Nei giorni scorsi abbiamo parlato dell’ordinanza 10/2020 firmata dal commissario straordinario per l’emergenza sanitaria Domenico Arcuri: Tracciamento dei contatti con soggetti positivi al Coronavirus: la scelta dell’Italia.
Arcuri ha di fatto commissionato formalmente alla milanese Bending Spoons lo sviluppo (a titolo completamente gratuito) dell’app Immuni per il tracciamento delle infezioni da Coronavirus e per l’invio di notifiche ai cittadini eventualmente venuti in contatto con soggetti positivi.
Installando l’applicazione Immuni (che è al momento ancora in fase di sviluppo per poter essere distribuita pubblicamente entro fine maggio 2020) ciascun cittadino autorizzerà il proprio smartphone a inviare un codice generato in modo casuale ai dispositivi mobili fisicamente vicini.
L’invio di questo dato (che non potrà essere utilizzato per individuare univocamente il singolo dispositivo mobile e quindi uno specifico cittadino) avverrà attraverso l’utilizzo dello standard Bluetooth Low Energy (BLE) e verrà automaticamente raccolto solo dai dispositivi di altri cittadini che avessero a loro volta installato l’app Immuni.
L’idea è quella di non usare un server centralizzato ma di conservare tutti i codici in locale, sui dispositivi in possesso di ciascun utente.
In questo modo nessuno potrà mai conoscere l’identità di ciascun utente posto fisicamente nelle vicinanze ma otterrà – salvata in locale sul suo telefono – una lista di codici generati sui dispositivi personali dei soggetti con i quali si è venuti in contatto.
Gli sviluppatori dell’app Immuni tengono a sottolineare più volte che i codici generati sugli smartphone degli utenti non sono univoci ma cambiano in continuazione. Questo aspetto, insieme al fatto che anziché usare meccanismi di geolocalizzazione (espressamente esclusi già in fase di progettazione dell’app) si ricorre appunto alla tecnologia Bluetooth, dovrebbe venire incontro a chi ha sollevato diversi dubbi in tema di tutela della privacy.
Immuni, così come le altre app di prossimità (per il proximity tracing), misureranno anche la potenza del segnale Bluetooth per determinare se due smartphone sono stati sufficientemente vicini da poter supporre un contatto tra gli utenti e favorire quindi la potenziale trasmissione dell’infezione (secondo le ultime informazioni provenienti dalla sfera Google-Apple, le loro API dovrebbero gestire i segnali Bluetooth nell’intervallo compreso tra -127 dBm e +127 dBm).
Va detto che l’utilizzo dei servizi di geolocalizzazione (ad esempio GPS, WiFi vicine) sono stati scartati non soltanto a tutela della privacy ma anche perché le coordinate restituite non aiutano a rilevare con precisione le interazioni tra due o più soggetti.
Nel caso in cui un utente risultasse positivo al COVID-19 previa verifica nelle strutture sanitarie, i medici inviteranno il cittadino a inserire nell’app Immuni uno speciale codice. Digitandolo la lista dei codici generati sugli smartphone degli altri cittadini venuti in contatto con il nuovo soggetto positivo (e conservati sul telefono di quest’ultimo) sarà immediatamente trasmessa a un server centrale sotto il controllo di un ente governativo italiano (questo punto necessita ulteriori chiarimenti).
Ogni installazione dell’app Immuni dialogherà con il server centrale dello Stato per verificare l’eventuale presenza dei codici memorizzati in locale segnalando in questo caso il potenziale contatto dell’utente con uno o più soggetti infetti da Coronavirus.
Il codice fornito dal personale sanitario dopo la conferma della positività al COVID-19 di un soggetto dovrebbe essere sufficiente garanzia per scongiurare il presentarsi di falsi positivi (notifiche per contatti con soggetti infetti quando in realtà essi non sono avvenuti).
Immuni non è un “unicum” italiano: le singole nazioni europee stanno guardando a meccanismi molto simili di tracciamento delle infezioni da Coronavirus tra la popolazione.
Anzi, nel documento pubblicato a questo indirizzo il 15 aprile 2020, la Commissione Europea approva l’utilizzo di applicazioni come Immuni ma esse debbono obbligatoriamente essere interoperabili quindi funzionare non solo nel Paese che le ha scelte ma anche oltre frontiera.
