Immuni, Apple-Google e questioni aperte
Una app di “contact tracing” deve dimostrare la sua (auspicabile) efficacia, rispondendo ai legittimi interrogativi sulla sua utilità ex-post.
di Fulvio Ananasso e Sandro Fontana
1. Inquadramento del tema
La necessità di una o più soluzioni ICT (Information & Communication Technology) a supporto delle decisioni delle Autorità amministrative e della popolazione per gestire il ritorno alla (quasi) normalità nonostante la presenza di un così infettivo Severe Acute Respiratory Syndrome Coronavirus 2 (SARS-CoV-2) e l’assenza di un vaccino, era ed è un dato di fatto.
Piattaforme di analisi big data possono essere di grande aiuto per il contrasto alle epidemie, e riuscire a supportare il “contact tracing” con strumenti automatici, creando un elemento (building block) di notevole rilevanza. Certo è che il termine “tracing” non piace, ci fa sentire in qualche modo spiati e vulnerabili – ed infatti nelle documentazioni ufficiali si parla di “exposure notification”. Allo stesso tempo, sarebbe importante poter sapere se, quando e dove sono avvenuti contatti tra soggetti infetti (o a rischio) e soggetti - almeno sulla carta – sani, o anche incontri tra persone sane (asintomatiche?), anche per poter gestire sia le politiche che le regole di ritorno alla vita normale.
Una soluzione ICT / app di tracciamento dei contatti dovrebbe permettere, ad un soggetto che si scopre positivo, di segnalare il suo status ad un Centro di controllo sanitario, il quale potrebbe così comunicarlo a tutti quei soggetti con cui il positivo è entrato in contatto (tipicamente per almeno 10 minuti ed entro due metri circa, rilevabili dalla tecnologia Bluetooth degli smartphone) nei 14 giorni precedenti alla scoperta dell’infezione. Tutto ciò senza che il Centro di controllo sanitario conosca la reale identità dei soggetti coinvolti.
Entrambe le tecnologie GPS e Bluetooth presenti sui nostri smartphone possono essere utilizzate per tracciare i contatti a rischio e poter avvisare i potenziali contagiati. Il GPS identifica i percorsi degli individui che si sono incrociati, mentre il Bluetooth rileva connessioni tra device a distanza ravvicinata (fino pochi metri), senza sapere dove. Per tali motivi, Privacy International ritiene Bluetooth la tecnologia meno invasiva per far si che gli smartphone si accorgano quando sono vicini senza informazioni geo-referenziate che possano far risalire all’identità degli utenti.
Da subito il mantra è quindi stato “niente GPS”, onde evitare geo-localizzazioni che potessero far risalire in qualche modo alle identità delle persone. Nessuna possibilità di poter avere e utilizzare informazioni geo-referenziate su dove siano avvenuti i vari incontri. D’altro canto, a detta di molti esperti, utilizzando un tracking GPS opportunamente anonimizzato ad integrazione del Bluetooth - e.g. tramite un protocollo PPSI (Privacy Preserving Set Intersection) -, i problemi di tutela della privacy sarebbero analoghi ma basterebbe il 20% di utilizzo della app da parte della popolazione rispetto ad oltre il 60% con il solo Bluetooth (Low Energy, BLE) per una ipotizzata efficacia dei risultati.
Il rischio – per quanto detto probabilmente sovrastimato - di possibili violazioni della privacy individuale esclude per ora qualsiasi iniziativa in tale direzione. Rimarrebbe aperta la possibilità di gestire una qualche geo-localizzazione dei dati anonimi ed aggregati, ma al momento questa non sembra presente nelle ipotesi di sviluppo delle app nella maggioranza dei Paesi del mondo.
Una app di supporto al contenimento dell’infezione dovrebbe avere naturalmente anche altre funzionalità: informativa, di comunicazione con il proprio medico di base, di gestione di un diario clinico personale ed autogestito, ecc. Inoltre, l’utilizzo di una app di questo genere deve prevedere che la fase di sviluppo e manutenzione della app stessa sia totalmente trasparente in tutte le sue componenti (disponibilità del codice sorgente e di una documentazione consistente) e che - oltre alla possibilità per chiunque di valutare il software scritto - ci sia un processo di revisione formale che segua standard di sicurezza ben definiti.
In questa sede ci concentreremo esclusivamente sulla funzionalità inizialmente identificata come Contact Tracing (o Exposure Notification), con specifica focalizzazione sulla app Immuni. Gli sviluppatori della app , di pari passo con i decisori Governativi, assicurano la tutela “by design” della privacy, sostanzialmente garantita da (i) assenza di accesso ai (e raccolta dei) dati personali di qualsiasi tipo, (ii) disaccoppiamento del “tracing” dall’identità della persona fisica, (iii) casualità / non tracciabilità della generazione ed assegnazione dei codici identificativi necessari al tracing e (iv) disaccoppiamento tra tracciamento degli eventuali contatti a rischio e identificazione dell’utente positivo al virus, che volontariamente segnala la propria positività sotto il controllo e autorizzazione di un operatore sanitario qualificato.
Tutti argomenti validi, al contempo però opinabili rispetto all’effettiva protezione dei dati personali, aggirabile più o meno sulla base dello specifico processo sanitario in essere relativamente al tracciamento, test e terapia -- le 3 “T”. Come già notato, una app di contact tracing in supporto al contenimento dell’infezione dovrebbe infatti avere varie funzionalità: informativa, di comunicazione con il proprio medico di base, di gestione di un diario clinico personale ed autogestito, ecc. Tutti possibili punti di leakage di informazioni personali sensibili, se non accuratamente regolamentati, specialmente in presenza di soluzioni basate sulla “benevola collaborazione” dei giganti hi-tech al di fuori della giurisdizione e sovranità Europea. E’ quindi opportuno riassumere i vari passaggi della vicenda, che coinvolgono non solo Bending Spoon sviluppatore di Immuni, ma – attenzione – la potentissima alleanza Apple-Google, che controlla con iOS e Android la quasi totalità del mercato degli smartphone.
