Tra gli strumenti ipotizzati per il contrasto – o per meglio dire il contenimento – della diffusione del SARS-CoV-2, che causa l’influenza nota come Covid-19, che ci sta tenendo a casa ormai da mesi è salita agli onori delle cronache una app: Immuni. Proposta come possibile soluzione al tracciamento dei contagi da esponenti del Governo, questa app, assieme al suo disegno e alla sua realizzazione, è stata appaltata mediante gara ad una società privata che è intenzionata a realizzarla gratuitamente.
Il nome dell’app è già noto, mentre ancora poco si sa del suo funzionamento, di cosa farà, di cosa dovrebbe fare e di che tutele delle privacy offre.
Cosa sappiamo?
Al momento sappiamo per certo il nome della app e chi la realizzerà – la stessa società che ha realizzato e gestisce il famoso gioco “Live Quiz” – e sappiamo che servirà a registrare il proprio stato di salute su base quotidiana e i codici identificativi dei dispositivi, con relativi time stamp, con i quali si entrerà in prossimità, quest’ultima rilevata solo tramite bluetooth (e non tramite GPS).
Il nostro telefono, in pratica, ricorderà – al posto nostro e per conto dello Stato – le persone con cui staremo assieme o che incroceremo nei nostri spostamenti, solo che anziché nome e cognome della persona registrerà un codice identificativo del suo telefono.
Registrando questi identificativi è possibile sapere, qualora una delle persone con cui si è entrati in contatto diventasse positiva alla malattia, se siamo stati esposti ad un rischio di contagio. Lo scopo primario dell’app – su cui ogni Paese sta lavorando – è quello di individuare gli infetti asintomatici: in questo senso l’app è volta sia ad agevolare l’identificazione dei sintomi da parte dell’utente (andrà ad affiancare per capirci il servizio telefonico regionale con cui si parla con gli operatori per monitorare la propria situazione) sia a rilevarne le interazioni con altri soggetti (sani, infetti, soggeti che erano sani ad una data, soggetti che erano infetti ad una data, etc.) Il meccanismo descritto però ha alcuni problemi da risolvere: la diffusione dell’app, i falsi positivi e, ultimo e più importante, la privacy degli utenti.
La diffusione dell’app
Il monitoraggio dei contagi tramite app si scontra con un problema di fondo: non tutti i cittadini hanno uno smartphone, specie la fascia over 70 che è anche la più esposta alla malattia e, soprattutto, non tutti i cittadini la scaricheranno. È chiaro che ad un minor numero di download dell’app corrisponderà una minor efficacia: se io ho l’app ma qualcuno con cui entro in contatto non ce l’ha non saprò mai se quell’interazione può avermi esposto ad un contagio e, a cascata, se posso aver veicolato ad altri contatti la malattia. Al Governo hanno posto una soglia di diffusione dell’app tra la popolazione del 60% affinché questa sia effettivamente utile al contrasto della malattia: non è propriamente dato sapere da cosa derivi il numero del 60%, ma su questo magari avremo aggiornamenti in futuro. Magari.
Falsi positivi
Faccio un passo indietro: cos’è un falso positivo? In statistica è il caso in cui l’esito di un test ci fa accettare, erroneamente, l’ipotesi da testare. Nel caso della malattia è quando qualcosa ci fa dire che qualcuno è positivo al Coronavirus anche se in realtà non lo è.
