad un certo punto, un “hacker” sfonda il server centrale. Adesso il criminale informatico è in grado di raggiungere gli smartphone di tutte le persone presenti nel cinema e manda loro una notifica del tipo: “gentile cittadino, negli ultimi quindici giorni, una persona che Lei ha incontrato, è risultata positiva al Covid19. Prenda subito contatto con il più vicino presidio ospedaliero”.
Fine delle proiezioni e fin qui forse non sarà una brutta notizia, ma avremo panico in sala.
Scenario n.3
Luca ha problemi di depressione e si cura facendo sedute da uno psicoterapeuta. Il criminale informatico sfonda il sistema centrale e acquisisce le informazioni su tutti coloro che hanno avuto contatti con un determinato psichiatra durante l’orario di lavoro di quest’ultimo. Poi lo stesso criminale informatico vende queste informazioni a qualche società di selezione del personale. Un bel giorno Luca riceve una telefonata con cui viene disdetto in via definitiva un colloquio di lavoro.

Detto questo, non è che la soluzione decentralizzata, cioè quella che conserva i dati sugli smartphone, sia totalmente sicura. Anche un singolo cellulare può essere “bucato”, ma, certamente, in quel caso, verranno trovati molti meno dati che in un server centrale, essendo ridotto, quello che in termini tecnici è definito il campo d’attacco.

Allo stesso modo, non possiamo escludere la possibilità di un proliferare di fenomeni di intrusione informatica negli smartphone con il sistema dei “trojan”.

In definitiva i rischi ci sono sempre, si può solo tentare di mitigarli e la soluzione decentrata al momento è quella che offre più garanzie sotto questo profilo.

I rischi sociali

Secondo gli ultimi dati Istat disponibili, sono 16.185.000 gli italiani sopra i 6 anni che non usano Internet. La maggioranza assoluta di questi ha più di 60 anni. Su 100 over 65, infatti, quasi il 70% non naviga in rete e non ha alcuna dimestichezza digitale.

Stando a questi dati,  circa sedici milioni di italiani non potranno beneficiare di questa tecnologia. In pratica poveri, bambini ed anziani saranno tagliati fuori.

In tale ottica, pertanto, il giudizio su Immuni non può che essere critico, soprattutto se si considera il fatto che vi sarebbero state valide alternative, certo più costose, ma anche più eque. Si sarebbe per esempio potuto realizzare con pochi euro un piccolo dispositivo hardware con una sola funzione, un led che si sarebbe acceso nel momento in cui fosse pervenuta una notifica di esposizione al virus. Quanto sarebbe potuto costare? il Prof. Floridi in un’intervista ha azzardato la cifra di cinque euro per dispositivo. Pare tuttavia che tale ipotesi non sia stata nemmeno presa in considerazione, ragion per cui viene da pensare che il nostro, come tutti i governi del mondo, non è che poi creda molto all’efficacia di questa applicazione. Comunque vada, statene certi, per il pubblico sarà comunque un successo;  gli esperti del marketing avranno materia su cui lavorare.

Funzionerà?

Sono piuttosto confidente che l’applicazione non giocherà un ruolo rilevante in questa partita. Anzi il suo ruolo sarà molto marginale.

Ancora più difficile è  prevedere se potrà funzionare poiché, in effetti, si tratta di un esperimento.

Non mancano, comunque, le perplessità. Tanto per fare un esempio, l’inventore della tecnologia bluetooh su cui si base l’applicazione ha dichiarato come Bluetooth non sia affatto preciso quando  si tratta di rilevare le distanze da un dispositivo all’altro. D’altra parte la tecnologia Bluetooth non è certo nata per Covid19.
Potranno conseguentemente esserci molti falsi positivi, intesi come soggetti che, contrariamente a quanto rilevato, non sono stati vicini a soggetti positivi.
Calcolando che non ci saranno tamponi per tutti, è possibile che diversi soggetti potrebbero mettersi in quarantena volontaria per una imprecisione del segnale.
Ricapitolando: se arriva la notifica non si può affermare con certezza che vi sia stato contatto con un positivo; del pari l’esposizione al contagio non significa di per sé di essere stati contagiati.
Ecco perché è necessario che i tamponi ci siano per tutti, la qual cosa in questo momento appare utopistica.