2. Apple-Google e Immuni
Allo scopo di definire un approccio comune ed interoperabile, il 1° aprile u.s. è nato in Europa il Consorzio Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) che ha inizialmente definito una serie di linee guida su come implementare una app di tracciamento. L’app Immuni, presa in considerazione dal governo italiano, era inizialmente basata sulle specifiche di questo consorzio – anzi, era una delle principali ragioni per le quali era stata selezionata.
Il PEPP-PT aveva però una vocazione centralizzata e non molto trasparente dei dati, per cui a pochi giorni dalla sua nascita sono stati sviluppati altri approcci, tra cui il Decentralised Privacy-Preserving Proximity Tracing (DP-3T, nato il 4 aprile) che forniva una buona garanzia di anonimato e protezione della privacy, definendo una gestione decentralizzata delle informazioni raccolte, che venivano mantenute ed elaborate solo all’interno degli smartphone. Questo approccio prevedeva un metodo di auto-identificazione dello smartphone verso il mondo esterno, basato sulla generazione automatica di codici temporanei ed anonimi (pseudonimi effimeri, Ephid) trasmessi tramite l’uso della tecnologia Bluetooth Low Energy (BLE) presente nei nostri smartphone.
Alcuni Paesi (tra cui la Germania) hanno allora abbandonato l’utilizzo delle specifiche del consorzio PEPP-PT per quelle DP-3T. Anche l’app Immuni, dopo essere stata selezionata dal nostro Governo, ha optato per abbandonare l’approccio PEPP-PT ed abbracciare quello DP-3T, in quanto l’approccio decentralizzato e con identificativi anonimi è stato valutato come un buon sistema di sicurezza e di protezione della privacy, e di conseguenza meno soggetto a critiche da parte delle Autorità di garanzia, associazioni della società civile, popolazione.
Ancora qualche giorno ed il 10 aprile u.s. Apple e Google, che controllano con iOS e Android la quasi totalità del mercato degli smartphone, annunciano una iniziativa congiunta che ricalca il DP-3T, di cui rende più efficiente la gestione degli identificativi temporanei in termini di elaborazione, storage e loro comunicazione, aumentando nel contempo il livello di sicurezza dei dati. Inoltre, questa modalità permette la gestione del Bluetooth LE ad un livello di efficienza impossibile da ottenere senza l’impegno dei costruttori dei due sistemi operativi.
È importante riportare un piccolo inciso di quanto dichiarato nel documento “Exposure Notification v 1.0” di Apple-Google creato il 24 aprile (e pubblicato successivamente):
“On April 10, 2020, Google and Apple announced a two-phase exposure notification solution that uses Bluetooth technology on mobile devices to aid in contact tracing efforts.”
Il servizio è stato quindi pensato in two phases -- da non confondere con la nostra “Fase 2” del contrasto alla pandemia. Ci torneremo nel seguito, ma dopo pochi giorni inizia a circolare la notizia che l’app Immuni adotterà la nuova iniziativa proposta da Apple-Google
Anche in questo caso viene utilizzata la tecnologia Bluetooth Low Energy presente nei nostri smartphone ed implementato un meccanismo di notifica dei contatti (“Exposure Notification Service”) molto attento alla privacy. In pratica, ogni smartphone comunica al mondo circostante un pacchetto di informazioni anonime, che cambiano mediamente ogni 15 minuti. All’interno di questo pacchetto di informazioni c’è un identificativo temporaneo (Rolling Proximity Identifier o RPI) generato tramite algoritmi crittografici mediamente ogni 15 minuti ed alcuni metadati cifrati che contengono il numero di versione del protocollo e la potenza del segnale Bluetooth utilizzata. Il RPI viene generato a partire da una chiave anch’essa temporanea (Rolling Proximity Identifier Key o RPIK) a sua volta generata in parallelo da una chiave “primaria” (Temporary Exposure Key o TEK). Le chiavi TEK ed RPIK vengono generate ogni 24 ore, ma la sola chiave primaria (TEK) viene memorizzata nello smartphone per 14 giorni. (V. Fig. 1). Per di più, anche l’indirizzo del Bluetooth che si sta utilizzando - tipicamente univoco quando si utilizza per altri scopi - in questa modalità di lavoro viene cambiato in modo casuale mediamente ogni 15 minuti. Inoltre è matematicamente impossibile ricalcolare la chiave RPIK a partire dalle RPI o la TEK a partire dalla RPIK – solo il contrario.
Fig.1
Tutta questa complessità serve ad impedire non solo di identificare in modo stabile il nostro smartphone - tutte le chiavi sono generate in modo casuale ed in nessun modo legate alla nostra identità - ma anche di “inseguirlo” nei nostri spostamenti per mezzo di apparecchiature distribuite sul territorio, capaci di ascoltare, memorizzare ed elaborare questi messaggi. Cambiando continuamente e casualmente identificativi ed indirizzi, risulta (quasi) impossibile tracciare i nostri spostamenti – V. ad es. studio su possibili attacchi “Towards Defeating Mass Surveillance and SARS-CoV-2: the Pronto-C2 Fully Decentralized Automatic Contact Tracing System”.
Naturalmente il nostro smartphone, oltre a trasmettere al mondo circostante questi pacchetti di dati – con gli identificativi temporanei Rolling Proximity Identifier (RPI) - acquisisce nello stesso tempo gli equivalenti pacchetti dati provenienti dagli smartphone che lo circondano e con cui viene “in contatto” per un periodo di tempo che sia considerato significativo (V. Fig 2). Quando uno di questi pacchetti viene acquisito e memorizzato, viene aggiunto anche l’orario dell’evento. Queste informazioni vengono memorizzate nello smartphone per il periodo di tempo attualmente considerato rilevante ai fini di un contagio -- 14 giorni, valore aggiornabile dal sistema, ove siano necessarie durate differenti. Il fatto che le informazioni vengano conservate negli smartphone, definisce questo approccio come decentralizzato o distribuito.