Qualsiasi utente con cuffie wireless sa che se ci allontaniamo dal telefono per qualche metro continueremo a sentire la musica che stiamo ascoltando: questo “qualche metro” per i dispositivi BT è un numero che può arrivare a qualche decina (dieci è normale, venti possibile), mentre – fortunatamente – lo spazio che richiede il virus per diffondersi è inferiore a 2 metri. In pratica camminando in una strada non particolarmente larga, la nostra app potrebbe agganciare l’app/dispositivo di qualcun altro, scambiarsi i codici come se fossimo entrati in contatto ravvicinato, e dirci che siamo stati esposti ad un rischio concreto qualora questo qualcuno si riveli positivo (e da qui, a cascata, a tutte le persone che abbiamo “incrociato” successivamente). Cosa accadrebbe dentro un supermercato? Che impatto avrebbe un falso positivo in un contesto del genere in cui ci sono decine/centinaia di interazioni? Quanto spesso squillerà il telefono alla persona che ci rileva la temperatura all’ingresso del supermercato? Il telefono saprà capire che la persona che abita sotto di me non è una minaccia nonostante possa essere a tre metri? Questo è un grande problema da risolvere, ma la sensazione è che sia necessario avere sempre un controllo umano sulla diagnosi – cioè che sia un medico a dire “ehi app questo soggetto è positivo” o addirittura che sia lui a segnarlo – e che quindi il tempo di diffusione dell’informazione “l’utente con ID 123455qwerty67890 è positivo” rimanga sufficientemente lungo da rendere inefficace qualunque azione di contenimento successiva. L’applicazione può sovrastimare i falsi positivi per diversi motivi: il primo è che se lasciamo la diagnosi ad un questionario su app potremmo sbagliare molto più spesso di quanto farebbe un medico, il secondo è tutto tecnico e relativo al bluetooth.
Privacy
La privacy è sicuramente il tema più importante: ad oggi poche app tutelano la privacy di chi le usa. So che non è una novità, ma è una premessa necessaria da cui partire perché vuol dire che chiunque debba sviluppare un’app del genere ha pochi modelli a cui guardare. Quando lo Stato e la tecnologia si incontrano in genere la privacy è la prima barriera che si trova: i casi in cui lo Stato ha il diritto di sapere qualcosa di specifico da noi e di costringerci a trasmettergliela sono molto specifici e sempre normati, in tutti gli altri casi lo Stato non può vantare nessun diritto e nessuna curiosità verso il cittadino. In questo caso poi stiamo parlando dei cosiddetti dati idonei a rivelare lo stato di salute per i quali, semplificando parecchio, è sempre necessario il consenso dell’interessato quindi non può essere resa obbligatoria l’installazione dell’app (al netto del fatto che io cittadino potrei non avere un dispositivo su cui installarla, potrei non attivare il bluetooth, etc.). Il punto sicuramente più caldo quando parliamo di trasmissione dei dati è il soggetto destinatario e l’uso che ne farà e che ne potrà fare: i nostri dati a chi andranno? A un ministero? Quale? Chi potrà accedervi? Saranno anonimizzati? Chi stabilirà come verranno anonimizzati? Resteranno in Italia? Aver posto questo genere di domande ha fatto sì – a seguito delle pressioni di diversi enti e su indicazioni del comitato europeo per la protezione dei dati – che lo sviluppo dell’app Immuni sia stato indirizzato verso una modalità più decentralizzata di quanto ipotizzato inizialmente e addirittura sembra che la app sarà open-source. Questa maggior decentralizzazione si sostanzia nel fatto che sarà il telefono del cittadino a stabilire qual è il proprio identificativo, mentre sarà il server dello Stato a notificare ai vari smartphone quali ID sono diventati positivi: nella sostanza lo Stato non dovrebbe mai sapere chi è il cittadino ID “12345qwerty67890”, ma non si può escludere che qualcun altro possa sapere, senza il nostro consenso, se siamo positivi. Resta ancora un tema poco chiaro: se da un lato, non è ancora dato sapere chi sarà a definire che il cittadino è positivo (un medico? L’app da sola? Il cittadino?) dall’altro lo è ancora meno sapere come questo avverrà: sarà l’app il mezzo ufficiale che sostituità i canali e le basi dati ordinarie? Se sì occorrerà integrarli, come si intende farlo? Che livello di privacy sarà garantito? E cosa avviene quando ci si negativizza? I dati precedenti dovranno essere cancellati, come? Quando?
Dove stiamo andando?
