Immuni, l’app di tracciamento italiana contro Covid-19

Con l’esplosione della pandemia causata dal virus Covid-19 sono salite agli onori delle cronache le tecnologie di tracciamento personale che, registrando i contatti tra le persone, permettono di ricostruire una ipotetica mappa dei contagi utile a limitarne una ulteriore diffusione.

Alcuni paesi tecnologicamente molto avanzati come la Corea del Sud hanno fatto uso massiccio di queste tecnologie, applicandole agli smartphones con specifiche app e facendone l’arma principale per il contenimento dei contagi, muovendosi con buon anticipo anche in base all’esperienza maturata con precedenti emergenze sanitarie, quali l’epidemia del virus Sars-Covid nel 2002 o la Mers nel 2013.

Anche l’Europa si è mossa, in ordine sparso e con modalità di raccolta dati molto differenti tra i diversi paesi.

In Italia il primo timido tentativo è stato effettuato dalla regione Lombardia, la più colpita dall’infezione ma anche tra le più organizzate a livello tecnologico, che ha messo a disposizione dei residenti l’applicazione allertaLOM: su base volontaria e giornaliera i cittadini possono inviare spontaneamente alle autorità sanitarie informazioni personali utili per una eventuale diagnosi di contagio.

Di analogo funzionamento le soluzioni LazioDoctor e Sicilia Sicura, che al pari della soluzione lombarda presentano tuttavia un’efficacia statistica genericamente molto limitata a causa dallo scarso utilizzo delle applicazioni da parte dell’utenza, e non forniscono inoltre garanzie particolarmente convincenti riguardo il trattamento e soprattutto la conservazione dei dati personali.

Tale preoccupazione può apparire ingiustificata alla luce del fatto che molti di noi giornalmente regalano dati personali a soggetti privati, come i social network e i sistemi di messaggistica, ma è da considerare che tali dati vengono ceduti in cambio di un servizio efficace e funzionante, e che raramente di tratta di c.d. “dati particolari” quali appunto le nostre condizioni di salute.

Il Governo italiano pare aver tenuto in massima considerazione le tematiche legate alla privacy nello sviluppo dell’applicazione che sarà adottata a livello nazionale, e dopo un lungo dibattito politico e tecnico che ha coinvolto anche soggetti oltre confine sembra ormai deciso: l’app di contact tracing nazionale, che sarà sviluppata dalla società Bending Spoons per conto del ministero dell’lnnovazione, adotterà un approccio privacy-oriented decentralizzato e anonimo per tutelare i diritti fondamentali dei cittadini.

Il Garante Privacy assicura inoltre che il codice dell’applicazione sarà open source, il suo funzionamento sarà dunque disponibile alla verifica di tutti gli esperti del settore: un requisito indiscusso per chiunque conosca e sia in grado di apprezzare la delicatezza dei temi in gioco ma, vista la precisazione, evidentemente non così scontata per le task force che si sono dedicate allo sviluppo del progetto.

L’adozione di un paradigma altamente tutelante in campo privacy è un passo importante dopo le polemiche che avevano accompagnato la nascita dell’iniziativa, che in momenti alterni sembrava trasformarsi da un Grande Fratello di stato ad una soluzione annacquata, a seconda delle considerazioni dei due schieramenti in campo, da una parte i sostenitori dello standard di sviluppo decentralizzato e anonimo DP-3T e dall’altra i collaboratori del consorzio Pepp-pt, favorevoli invece ad uno sviluppo centralizzato e non anonimo.

I primi dibattiti si erano accesi già precedentemente, in merito alla scelta della tecnologia da utilizzare per accertare il contatto tra utenti. Per una mappatura precisa degli spostamenti la tecnologia GPS è per definizione la più efficace, ma allo stesso tempo la più invasiva in ambito privacy, costituendo un vero e proprio tracciamento; nello specifico bisognava anche tenere contro del fatto che il GPS, basandosi sulla costante triangolazione satellitare, funziona semplicemente male nei luoghi chiusi che ne schermano il collegamento, costituendone un limite tecnico critico in questo scenario.

In seguito a tali valutazioni, definitive a livello tecnico, lo sviluppo ha abbracciato quindi di comune accordo la tecnologia bluetooth, utilizzata di norma per la connessione di periferiche in prossimità (per il trasferimento di piccoli file o il collegamento di cuffie, auricolari e altoparlanti) e già in alcuni casi come beacon, ossia un trasmettitore che come un radiofaro trasmette la presenza del dispositivo sotto forma di un numero identificativo. Proprio questa modalità sarà quella sfruttata dall’applicazione, che memorizzerà costantemente il contatto ravvicinato (misurando la potenza del segnale) e prolungato con altri dispositivi dotati di app che incontreremo.

La principale preoccupazione in ambito privacy è tuttavia rivolta alla generazione degli identificativi di ciascun dispositivo e la conservazione dei dati riguardanti il contatto tra essi; ogni dispositivo deve essere infatti rintracciabile qualora il possessore entri in contatto con un infetto, e di conseguenza deve essere possibile effettuare una corrispondenza tra l’identificativo raccolto via bluetooth e una persona fisica proprietaria del dispositivo stesso, da avvisare in caso di possibile contagio.