A cosa servono questi dati gestiti internamente agli smartphone? Il sistema prevede che periodicamente ogni smartphone si connetta ad un Diagnosis Server - che possiamo immaginare come un Centro di Controllo Sanitario, gestito auspicabilmente da Pubbliche Amministrazioni - per scaricare gli identificativi giornalieri (le Temporary Exposure Key o TEK) associati ai casi risultati positivi. Fornendo queste TEK al software Apple-Google presente nello smartphone, verrebbero derivate da queste le RPIK e da esse gli identificativi temporanei (Rolling Proximity Identifier o RPI). Sarebbe quindi possibile verificare LOCALMENTE se uno o più di questi RPI calcolati coincida con alcuni di quelli memorizzati nello smartphone, cioè con i codici temporanei degli altri smartphone con cui è venuto in contatto. La TEK permette di ricalcolare anche la chiave di cifratura dei metadati, per cui, in queste condizioni, il sistema Apple-Google può decifrare i metadati che contengono la potenza del segnale all’origine, valore utilizzato per meglio approssimare la distanza dello smartphone emittente (cioè del possibile contagio).
Fig.2
Fig.3
L’alert su un avvenuto contatto a rischio di contagio verrebbe quindi evidenziata dall’app stessa al proprietario dello smartphone, il quale su base volontaria potrebbe essere guidato in una serie di azioni preventive e di controllo -- ad es. contattare il proprio medico di base, una struttura sanitaria ad hoc, il Centro di controllo sanitario, ecc.La Figura 3 mostra uno schema logico delle operazioni di comunicazione e verifica dei contatti.
Ovviamente, affinché il Diagnosis Server possa fornire le TEK dei soggetti positivi, è necessario che quando un soggetto si scopra positivo comunichi al Server stesso - tramite l’app ed in coordinamento con la struttura medica di riferimento - i propri TEK degli ultimi 14 giorni. Questa operazione può divenire critica per la privacy ed aprire vari scenari per il tracciamento degli spostamenti e dei contatti di un utente negli ultimi 14 giorni (vedi lo studio citato).
La procedura che permette al soggetto positivo la comunicazione dei propri codici TEK dovrà prevedere l’impossibilità di associare l’identità del soggetto - rivelata peraltro al Servizio Sanitario a fronte delle analisi fatte - al messaggio con gli identificativi degli ultimi 14 giorni. E’ plausibile prevedere che per poter inviare un messaggio di tale delicatezza, il Diagnosis Server possa accettare solo messaggi verificabili tramite codici di accettazione, a loro volta forniti al paziente che abbia deciso di condividere il proprio stato sanitario.
Tuttavia, senza un meccanismo tipo The Onion Router (TOR) ed una grande attenzione alle procedure di rilascio di questi codici di accettazione, non sarebbe troppo difficile definire uno scenario per geo-localizzare e tracciare gli spostamenti della persona dichiarata positiva e successivamente dei suoi contatti. D’altro canto, tutte le elaborazioni sui dati (e i dati stessi) non sono mai resi disponibili direttamente all’eventuale app o all’utente. I dati e le loro elaborazioni risiedono all’interno del sistema software fornito da Apple-Google, i quali dichiarano che i dati gestiti negli smartphone non saranno utilizzati da nessuno, né monetizzati da Apple o Google.
3. Situazione internazionale
È altresì fondamentale che la soluzione tecnologica sia interoperabile con altre app sviluppate a livello internazionale (almeno europeo). Cosa succederebbe altrimenti a chi viaggia? Si dovrebbe dotare di una app diversa per ogni Regione / Paese visitati? Una soluzione standard comune o almeno interoperabile con altri sistemi sarebbe altamente auspicabile (anche per efficacia statistica ed economie di scala), al posto dell’ordine sparso in cui si stanno muovendo attualmente i singoli Paesi (V. sotto), e addirittura Regioni e Comuni. MIT sta analizzando la situazione (“Covid Tracing Tracker”), dando giudizi di merito sui vari aspetti di rispetto delle libertà fondamentali dell’app -- al di là della loro efficacia.
In Austria la locale Croce Rossa gestisce l'app “Stopp Corona”, che consente agli utenti di essere informati sulla positività di altri utenti nel pool degli utilizzatori. Nonostante la presenza anche dell’app “NOVID20”, una piccola percentuale della popolazione sembra averle scaricate.
Il Belgio si sta concentrando sul tracciamento umano piuttosto che tecnologico, anche per lo scarso numero stimato di utilizzatori della app sulla scorta di analoghe esperienze in altri Paesi.
La Francia è molto attenta alla propria 'sovranità digitale'', e a differenza degli altri 22 Paesi Ue con modello decentrato ha deciso di non avvalersi della piattaforma Apple-Google, ma ha optato per un sistema centralizzato di gestione delle informazioni (“StopCovid”). Non ci si affida alla geo-localizzazione ma sempre sulla tecnologia Bluetooth per notificare l’eventuale prossimità con chi è risultato positivo, senza rivelarne l'identità né il luogo dove è avvenuto il contatto.
La Germania ha scelto il sistema decentralizzato Apple-Google dopo l’abbandono di un primo progetto molto simile a quello francese, nel quale i dati archiviati in un server sotto il controllo delle autorità preposte potevano essere consultati dalle istituzioni/ epidemiologi onde monitorare la diffusione del virus. Ora con l’approccio Apple-Google chi scarica l’app Corona-Warn-App potrà condividere il proprio numero di telefono con le autorità sanitarie su base volontaria.
In Irlanda, l'app (volontaria) prevede anche una localizzazione per avvisare gli utenti se qualche contatto è risultato positivo.
L’Islanda, unica in Europa, preferisce usare il GPS invece del Bluetooth, e l’app è stata già scaricata da più del 40 per cento della popolazione.
In Norvegia, nonostante il parere critico del garante privacy che riterrebbe l’intrusione sui dati sensibili non giustificata dalla situazione sanitaria, l’app è volontaria ma impiega un modello sostanzialmente centralizzato, utilizzando sia GPS (per rintracciare i telefoni di coloro che sono stati in contatto con un utente positivo) che Bluetooth, e cancellando i dati dopo un mese.