La piattaforma sulla quale si baserà Immuni (come le altre app di tracciamento) è fornita da Google ed Apple
Google ed Apple si sono accordate per distribuire un sistema di tracciamento che verrà integrato a livello di sistema operativo, a partire da Android 6.0 Marshmallow e iOS 13.
Di default, infatti, il sistema operativo (Android e iOS) impedisce che un’app costantemente in esecuzione in background (come sarebbe appunto Immuni) possa utilizzare senza limitazioni il modulo Bluetooth.
Per ovviare a queste restrizioni ci sono dei workaround ma la soluzione che è stata individuata consiste nel far interagire Immuni (così come le altre app messe a punto negli altri Paesi) con le nuove API di Google ed Apple.
Google integrerà il sistema di tracciamento anti COVID-19 a livello di Play Services: in questo modo il meccanismo sarà automaticamente attivato da parte di tutti gli utenti Android possessori di uno smartphone non troppo vecchio (Android 6.0 è di inizio ottobre 2015…).
Apple integrerà lo stesso meccanismo a livello di sistema operativo su tutti i device aggiornati a iOS 13 e versioni successive.
Exposure Notification API: come funzionano le API anti COVID-19 di Google ed Apple
A inizio maggio Google ed Apple hanno fornito un’anteprima del funzionamento delle loro API anti COVID-19.
Innanzi tutto si chiamano Exposure Notification API e rappresentano lo strumento con cui le app per i dispositivi mobili sviluppate sotto la guida dei governi nazionali e accessibili dalle autorità sanitarie autorizzate potranno direttamente dialogare.
Sia Google che Apple hanno condiviso codice di esempio e una serie di screenshot per mostrare come gli utenti potranno eventualmente interagire con il framework sviluppato dalle due aziende (vedere questa pagina (Google) e questa (Apple)).
Il sistema può essere attivato o disattivato agendo su un “interruttore” contenuto nelle impostazioni Google di Android e nella sezione Salute di iOS.
Nell’immagine (si riferisce a un’installazione Android ma il comportamento su iOS sarà pressoché speculare), come apparirà un’app come l’italiana Immuni una volta installata sul dispositivo. Nell’ultima schermata a destra, si vede come venga richiesta esplicita autorizzazione per il tracciamento dei contatti (come da prescrizioni in materia di privacy; vedere più avanti).
Nel caso in cui si fosse venuti in contatto con uno o più soggetti infetti, verrà esposta una notifica insieme con i dettagli circa le date in cui l’evento è occorso.
A questo punto, come spiegano Google ed Apple, dovranno essere le autorità sanitarie nazionali a indicare a ciascun individuo i successivi passaggi: ad esempio invitarlo all’isolamento domiciliare o sottoporsi a verifica mediante tampone.
Come accennato in precedenza, invece, ai soggetti positivi al test COVID-19, verrà fornito un codice da introdurre nell’app (esso verrà rilasciato solo dalle strutture sanitarie dopo il riscontro di positività).
A questo punto l’utente ha la facoltà (non l’obbligo; anche questo aspetto potrebbe finire per ridurre l’efficacia della soluzione…) di indicare al sistema la propria positività e informare automaticamente tutte le persone con cui, in precedenza, ha avuto dei contatti.
Le API di Google ed Apple dovrebbero essere distribuite sui dispositivi e, quindi, utilizzabili dagli sviluppatori di app a partire da metà maggio. Le app di tracciamento – aspetto fondamentale – non potranno usare le API di Google ed Apple e, allo stesso tempo, richiedere anche il permesso per l’accesso ai servizi di geolocalizzazione: questo comportamento è severamente vietato.
Verranno inoltre supportate solo le app autorizzate da enti governativi, locali o autorità sanitarie; sarà inoltre accettata una sola app di tracciamento anti COVID-19 per singolo Paese (le singole regioni possono comunque rilasciarne di proprie).
La privacy: Commissione Europea e Garante
La Commissione Europea ha stabilito che l’installazione delle app non deve essere imposta obbligatoriamente ma risultare una libera scelta di ogni singolo individuo.
Resta da capire se l’approccio usato congiuntamente da Google ed Apple possa essere approvato: quasi certamente l’attivazione delle funzionalità di tracciamento via Bluetooth saranno presentate con chiarezza a ogni singolo utente che potrà scegliere se partecipare o meno (opt-in).