Un approccio centralizzato consiste nel generare identificativi personali per ogni utente al momento della registrazione per l’utilizzo dell’applicazione, conservando in un database centrale la corrispondenza tra ciascun utente e il suo dispositivo. Durante l’utilizzo ciascun dispositivo invierebbe costantemente una lista degli apparecchi rilevati nelle proprie vicinanze, permettendo di ricostruire immediatamente la lista di ogni persona da contattare nel caso qualcuno risultasse contagiato, attraverso l’incrocio dei contatti avvenuti tra ciascun utente.

Questo approccio è sicuramente il più semplice dal punto di vista tecnico e il più efficiente dal punto di vista operativo, permettendo all’autorità controllante il server principale di avere un quadro complessivo costante, nonché una base di dati molto efficace per compiere analisi statistiche.

Appare tuttavia immediatamente evidente che, sebbene la salute pubblica sia di norma considerata di rango superiore alla privacy, il trattamento e la centralizzazione di una tale base di dati costituiscano un rischio enorme per gli utenti, anche se effettuato da un’autorità statale, sollevando perplessità non solo relative alla sicurezza ma anche di tipo costituzionale riguardo le libertà principali degli individui, minate da un tracciamento a priori indiscriminato.

Bisogna inoltre considerare, anche alla luce delle ultime performances non certo esaltanti di alcune agenzie (oltretutto maldestramente addotte ad attacchi informatici mai avvenuti), che lo Stato al momento non dispone a livello pratico di strutture fisiche e tecniche capaci di gestire in sicurezza una tale mole di dati, e che infrastrutture di questo tipo non sono realizzabili in tempi brevi: di conseguenza la conservazione di questi dati sarebbe affidata a soggetti privati, oltretutto non necessariamente italiani, suscitando a riguardo anche le perplessità del COPASIR.

Un altro limite tecnico da affrontare, difficilmente sorpassabile in tempi brevi, è l’attuale implementazione della tecnologia bluetooth sui sistemi operativi per dispositivi mobili dei maggiori produttori, Google e Apple, non solo già dichiaratisi concettualmente contrari al contact tracing centralizzato ma che soprattutto attualmente (senza volersi dilungare in tecnicismi) forniscono una implementazione semplicemente inadatta by design ad applicazioni di questo tipo; tra l’altro proprio in risposta alle preoccupazioni in ambito privacy sollevate durante gli anni in particolar modo dall’Unione Europea, e culminate con l’applicazione del Regolamento UE 2016/679, altresì noto come GDPR.

Un approccio decentralizzato e anonimizzato risulta invece un poco più complicato dal punto di vista realizzativo ma offre innegabili vantaggi in ambito privacy, sia dal punto di vista del tracciamento sia della conservazione dei dati.

Si prevede infatti che ogni dispositivo generi al proprio interno un identificativo numerico casuale e anonimo da trasmettere costantemente via bluetooth, e che tenga traccia sempre e solo localmente degli altri dispositivi incontrati. Qualora un utente si rivolgesse alle autorità sanitarie presentando i sintomi dell’infezione da Covid-19 queste pubblicherebbero su un server solo l’id numerico anonimo del paziente una volta diagnosticata l’infezione, mentre tutti i dispositivi scaricherebbero costantemente la lista degli identificativi anonimi degli infetti, cercando la corrispondenza tra quelli registrati localmente e facendo scattare eventualmente l’allerta e la richiesta di contattare le autorità.

Grazie ad una soluzione più discreta è possibile dunque superare le criticità in ambito privacy derivanti dal contact tracing indiscriminato e centralizzato, preferendo una procedura eseguita esclusivamente sul dispositivo locale e in modo assolutamente anonimo, nonché i vincoli tecnici derivanti dalle implementazioni attuali del protocollo bluetooth. Inoltre, al costo di una relativamente minore utilità statistica ma di una immutata efficacia pratica, viene superata la criticità di un database monstre, che non solo sarebbe stato invitante per qualsiasi malintenzionato, ma proprio per questo motivo anche certamente di difficile collocazione fisica e logica a causa delle inevitabili criticità di sicurezza che lo avrebbero caratterizzato.

Ora resta solo l’incognita legata all’adozione di questo strumento da parte dei cittadini, si stima infatti, ottimisticamente, che una soluzione tecnologica di contact tracing sia efficace solo se utilizzata almeno dal 60% degli interessati. Considerando l’età media, la bassa informatizzazione della popolazione italiana e la scarsa fiducia nella cosa pubblica l’obiettivo appare arduo. Escluso per motivi legali e legislativi l’obbligo di utilizzo, e per motivi costituzionali il paventato invito all’utilizzo con limiti alla mobilità per i non utilizzatori, resta solo da valutare la possibilità di un eventuale sistema di incentivo premiante lecito, o appellarsi al semplice buon senso dell’utenza una volta che sarà noto il rassicurante funzionamento di questa tecnologia.

Salvo sorprese dell’ultimo minuto.