Come la Francia, anche il Regno Unito aveva inizialmente deciso di adottare un approccio centralizzato, utilizzando la tecnologia Bluetooth per registrare i contatti con persone rivelatesi positive al virus e avvisare i potenziali contagiati, crittografando e archiviando i dati raccolti in un unico database gestito dal National Health Service (NHS), in conformità con le norme sulla privacy vigenti nel Paese. In questo modo, il governo riteneva di poter ricavare maggiori informazioni sulla diffusione del virus e quali utenti fossero maggiormente esposti a rischio. In realtà, dopo oltre un mese dall’avvio ai primi di maggio della fase di test dell’app NHS, il sistema sanitario nazionale britannico ha bloccato la sperimentazione, e deciso di realizzare in autunno una nuova applicazione basata sulla piattaforma decentralizzata Apple-Google.
Nella Repubblica Ceca, l’app ‘Smart Quarantine’ gestita dal Ministero della Salute incrocia geo-localizzazione e movimenti delle carte di credito per tracciare mappe degli spostamenti degli individui negli ultimi 5 giorni per risalire ai possibili contatti avuti.
La Spagna, dopo una sperimentazione alle Isole Canarie, sembrerebbe prevedere un'app decentralizzata con l’approccio Apple-Google, assicurando che sia “perfettamente rispettosa dei diritti delle persone e della tutela della privacy e dei dati personali”.
Come la Norvegia, la Svezia pensa ad un approccio sostanzialmente centralizzato. La Swedish Public Health Agency può utilizzare i dati (anonimi e aggregati) sulle celle telefoniche forniti dall’operatore Telia per analizzare i movimenti delle persone contagiate dal coronavirus.
In Svizzera, l'app sviluppata dai Politecnici federali di Losanna e Zurigo è facoltativa e prevede un approccio decentralizzato, anonimo, non geo-localizzato, con l’utilizzo del Bluetooth per misurare la distanza tra utenti e notificare loro eventuali contatti entro 2 metri per almeno 15’.
E nel resto del Mondo?
In Australia, circa 2,5 milioni di persone (10% della popolazione) hanno scaricato l’app CoViDSafe del governo, che utilizza un segnale Bluetooth per registrare, crittografare e notificare contatti tra utenti entro un metro e mezzo per più di 15 minuti con un altro utente che risulti positivo. (Anche) a causa del fatto che il governo Australiano non ha atteso soluzioni tecnologiche interoperabili globali ma ha preferito muoversi in fretta sulla scia di Singapore, è stato peraltro evidente fin da subito come ci fossero problemi di sovraccarichi, falsi positivi o negativi, di necessità di reminder governativi di attivare l’app almeno ogni mattina, ecc.
In Cina le app sono obbligatorie e sorvegliano i singoli individui attraverso soluzioni molto invasive, in grado di tracciare gli spostamenti e gli incontri delle persone e di valutare il loro rischio -- anche utilizzando software di riconoscimento facciale. Viene assegnato a ogni cittadino un diverso grado di pericolosità epidemica mediante un codice verde, giallo o rosso a seconda del proprio stato di salute o rischio di infezione. Non si può uscire di casa senza essere pronti a mostrare il codice memorizzato sull’app.
In Corea del Sud l’app “Corona 100m” (e/o la mappa online “Coronamap”) informa i cittadini di tutti i focolai presenti sul territorio e li avvisa a 100 metri di distanza dal focolaio. Il governo coreano ha puntato molto sul tracciamento, test a tappeto e l’isolamento dei cittadini entrati in contatto con le persone infette. Un sistema di controllo e analisi dei dati reso possibile anche dal fatto che la legge coreana consente all’autorità sanitaria di avere accesso ai dati delle telecamere di sorveglianza, a quelli di tracciamento tramite GPS di telefoni e auto e alle transazioni effettuate con carte di credito per ricostruire gli spostamenti delle persone risultate positive al coronavirus. Tutte informazioni poi condivise, in forma anonima, sull’apposita app in modo da consentire a tutti di conoscere, in tempo reale, le eventuali situazioni di rischio. Nonostante tutti questi controlli ed intrusioni nella privacy degli individui, non mancano critiche sull’efficacia della soluzione.
In India, il governo ha lanciato l’app “Un ponte di salute”, che usa localizzazione e Bluetooth per valutare se un utente è stato vicino ad una persona positiva al virus. I dati raccolti (crittografati) restano sullo smartphone, venendo condivisi in caso di contagio con la sola Autorità centrale -- non terze parti.
In Israele l’app volontaria “HaMagen” ("Scudo") utilizza i dati sulla posizione (mediante localizzazione sia GPS che WiFi) e li confronta con quelli presenti nei server del Ministero della Salute sulla posizione dei casi confermati positivi nei 14 giorni precedenti il contagio – pubblicati periodicamente. Se c’è coincidenza, il Ministero fornisce indicazioni per la quarantena, mantenendo i dati sensibili solo sullo smartphone dei contagiati. Nonostante ciò, secondo i critici non è garantita la privacy dell’utente poiché il Governo ha accesso ai dati sulla sua posizione che possono essere facilmente utilizzati in modo improprio.
In Qatar l’app è obbligatoria, pena la carcerazione. Per il tracciamento vengono utilizzate sia tecnologie GPS che Bluetooth. I dati vengono archiviati in un server centralizzato ma non anonimizzati, con seri rischi per i dati sensibili, come denunciato da Amnesty International.
In Russia, per poter uscire di casa gli over 14 devono scaricare l’app o registrarsi su un sito governativo, ricavandone un QR code da portare sempre con sé (stampato o salvato sul cellulare) insieme al passaporto per eventuali controlli delle Autorità. Per chi si muove è necessario registrare il numero di targa dell’auto o il numero della tessera d’abbonamento al servizio pubblico. Per controllare che i positivi rispettino la quarantena, ogni tanto viene chiesto loro di mandare un selfie per dimostrare di essere chiusi in casa, pena sanzioni di vario tipo.
