Attualità

Contact tracing e il trilemma del Coronavirus

Esther Capasso 0 Commenti , ,

Dall’inizio della pandemia di Covid-19 molti Paesi si sono trovati di fronte a quello che potremmo chiamare il “trilemma del coronavirus”, per il quale si possono scegliere solo due delle seguenti tre opzioni: limitare le morti, allentare le misure di restrizione o difendere le libertà civili. È l’ultima opzione quella che molti governi asiatici hanno deciso di sacrificare, ma se la popolazione di oggi non si pone problemi nell’affidare i propri dati a Google o Facebook, che potrebbero utilizzarli per fini commerciali, la questione diventa molto più complessa quando si parla di app di contact tracing. Di iniziativa governativa, queste nuove applicazioni per smartphone dovrebbero essere d’aiuto nel tracciare la diffusione del virus e nel controbilanciare la fine progressiva delle nuove misure di confinamento. Mentre in Europa si iniziano a vedere i primi spiragli di luce, e in Italia si arriva alla Fase 2, i governi occidentali cercano un modo per non dover rinunciare a nessuna delle tre opzioni.

L’8 aprile la Commissione europea ha annunciato in una raccomandazione le sue linee guida per le applicazioni mobili: l’utilizzo del Bluetooth, il carattere di volontarietà dell’installazione, la garanzia dell’anonimato e la rottamazione a carico dei governi una volta terminato l’uso. Con queste regole, l’Unione europea si distacca dalle soluzioni adottate in Asia che prevedono invece l’utilizzo della geolocalizzazione per tracciare i movimenti degli individui, cosa che “creerebbe rilevanti problemi di sicurezza e privacy“. 

Foto di Frederick Florin

L’idea è quella di un’azione unitaria a livello europeo, che consenta agli Stati membri di collaborare e scambiarsi i dati acquisiti attraverso un mercato di informazioni unico. Un elemento chiave è quindi anche l’interoperabilità delle app tra i vari Paesi, che ne consenta il corretto funzionamento anche una volta usciti dai propri confini nazionali.

Nella realtà assistiamo ad una spaccatura all’interno dell’Unione nella scelta tra le due principali soluzioni attualmente considerate: quella proposta dal consorzio PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) e quella offerta da Apple e Google. Entrambi i modelli si basano sullo scambio di dati tramite Bluetooth, e su una efficace anonimizzazione degli identificativi degli smartphone. La differenza fondamentale sta nella centralizzazione dei dati. 

Nel panorama delle app di contact tracing, troviamo infatti al momento due modelli collocati ai poli opposti. Da una parte il sistema centralizzato, nel quale i dati dell’utente che ha scaricato l’app arrivano al server, dal quale vengono poi codificati e resi anonimi ad altri utenti. Questo modello presenta però gravi rischi per la privacy: i dati potrebbero essere usati per ricostruire un grafico sociale, essere venduti o rubati. Dall’altra parte invece troviamo il sistema decentralizzato nel quale tutto accade a livello locale: è il dispositivo stesso a rendere anonimi i dati dell’individuo, cosicché quando due cellulari si “incontrano” – ovvero rimangono ad una certa distanza per un certo tempo – si scambiano il proprio identificativo generato con crittografia. Qui il server si limita a diramare una notifica alla lista degli identificativi anonimi tracciati sul dispositivo del paziente risultato positivo.

L’iniziativa PEPP-PT, lanciata ad inizio aprile da scienziati di 8 Paesi dell’UE, senza scopo di lucro e con sede in Svizzera, si mostrava inizialmente interessata a un approccio sia centralizzato che decentralizzato; era infatti la favorita in Europa fino a un’improvvisa virata per il sistema centralizzato eliminando dal sito i riferimenti al protocollo DP-3T (Decentralized Privacy-Preserving Proximity Tracing).

Di conseguenza, date le espresse preferenze sia della Commissione che del Parlamento europeo per un sistema decentralizzato, ha acquisito sempre maggiore popolarità la risposta di Apple e Google. La partnership statunitense, che gode di un appoggio reciproco con il gruppo DP-3T, ha intenzione di realizzare una soluzione di contact tracing unica e utilizzabile globalmente: “lanceranno una soluzione completa che include interfacce di programmazione app (API) e tecnologie a livello di sistema operativo per favorire l’attivazione del tracciamento dei contatti“.

Tale alternativa è stata proposta ma anche parzialmente imposta, dato che senza il supporto dei due colossi dell’hi-tech non è possibile ottenere un’app di contact tracing che funzioni. Prendiamo ad esempio la Francia, che ha optato per il modello più invasivo: l’applicazione sviluppata non funziona se messa in background. Per capirci, quando non è attiva sullo schermo o quando il telefono è in tasca, viene bloccato l’uso del trasmettitore Bluetooth. Per funzionare l’app deve quindi restare aperta, mentre il proprietario del telefono non lo potrà utilizzare per nessun’altra funzione e converrà mettere la batteria in risparmio energetico. Non sorprende quindi che TraceTogether, l’app con lo stesso sistema sviluppata a Singapore, sia stata scaricata solo dal 12% della popolazione.