E poi c’è tutta la questione del carattere volontario dell’uso dell’applicazione. Vale a dire che posso decidere se scaricarla o no,  posso decidere se una volta scaricata, la debba o meno installare, posso infine decidere se condividere la notifica di alert con l’autorità oppure tenermela per me.

Profili penali

Ma che succede se l’allertato non si mette in quarantena?

Per il decreto-legge 25 marzo 2020, n. 19   “salvo che il fatto costituisca violazione dell’articolo 452 (epidemia colposa) del codice penale o comunque più grave reato, la violazione della misura del “divieto assoluto di allontanarsi dalla propria abitazione o dimora per le persone sottoposte alla misura della quarantena perché risultate positive al virus  è punita ai sensi dell’articolo 260 del regio decreto 27 luglio 1934, n. 1265, Testo unico delle leggi sanitarie, come modificato dal comma 7”  “con l’arresto da 3 mesi a 18 mesi e con l’ammenda da euro 500 ad euro 5.000”.

Ora, a ben vedere la persona allertata non è equiparabile alla persona risultata positiva al Covid 19, tuttavia, a mio sommesso avviso, non si potrebbe escludere la configurazione del reato, se la persona allertata rimanesse indifferente all’alert non mettendosi in quarantena e risultasse poi positiva al Covid 19.

Nè, sempre a mio sommesso avviso, si potrebbe escludere il sequestro probatorio dello smartphone.

L’Ultimo miglio mancante

Infine manca l’ultimo miglio, quello su cui non decide nè Apple Google nè Bending Spoon, ma la politica.

Nulla al momento sappiamo su come saranno elaborate le informazioni dall’Autorità Sanitaria una volta allertata, nè conosciamo quali saranno le conseguenti decisioni e come queste ultime verranno tradotte in atti concreti.

Paradossalmente l’ultimo miglio, il più importante, quello per cui è stato prodotto tutto questo sforzo, cioè l’ecosistema in cui dovrebbe integrarsi l’applicazione, rimane ad oggi un perfetto sconosciuto.

Aggiornamenti

L’app. Immuni ora è disponibile in modalità test. L’ho installata e l’ho provata.
Ho girato per casa. Finora nessuna notifica anche perché mia moglie e mio figlio non l’hanno ancora installata.
Qui però finisce lo scherzo.
Ora passiamo alle sensazioni e a ciò che ho potuto riscontrare.
Se inibisco a Google Play Services l’acquisizione della posizione del dispositivo, Immuni si disattiva. Quindi Immuni, per funzionare, ha la necessità che il dispositivo sia geolocalizzabile.
Una prima considerazione: per quanti ancora non lo sapessero, siamo già tracciati da Google ed Apple. Pertanto se vado in ospedale, questo movimento è già tracciato.
Detto questo, qui il problema è il contact tracing ovvero stabilire la prossimità tra due persone di cui una in un certo momento è stata contagiata da un virus.
Ecco secondo i soliti esperti questo finora non era tecnicamente possibile, cioè non si poteva sapere se due persone erano state a strettissimo contatto.
I difensori di Immuni affermano che l’App. o l’Api non possono leggere la posizione, che, invece, Google, sviluppatrice dell’API, può rilevare. In buona sostanza l’applicazione non si servirebbe del dato di geolocalizzazione, tuttavia Google quel dato ce l’ha.
Il codice sorgente dell’API non è pubblico, quindi, non posso aggiungere altro.
Al momento rimane un dato oggettivo: senza la geolocalizzazione del dispositivo, IMMUNI non funziona.