Singapore è stato uno dei primi Stati a dotarsi di una app di contact tracing (“Trace Together”) che traccia i contatti via Bluetooth, anche se i dati sulla reale utilizzazione ed efficacia sono piuttosto controversi. Con la registrazione (volontaria), l’app assegna un ID casuale al numero di cellulare dell’utente, non raccoglie dati sulla sua posizione, e i dispositivi che si trovano vicini si scambiano gli identificativi temporanei in modo anonimo e crittografato. Se un soggetto dovesse risultare positivo al virus, il Ministero della Salute è l’unico in possesso della chiave per la decrittazione dell’ID dell’utente infetto e invia una notifica a tutti quelli che si sono trovati nelle vicinanze di tale soggetto. Vi è il rischio in questo caso di ingiustificate ingerenze da parte del governo che potrebbe utilizzare le informazioni a disposizione in modo improprio.
Gli Stati Uniti supportano – comprensibilmente – la piattaforma Apple-Google, utilizzando i segnali Bluetooth per scambiare “chiavi” anonime tra telefoni che sono vicini l’uno all’altro. Chi dovesse risultare positivo a Covid-19, può inserire il risultato del test nell'app e avvisare tutti gli altri utenti che erano vicini a quella “chiave” di recente. Ogni stato federale ha peraltro facoltà di sviluppare la propria soluzione all’interno delle regole stabilite dal Center for Desease Control and Prevention. C’è anche da sottolineare come gli Usa avrebbero pianificato l’assunzione di 150.000 “tracciatori” umani (telefonate, contact center, telediagnosi, ecc. per monitoraggio diffusione focolai, analisi ed elaborazioni statistiche, …) supportati da sistemi si supporto alle decisioni (Dss) piuttosto che ricorrere esclusivamente ad app di contact tracing.
4. Alcuni interrogativi
Tutto sotto controllo, quindi? Non proprio. C’è da dire che, appena iniziata la sperimentazione lo scorso 8 giugno in quattro Regioni Italiane, ci si è accorti che l’app Immuni non sarebbe in grado di tenere conto della citata distanza di 2 metri, con ciò limitandone l’efficacia di tracciamento/alerting. E’ altresì opportuno sottolineare come le funzioni delle app che utilizzano l’approccio Apple-Google (Immuni o altra), dalla generazione degli identificativi temporanei (RPI) alla loro comunicazione, registrazione, elaborazione ed uso, nella citata “phase two” verranno svolte direttamente dal sistema operativo del nostro smartphone. Da “ExposureNotification-FAQv1.1.pdf” di Apple-Google, si legge infatti (FAQ n.4, 5° comma):
“In the second phase, available in the coming months […] After the operating system update is installed and the user has opted in, the system will send out and listen for the Bluetooth beacons as in the first phase, but without requiring an app to be installed.”
In pratica Apple e Google (possono e) decidono di fare tutto da sole, fondamentalmente parlando da pari ai Governi, spiegando loro cosa c’è da fare e come farlo. Chi cerca di farne a meno, deve superare difficoltà non indifferenti. Esse sono grandi Aziende e (almeno formalmente) seguono o seguivano il principio “don’t be evil”. Ora sembrano aver adottato un più pragmatico “do the right thing”, il che lascia legittimamente aperti dubbi e interrogativi su possibili comportamenti futuri più o meno etici. E sono seconde solo ai Governi stessi (e non solo nei regimi totalitari) nei rischi di sorveglianza di massa (vedi ad esempio una interessante intervista con Edward Snowden ed un suo video sul tema).
Inoltre l’approccio fin qui portato avanti dai governi e da Apple-Google porge il fianco anche a due pericolosi tipi di attacco (Replay e Relay) da entità criminali, cyber-terroristi, “hack-tivist” politici, … molto problematici per la stabilità del Paese. L’obiettivo è lo stesso: collezionare le RPI dall’ambiente circostante, dove si ritiene probabile trovare dei positivi al Covid-19, per poi ritrasmetterli in altri luoghi (affollati): un supermercato, una metro, gli uffici di un’azienda concorrente che si vuole mettere in difficoltà, ecc. E’ plausibile pensare che almeno alcuni di questi RPI risulteranno poi appartenenti a soggetti positivi, creando falsi allarmi di contagio e mettendo in difficoltà l’ambiente prescelto dall’attaccante. L’attacco Replay registra gli RPI e poi (magari il giorno dopo) li ritrasmette dove necessario. L’attacco Relay li acquisisce allo stesso modo, ma li spedisce in tempo reale ad una (o più) stazione già pronta nel luogo target, che a quel punto li ritrasmette immediatamente al pubblico presente nel luogo target.
Contenere o annullare questi attacchi non è semplice per molte ragioni, ma è sicuramente necessario studiare un protocollo più evoluto che provi almeno a contenerli. Nelle condizioni attuali questo significa obbligare Apple-Google ad operare in collaborazione con istituzioni pubbliche (ad es. in Europa con Etsi) e/o a fornire l'accesso diretto alle funzionalità Ble - cosa che al momento non viene fatto - in modo che i vari governi possano definire direttamente nuovi protocolli utili. Purtroppo questi ultimi potrebbero aprire un certo numero di vasi di Pandora in termini di libertà civili.
Senza contare la potenziale violazione delle norme antitrust: un accordo tra grandi Imprese capace di limitare lo sviluppo del mercato. Infatti, la soluzione Apple-Google è sostanzialmente “chiusa”, rendendo molto arduo (se non impossibile) ad altri fornitori sviluppare soluzioni alternative in regime di concorrenza, specialmente rivolte a non possessori di smartphone, smart band o simili. E anche per chi li possiede, Apple e Google sembrerebbero in grado di decidere su quali smartphone può funzionare l’app Immuni. I due giganti hi-tech giocherebbero un ruolo cruciale nello spingere milioni di persone “escluse” ad acquistare nuovi modelli di smartphone, traendone un innegabile vantaggio commerciale. Inoltre, il sostanziale “lock-in” della soluzione non assicurerebbe l’interoperabilità con altre app, basate su modelli sia centralizzati (ad es. Francia) che decentralizzati ma diversi dal framework Apple-Google, con ciò non garantendone il funzionamento (quantomeno) all'interno Ue. E non stupirebbe la circostanza che Apple-Google possano aver favorito se non imposto l'approccio decentralizzato, facendo apparire quello centralizzato come “Grande Fratello” governativo, come la Francia.