Il presidente dell’Autorità garante per la privacy, Antonello Soro, ha osservato il 16 aprile 2020 che: “i principi indicati dalla Commissione Europea sono perfettamente in linea con le indicazioni contenute nel parere – di cui è stato relatore il Garante italiano – reso dall’EDPB” (Comitato europeo per la protezione dei dati). “La Commissione, in particolare, indica come preferibili app basate sulla volontaria adesione del singolo e su sistemi di prossimità, come il Bluetooth, in quanto maggiormente selettivi e, dunque, di minore impatto sulla privacy“.
Le nuove sfide che pone l’utilizzo delle app di prossimità secondo EFF (Electronic Frontier Foundation)
EFF, organizzazione internazionale senza scopo di lucro impegnata sulla tutela dei diritti digitali e della libertà di parola nell’era digitale, in un lungo post pubblicato nei giorni scorsi ha preso in esame il tema delle app di prossimità come sono quelle per il tracciamento delle infezioni da Coronavirus.
Nella sua analisi, EFF fa riferimento ai vari modelli per le app di prossimità citando anche quello di Google ed Apple che dovrebbe essere sostanzialmente sovrapponibile a quello dell’app Immuni e osserva che sebbene molte idee siano assolutamente promettenti, restano comunque sul tavolo diversi nodi da sciogliere.
Andrew Crocker, Kurt Opsahl e Bennett Cyphers (EFF) rimarcano con enfasi il fatto che non sono disponibili i risultati delle “prove sul campo” per quanto riguarda le app di prossimità e quindi si chiedono come gestiranno, ad esempio, gli incontri più o meno ravvicinati tra persone che transitano e si incrociano lungo uno stesso marciapiede.
Si sa già, ad esempio, che l’app Immuni rileverà “il contatto” solo quando il segnale Bluetooth resterà sufficientemente potente e ricevibile per un certo numero di secondi (quando questi dettagli tecnici saranno rivelati provvederemo ad aggiornare l’articolo…).
Quindi i falsi positivi dovrebbero essere ancora una volta scongiurati ma c’è comunque la possibilità che possano presentarsi falsi negativi (soggetti ai quali non viene inviata una notifica che invece hanno avuto contatti con positivi COVID-19)?
E, ancora, senza aver avuto la possibilità di effettuare dei test – si chiede EFF – siamo certi che le app di prossimità per il tracciamento delle infezioni da Coronavirus non prendano come “interazioni” o “contatti” tra individui quelle tra persone che sono separate da una parete in uno stesso stabile oppure affiancate al semaforo?
Qual è la ratio quindi? “È meglio che queste app siano leggermente ipersensibili e rischiare di inviare notifiche alle persone che potrebbero non essere state effettivamente a meno di un metro e mezzo da un utente infetto? Oppure l’applicazione dovrebbe avere soglie più alte in modo che un utente, alla ricezione di una notifica, possa ritenere con ottima approssimazione di essere stato realmente esposto?“. Si chiede ancora da EFF.
La tesi di EFF è insomma che l’app di prossimità perfetta per le specifiche esigenze di tracciamento di un’epidemia virale non esiste e non potrà esistere. Perché molteplici sono gli aspetti tecnici da considerare, le variabili in campo e perché non tutti dispongono di smartphone compatibili.
Ci si può allora accontentare di un’app che “offra una buona approssimazione”? Difficile dirlo adesso anche perché – secondo le stime – innanzi tutto sarebbe indispensabile che l’app di tracciamento venisse installata da almeno il 60% della popolazione italiana. A questo proposito, la distribuzione di un aggiornamento integrato in Android e iOS da parte di Google ed Apple darebbe una mano importante ma le incognite ad oggi sono tante.
La stessa Commissione Europea ha stabilito che i meccanismi per il tracciamento delle infezioni da Coronavirus dovranno essere immediatamente disattivati al termine dell’emergenza sanitaria. A questo proposito, EFF sottolinea che le app in questione dovrebbero essere sempre rilasciate come prodotti opensource, in modo che chiunque possa verificarne il codice, e sottoposte a un auditing da parte di soggetti terzi così da verificare la presenza di eventuali problematiche di sicurezza o dell’utilizzo di codice inadeguato.
EFF conclude osservando che “per combattendo tutti insieme il Coronavirus, dobbiamo fare in modo che la parola crisi non diventi un talismano magico che possa essere invocato per costruire nuovi e sempre più intelligenti mezzi per limitare le libertà delle persone attraverso attività di sorveglianza“.