Come visto sulla capacità di tutelare i dati dei cittadini ci sono ancora tantissimi punti aperti ma più di tutti pare rimanga forte un problema culturale su cui per altro ci sono posizioni spesso estreme e talvolta anche ridicole. L’app “Immuni” – che io sconsiglio di installare a priori, poiché l’efficienza dello Stato nell’identificazione dei propri cittadini e la simultanea incapacità di proteggerne i dati è già stata in passato, per i cittadini, una disgrazia – ha avuto fin qui sicuramente almeno un pregio: ha aperto in Italia la discussione sul tema della capacità di enti pubblici e privati di tutelare la privacy e della possibilità che hanno di acquisire informazioni sul nostro conto, evidenziando tra l’altro una criticità che si sarebbe dovuta affrontare già tempo fa vista la proliferazione di app – su La Stampa se ne indicano almeno 89 – che non si sono poste minimamente il problema di spiegare agli utenti, cioè i cittadini, come avrebbero usato i loro dati. Al netto però di questa discussione sulla privacy – che sarebbe stato molto più intelligente fare in tempi di pace – rimangono tantissimi punti sull’app in sé e sul modello di gestione che rappresenta la cui utilità sembra comunque tutta da dimostrare: sembra che alla fine si stia enfatizzando lo strumento più che altro per coprire qualche problema di processo o di gestione. Servirebbe descrivere meglio in che contesto l’app si va ad inserire, altrimenti – è inutile girarci attorno – sappiamo già tutti che un’app da sola non protegge la comunità dal virus e, più in generale, di per sé non serve a niente (a meno che quest’app non sia un gioco, tipo LiveQuiz). In sintesi, se non è chiaro lo scopo e non è verificabile il metodo – oltre al fine – non è neanche da prendere in considerazione l’idea di consegnare i propri dati a un soggetto che non ha ancora mai dimostrato di saperli proteggere. Da questo punto di vista l’obiettivo minimo sarebbe, almeno, evitare la situazione olandese:
Dutch #Corona #COVID19 app (Covid19 Alert!) suffered a data breach: ~100-200 names, email addresses, encrypted passwords were publicly available. “A human error […] we had half an hour to put the code online” said one of the initiators.https://t.co/jLP50536xm pic.twitter.com/XPTWhloZyO
— Christopher Schmidt (@PiracyByDesign) April 19, 2020
Cosa sarebbe il caso di fare?
Se lo Stato intende chiedere la collaborazione (e la pazienza) dei cittadini – come per altro è stato fin qui fatto con successo – sarebbe più utile partire mettendo a disposizione uno strumento per rendere digitale un processo analogico molto “noioso” tanto per cittadini quanto per le forze dell’Ordine: le autocertificazioni: non si rischiano disastri e si fa qualcosa di utile per le persone.
Apple e Google hanno costruito e stanno migliorando un framework che sia Privacy-Preserving disponibile su questa pagina
Cercare di rendere digitale un processo che non esiste, come il tracing dei contatti, invece sembra – per nostra fortuna – piuttosto complicato, ma non per limiti tecnologici quanto più per mancanze di processo: attualmente se un paziente si rivela positivo si possono isolare solo categorie di soggetti particolari (famigliari, colleghi, compagni di squadra, etc.) ma non persone specifiche o conoscenti indiretti o addirittura sconosciuti entrati a contatto (chi era davanti a noi in fila al supermercato, chi abbiamo incrociato ad un semaforo, etc.): sapere chi sono questi soggetti diventerà perfettamente inutile non appena verrà messo a punto un test rapido affidabile e forse quella medica dovrebbe restare la via da seguire per arginare un virus che, come dicevo un mese fa, non va contenuto ex-post – con o senza app – ma, il più possibile, anticipato.
Update 27-04: la conferenza stampa del Presidente del Consiglio del 26 Aprile sulle misure adottate per la Fase 2 non ha mai citato l’app “Immuni”: la sensazione di alcuni commentatori è che questo silenzio sia un segnale dell’indeterminatezza con cui si sta gestendo questo strumento.