In Europa, in accordo con le linee guida del Comitato europeo per la protezione dei dati, organo europeo indipendente per la promozione della cooperazione tra le Autorità competenti nazionali e l’applicazione coerente delle norme sulla protezione dei dati nell’Ue, ogni soluzione tecnologica deve essere compliant con il Regolamento GDPR e la direttiva sulla protezione dei dati personali (e-Privacy). Restano comunque in primo piano i problemi di proprietà e gestione dei dati raccolti sui comportamenti della popolazione, specialmente in presenza di una (non ancora dimostrata) efficacia sanitaria ex-post a fronte della cessione di dati sensibili ex-ante, non si sa bene a chi e come gestiti -- nonostante le (comprensibili) rassicurazioni governative.
5. Riepilogo delle questioni aperte
In Europa, le app devono attenersi alle linee guida dettate della Commissione, ma la Francia ha scelto una soluzione centralizzata che prevede che i dati degli utenti - appositamente crittografati - finiscano sui server del sistema sanitario nazionale. Altri 22 Paesi Ue, Italia compresa, hanno seguito il modello decentralizzato Apple-Google, che prevede che i dati non abbandonino mai il telefono dell’utente, ancorché nella citata fase 2 di Apple-Google tutte le funzioni saranno svolte dai sistemi operativi, quindi sotto il controllo delle stesse compagnie hi-tech.
Interessante il giudizio di Solange Ghernaouti, docente all'Università di Losanna ed esperta internazionale di sicurezza informatica: “"Nessun Paese ha trovato l'app miracolosa o ne ha dimostrato l'efficacia. In queste condizioni, sarebbe meglio non utilizzarla".
Resta infatti centrale la dimostrazione dell’efficacia di una tale app nelle condizioni date di organizzazione e protocolli sanitari, insieme agli strumenti di prevenzione e cura attualmente e prevedibilmente disponibili. Non si tratta infatti solo di garantire, anche in un contesto di emergenza sanitaria, diritti fondamentali legati alla protezione dei dati personali, ma soprattutto di analizzare le condizioni organizzative che possano rendere utili questi dispositivi e le conseguenze sociali che possono derivare dal loro utilizzo e generare ulteriori e inedite forme di disuguaglianza. La valutazione dell'impatto complessivo, soprattutto in termini di relazioni sociali oltre che di efficacia operativa in termini di costi-benefici, dovrebbe precedere l’effettiva adozione di qualsiasi ipotesi realizzativa. Mai come in questo caso ogni realizzazione tecnologica è anche progettazione dell’organizzazione sociale che da essa viene abilitata.
Ci sono varie ragioni per le quali le app di contact tracing potrebbero non essere efficaci. Ad iniziare dal digital divide(sia infrastrutturale che “culturale”), che esclude dall'operazione una fetta non marginale (20-30%) della popolazione, in particolare quella anziana più a rischio di contagio. La gestione dei dati sensibili, come già sottolineato, non garantisce al momento le necessarie garanzie di tutela (quantomeno) vis-à-vis i giganti hi-tech. La volontarietà dell’adozione, ancorché rispettosa dei principî e libertà democratici, non assicura sostanzialmente in nessun Paese del mondo la necessaria percentuale di utilizzatori (oltre 60%, a detta degli esperti) per una auspicabile efficacia di monitoraggio e tracciamento.
Ma forse anche più importante (per la “psicologia di massa” e l’adozione dalla popolazione), cosa si deve fare se si è avvisati di un avvenuto contatto che potrebbe causare un contagio? Già il fatto che il sistema NON sia tecnicamente in grado (per via delle fluttuazioni del segnale Bluetooth) di discernere con precisione le distanze, causa interrogativi del tutto legittimi tra gli esperti sull’efficacia della app -- un contatto a mezzo metro o a 5-10 metri hanno lo stesso effetto? E l’indossare o meno le mascherine? Anche più rilevante psicologicamente, l’avviso ricevuto di avvenuto contatto a rischio può creare ansia negli individui coinvolti, che a questo punto vorrebbero sapere con certezza se siano stati o meno contagiati. Si viene indirizzati all’effettuazione di un tampone, test sierologico, auto-quarantena, o altro? E chi ci indirizza? Il nostro medico? Il Servizio Sanitario, i cui processi variano sovente Regione per Regione?
E’ evidente una fase di confusione e disorientamento nell’opinione pubblica (almeno quella dei regimi democratici), disposta probabilmente a rinunciare in parte alla propria privacy (termine peraltro impreciso, qui si parla di protezione dei dati personali sensibili, cosa molto più seria e con implicazioni potenzialmente molto pericolose per i principî democratici,) in cambio di vantaggi sanitari concreti e dimostrabili, non speranze salvifiche per nulla dimostrate. Non mancano esempi in varie parti del mondo nel recente passato di sorveglianza e manipolazioni di massa basate sull’utilizzo di informazioni personali (anche solo aggregate), che hanno portato a palesi violazioni dei principî democratici – ad iniziare dagli esiti di note consultazioni popolari, frutto di ingerenze e manipolazioni di dati che noi stessi forniamo online, troppo spesso “sudditi” di piattaforme che non controlliamo e decidono loro se essere eticamente corrette o no.
E’ sempre più evidente, pertanto, come il “processo sanitario” - il flusso informativo / operativo / attuativo che è (o dovrebbe essere) il più efficace per contrastare la pandemia - sia il cuore del problema, da cui derivare le soluzioni tecnologiche di supporto alle decisioni (DSS) più appropriate alla bisogna. E’ su tale processo che occorrerebbe concentrarsi prioritariamente. Al di là delle diverse “visioni” ed opinioni del corpo medico-sanitario sulla base delle rispettive specializzazioni, un buon punto di partenza potrebbe essere il documento dell'European centre for disease prevention and control (Ecdc, l'equivalente dell'Iss a livello Ue) “Contact tracing: Public health management of persons, including healthcare workers, having had contact with Covid-19 cases in the European Union - second update”, che riporta in Allegato (pag.7) un diagramma di flusso di monitoraggio e controllo sanitario.