In Europa a sostegno dello standard PEPP-PT, troviamo oltre alla Francia, il Regno Unito e la Norvegia, il cui governo tra l’altro è favorevole a una soluzione che adoperi la combinazione di Bluetooth e GPS. La Germania, insieme al Belgio e alla Svizzera ha optato per il protocollo decentralizzato. Ma dove si colloca l’Italia in tutto ciò?

Intorno a metà aprile, dopo un’analisi della task force di oltre 300 proposte, il Ministro per l’Innovazione Tecnologica e la Digitalizzazione Paola Pisano e il Ministro della Salute Roberto Speranza hanno individuato l’app lmmuni, sviluppata dall’azienda Bending Spoons, “ritenuta più idonea per la sua capacità di contribuire tempestivamente all’azione di contrasto del virus”. Infine è stato il Commissario Straordinario Domenico Arcuri a stipulare il contratto di servizio. 

I fondatori di Bending Spoons: Matteo Danieli, Luca Ferrari, Francesco Paternello, Luca Querella

Bending Spoons S.p.A. è attualmente il primo sviluppatore di app in Europa. La startup – nata a Copenhagen nel 2013 e trasferitasi a Milano nel 2014 – ha dichiarato che “finanzierà autonomamente i propri costi e non riceverà alcun corrispettivo per il suo impegno”.

Per settimane però, polemiche e perplessità hanno circondato la scelta di Immuni anche perché l’azienda milanese Bending Spoons aveva inizialmente aderito al consorzio PEPP-PT, dando luogo a preoccupazioni scaturite dai rischi di un sistema centralizzato. Si è trovata poi infatti costretta a cambiare rotta per tutelare la privacy degli utenti e garantire un’applicazione che potesse essere efficace e funzionante.

È stato il ministro Paola Pisano a fare, in tempi recenti, un po’ di chiarezza sull’app: il sistema sarà interamente gestito da uno o più soggetti pubblici, il codice sarà open source e quindi suscettibile di revisione da parte di chiunque vi fosse interessato, e i dati, fatta eccezione per quelli aggregati a fini di ricerca o statistici, saranno cancellati una volta terminata la pandemia o comunque non oltre il 31 dicembre. 

Paola Pisano, ministro per l’innovazione tecnologica e la digitalizzazione.

Immuni si scaricherà in modo volontario e renderà l’utente anonimo generando un codice numerico non legato all’identità. Comincerà quindi a compilare una lista dei codici prodotti dai telefoni delle persone che incrociamo che a loro volta l’hanno installata. La lista non sarà accessibile e sarà protetta da sistemi di crittografia. L’app si collegherà poi periodicamente al sistema centrale per controllare se fra i codici di persone che abbiamo avvicinato sono stati rilevati soggetti infetti. Chi risulterà positivo potrà scegliere se dare il consenso alle autorità sanitarie ad inviare l’allerta ai codici sulla propria lista: il resto è rimesso alla loro discrezione.

Oltre al tracciamento, Immuni metterà a disposizione anche un diario clinico. L’utente potrà compilare quotidianamente un questionario sul suo stato di salute, che sarà poi di eventuale aiuto nel determinare se abbia contratto il virus. In tal caso, l’applicazione offrirà dei consigli meglio dispensati dall’Istituto Superiore della Sanità. Il Commissario Straordinario Arcuri ha tuttavia dichiarato che questa funzionalità verrà introdotta solamente in un secondo momento.

L’arrivo dell’applicazione è previsto attorno al 18 maggio, ben due settimane dopo l’inizio della Fase 2 in Italia. Dal momento dell’uscita bisognerà poi attendere che la percentuale di italiani ad averla installata raggiunga almeno il 60%, il minimo perché essa possa risultare efficace. D’altronde se la percentuale non si rivelasse tale, non ci sarebbe nessuna giustificazione per limitare, anche in modo impercettibile, le libertà civili dei cittadini.

Come spiega il professore di informatica Giuseppe Persiano a La Repubblica: “Al fine di allertare chi si trova a rischio per un contagio, l’obiettivo primario di un’app di contact tracing, non è utile indagare su chi non è stato contagiato. Il DP-3T ricostruisce i contatti avuti da chi ha il virus, i dati degli altri che non sono positivi né hanno incontrato una persona che poi lo è diventata, restano sul telefono. L’efficacia quindi è la stessa, ma la privacy viene preservata di più. In altre parole, privacy e salute pubblica non sono in contraddizione“.

Un sistema decentralizzato dispone di tutte le funzioni necessarie per tracciare la diffusione del virus e contrastarla, senza avere bisogno del prestito di alcun dato personale. È per questo che l’Italia e in generale l’Europa devono puntare sul protocollo DP-3T e sulla massima trasparenza da parte dei loro organi. È questo l’unico modo per rispettare la privacy dei cittadini, guadagnare la loro fiducia e assicurare l’efficacia non rinunciando, forse, a nessuna delle tre opzioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Sing up

Login