L’evoluzione sostanzialmente positiva della situazione sanitaria in alcuni Paesi dotati di tecnologie avanzate è dovuta all’insieme delle misure sanitarie dispiegate - in cui il fattore umano e organizzativo, più che le (sole) tecnologie di supporto, è in grado di fare la differenza -, ed ha contribuito a sopravvalutare le aspettative dai sistemi di tracciamento digitale. La tecnologia è molto importante in supporto alle decisioni, ma il dispiegamento di una efficace soluzione tecnologica non dovrebbe partire dalla coda (app) ma eventualmente arrivare ad essa, alla fine di un rigoroso processo di approfondimento (top down) di tutti gli aspetti del problema -- sanitari, organizzativi giuridici, socio-economici e soprattutto umani.
Riepilogando, per le app che adottano la soluzione Apple-Google, (i) il sistema Bluetooth non sembrerebbe in grado di discriminare la distanza, (ii) i due giganti hi tech decidono loro su quali smartphone possa funzionare, (iii) nella “phase two” gestiranno i dati con il loro sistema operativo proprietario (con tutti gli interrogativi sulla gestione reale – e non solo auspicata – dei dati personali sensibili), (iv) possibili attacchi alla sicurezza (Relay, Replay o altro) con falsi positivi o negativi, (v) vari nodi di leakage di informazioni personali sensibili – singole o aggregate - al di fuori della giurisdizione e sovranità Europea, (vi) interoperabilità ancora da assicurare tra le varie app e aree geografiche, (vii) possibili violazioni della normativa antitrust. In breve, efficacia ex post tutta da dimostrare a fronte di cessione di dati personali sensibili ex ante e una serie di altri interrogativi aperti.
Allo scopo di assicurare l’interoperabilità tra le diverse app dei diversi Paesi o regioni, le linee guida tra Stati membri e Commissione UE prevedono la creazione di una federazione europea di server, “il gateway UE”, al quale potranno aderire anche “trusted non-EU countries”. Il gateway sarà gestito da un “trusted operator” (non necessariamente pubblico, le stesse Apple-Google?), riceverà e creerà Covid-keys tra i back-end nazionali dei Paesi coinvolti -- per l’Italia Sogei e PagoPa. Gli Stati membri hanno concordato una serie di specifiche tecniche volte ad assicurare lo scambio sicuro di informazioni tra le app nazionali di tracciamento dei contatti basate sull’architettura decentrata Apple-Google. E chi non utilizzasse l’approccio Apple-Google – ad es. la Francia?”
6. Conclusioni e raccomandazioni. Sovranità digitale Ue
Il coronavirus SARS-CoV-2 è tra noi e non andrà via facilmente. Sembra ormai acclarato come il comportamento e lo stile di vita dell’umanità abbiano permesso e continueranno a permettere il diffondersi di virus con ondate ricorrenti in cicli tra i cinque ed i quindici anni.
I nostri comportamenti sociali – tra cui i pervasivi e rapidi trasferimenti aerei - e la crescita esponenziale della popolazione mondiale a partire dal secolo scorso facilitano la diffusione di questi agenti patogeni. Si pensi ad esempio alle crisi più recenti, come le influenze aviarie H5 e H7 nel 1997, la H5N1 e la Sars nel 2003. La cosa più importante da fare è non dimenticare le esperienze fatte, gli errori commessi e le buone pratiche definite, e naturalmente tenersi pronti per la prossima ondata.
Dovendo imparare a convivere con epidemie e simili sempre più frequenti ed aggressive, occorre ridisegnare processi, strumenti e procedure della “Sanità del Futuro”, prevedendo un uso sempre più pervasivo di Information & Communication Technologies (ICT) a supporto delle decisioni umane – corpo medico-sanitario, Autorità amministrative, ecc. Il “processo sanitario” - il flusso informativo / operativo / attuativo che è (o dovrebbe essere) il più efficace per contrastare la pandemia - è il cuore del problema, da cui derivare le soluzioni tecnologiche di supporto alle decisioni (DSS) più appropriate alla bisogna – piattaforme di (big) data management, app di contact tracing, ... Il fattore umano e organizzativo, più che le (sole) tecnologie di supporto, è in grado di fare la differenza, e il dispiegamento di efficaci soluzioni tecnologiche dovrebbe partire da un rigoroso processo di approfondimento (top down) di tutti gli aspetti del problema -- sanitari, organizzativi giuridici, socio-economici e soprattutto umani.
Riguardo alle app di contact tracing, abbiamo illustrato le ragioni per le quali potrebbero non essere efficaci: digital divide, gestione dei dati sensibili tuttora poco chiara, volontarietà dell’adozione, non consapevolezza di cosa fare se si è avvisati di un avvenuto contatto ai potenziale rischio contagio. Ma un interrogativo “strategico” ancora più allarmante dal punto di vista della nostra sovranità digitale risulta l’accordo Apple-Google - a tutti gli effetti un “cartello”, su cui forse dovrebbero intervenire le autorità Antitrust – “benevolmente” messo a disposizione degli Stati a livello globale, piegandone gran parte ad adottare la propria soluzione, sostanzialmente “chiusa” e capace di limitare lo sviluppo del mercato.
Che due giganti del web possano parlare da pari a pari ai Governi Ue, spiegando (se non imponendo) loro cosa fare e come farlo rappresenta un rischio serissimo per la sovranità digitale (“data driven”) del nostro Continente. Il fatto che siano importanti e note aziende non fuga dubbi e interrogativi su possibili comportamenti più o meno etici (già visti in passato).
Il ministro francese per l’Innovazione digitale, dopo aver criticato la posizione di Apple e Google, ha dichiarato come le politiche interne di qualsiasi azienda non possano vincolare scelte su questioni che riguardano la salute pubblica. E sulla stessa linea, il Presidente francese Emmanuel Macron ha detto che dovrebbe spettare ai governi, e non alle aziende, la decisione di stabilire il modo migliore per proteggere la popolazione in questi delicati frangenti.
L’Europa, a differenza dei passati fasti nelle reti e servizi di telecomunicazioni, tecnologie informatiche, è da decenni estremamente dipendente tecnologicamente dall’estero: Usa per i sistemi operativi, piattaforme (motori di ricerca, servizi cloud, e-commerce, …); Cina per le tecnologie 5G, l’accaparramento dei materiali strategici in Africa, ecc. La cosa, nota ed accettata sinora dai governi Ue - più che dalla generica definizione di Europa, che scarica su una identità virtuale mai completamente realizzata le responsabilità dei Governi degli Stati Membri - sta iniziando a preoccupare, oltre agli Stati membri, anche altre nazioni, come gli Usa stessi, soprattutto per controbilanciare il “pericolo cinese”.
Ad esempio, abbiamo assistito per anni al proliferare di piattaforme in cloud extra-UE, sistemi di messaggistica / videoconferenze online e software proprietario di grandi player USA anche nelle Istituzioni e nella PA, … Il dibattito è sempre aperto ma sovente limitato agli addetti ai lavori, che tornano periodicamente – talvolta in maniera più ideologica che pragmatica – sulla questione del software libero (open source) rispetto a quello proprietario. Soluzioni open source sono sempre benvenute e in taluni casi introdotte con soddisfazione in vari contesti pubblici e privati (ad es. la Francia ha scelto piattaforme open source per le videoconferenze di Stato), ma è necessario che ci sia chi ne garantisca la qualità, la stabilità, l'assistenza e la scalabilità, pena l'insostenibilità della soluzione su larga scala. E' più rilevante che qualsiasi tipo di soluzione prescelta rispetti le normative UE e i dati siano localizzati in Italia / UE. Perché non pensare quindi ad un cloud (pubblico o privato) europeo, ovvero uno italiano nel rispetto delle normative UE federato con iniziative simili a livello Europeo, pervasivo in tutti i settori pubblici e privati?
Oltre al cloud così come lo intendiamo oggi, occorre porre attenzione ad un fenomeno in crescita esponenziale, le Content delivery networks (Cdn) poste ai confini (“edge”) delle “nuvole” per avvicinare agli utenti la fruizione delle applicazioni di rete. Infatti, la velocità (di scambio dati) delle applicazioni nelle reti IP (throughput) è tanto più bassa della velocità di trasmissione / banda teoricamente disponibile (bit rate) quanto più sono alti la perdita di pacchetti (packet loss) e il loro ritardo di trasmissione (round trip time = 2 x latenza). Avvicinando sempre più i server di service delivery (cioè i contenuti) agli utenti con reti CDN sempre più pervasive, le prestazioni di rete migliorano e vengono ottimizzati costi e prestazioni.
A fronte dell’attuale rapporto grosso modo 80%-20% tra cloud ed edge computing, si stima l’inversione dello stesso in 3-5 anni, e le tecnologie di edge computing non sono al momento (ancora) di predominio USA o Cina.
Barbara Beltrame, vicepresidente di Confindustria con delega all'internazionalizzazione auspica poi la creazione di una piattaforma europea di e-commerce che possa competere con Amazon (USA) e Alibaba (Cina) – anche per rilanciare il made in Italy.
E in un tale scenario, che ruolo potrebbe avere la blockchain? Non possiamo chiudere senza citarne almeno un attore. Il Prof. Silvio Micali, fondatore nel 2017 di Algorand, ha pubblicato un interessante documento sull’utilizzo della sua blockchain per aggiungere una serie di informazioni anonime - ma pubbliche e verificabili - ai servizi di Contact Tracing / Exposure Notification illustrato in precedenza.
In pratica, le informazioni riguarderebbero il numero di contatti che ogni persona ha durante l’arco della giornata. Solo il numero, non con chi, dove o altre informazioni personali. Questo solo numero aiuterebbe in modo significativo i Governi a monitorare giornalmente l’effetto delle modifiche nelle regole imposte alla popolazione, consentendo di mantenere una “rotta” più stabile nel rientro alla normalità, pur nella convivenza con il virus.
È un esempio elegante di quello che è possibile fare con una tecnologia aperta e distribuita come la blockchain. Algorand in particolare è una soluzione piuttosto interessante, in quanto attualmente è l’unica blockchain permissionless e contemporaneamente scalabile per il numero di transazioni che potrebbero essere interessate.
Questi sono tutti campi di gioco possibili per l’Europa. Organizziamoci per condividere le informazioni che abbiamo raccolto, e ragioniamo sugli auspicabili processi operativi “virtuosi” e sui dati che potranno esserci utili in futuro, di come raccoglierli e gestirli. La crisi creata dal Covid-19 dovrebbe farci riflettere sulle nostre dipendenze e renderci attori consapevoli di un “nuovo Rinascimento”, investendo in processi e piattaforme data driven strategici per la nostra auspicabile indipendenza tecnologica da Usa e Cina.
Potrebbe essere arrivato il momento di pianificare lo sviluppo strategico, a livello europeo, di:
- un sistema operativo UE (“EurOS”) per smartphone / tablet
- architetture di super-calcolo basate su quantum computing
- una rete 5G completamente europea
- una piattaforma UE per e-commerce
- piattaforme UE (pubbliche o private) per servizi cloud e edge computing (CDN)
- piattaforme per la gestione di criptovalute stablecoin / token pubblici per transazioni (nazionali e cross-borders) blockchain-based
(Le considerazioni sopra ripotate riflettono le opinioni degli autori e non necessariamente quelle delle organizzazioni di appartenenza)
di Fulvio Ananasso, presidente di Stati Generali dell'Innovazione, consigliere Cdti
Sandro Fontana, Ceo & digital architect GT50, Stati Generali dell'Innovazione, Cdti