Awareness, Covid-19, In evidenza, Information Security, Mobile

Coronavirus Fase 2: analisi di app “Immuni” e contact tracing, scenari e rischi

Se questo articolo ti è piaciuto, condividilo!Diverse persone preoccupate mi hanno chiesto un parere sulla futura app “Immuni” e sul sistema di contact tracing. Dopo una veloce analisi delle informazioni attualmente disponibili, riporto alcuni scenari […]
Se questo articolo ti è piaciuto, condividilo!

Diverse persone preoccupate mi hanno chiesto un parere sulla futura app “Immuni” e sul sistema di contact tracing. Dopo una veloce analisi delle informazioni attualmente disponibili, riporto alcuni scenari e i principali rischi per la sicurezza e la privacy. Come spesso accade, la gestione delle emergenze finisce con il limitare i diritti e le libertà individuali dei cittadini e si scontra con la scarsa comprensione e i limiti della tecnologia.

Con l’ordinanza 10/2020 della Presidenza del Consiglio dei Ministri, il 16 aprile il commissario straordinario per l’emergenza sanitaria, Domenico Arcuri, ha disposto la stipula del contratto di acquisizione, dalla società Bending Spoons, dell’app di contact tracing denominata “Immuni”. Il progetto è stato selezionato dalla task force del Ministero dell’Innovazione per supportare la politica nella lotta al Coronavirus, quindi proposto al Presidente del Consiglio Giuseppe Conte dalla ministra Paola Pisano il 10 aprile e sottoposto al vaglio della task force guidata da Vittorio Colao per gestire la ripartenza e tenere sotto controllo la diffusione del virus nella cosiddetta “Fase 2”. Stando a quanto finora dichiarato, la cessione della licenza d’uso del software e l’appalto del servizio avverranno a titolo gratuito, e Bending Spoons si impegnerà a fornire anche gli aggiornamenti necessari nel corso dei mesi.

L’app non è ancora disponibile e, stando alle dichiarazioni finora rilasciate, non sarà resa obbligatoria ma scaricabile volontariamente, quantomeno fino a diversa disposizione da parte del governo.

Cosa contiene l’ordinanza?

L’ordinanza afferma che il sistema di contact tracing può aiutare a identificare individui potenzialmente infetti prima che emergano sintomi e può impedire la trasmissione successiva. Inoltre riporta che la soluzione prescelta è stata ritenuta più idonea di altre in virtù della sua conformità al modello europeo delineato dal Consorzio PEPP-PT e per le garanzie che offre per il rispetto della privacy. Infine, che la società Bending Spoons, esclusivamente per spirito di solidarietà e, quindi, al solo scopo di fornire un proprio contributo, volontario e personale, utile per fronteggiare l’emergenza in atto, ha manifestato la volontà di concedere in licenza d’uso aperta, gratuita e perpetua, il codice sorgente e tutte le componenti applicative facenti parte del sistema, dando disponibilità anche per il completamento degli sviluppi informatici che saranno necessari per la messa in esercizio a livello nazionale.

Il testo completo dell’ordinanza è disponibile qui.

Com’è disegnata l’app Immuni?

Non si conosce ancora la struttura dell’app Immuni e del sistema sottostante di gestione dei dati, e già questo è di per sé un rischio, perché la scelta di un prodotto a diffusione nazionale dovrebbe avvenire quantomeno dopo una demo pubblica per valutarne funzionalità, potenzialità future e, soprattutto, rischi. Tuttavia un’idea di come potrebbe essere realizzata l’app Immuni ci può essere fornita dalla demo dell’app “SOS Italia prodotta dall’Associazione Italian Digital Revolution (AIDR).

L’app di AIDR è suddivisa logicamente in due aree, delle quali una è dedicata alle informazioni personali del cittadino e al suo stato di salute, l’altra è dedicata agli aspetti relativi all’emergenza Covid-19 e offre la possibilità di consultare mappa e dati di contagio, creare e gestire autocertificazioni e permessi, ricevere e consultare notifiche e avvisi. Nella sezione “Profilo e contatti” il cittadino dovrebbe inserire tutte le informazioni personali, compreso il numero di cellulare e, attenzione, residenza, domicilio, contatti e luoghi frequentati. Nella sezione “Stato di salute” dovrebbe essere creato e tenuto aggiornato un diario medico in cui va dichiarato lo stato di salute con indicazione delle malattie pregresse, dell’assunzione di farmaci e di eventuali sintomi. Inoltre, nella stessa sezione, sono presenti contrassegni per indicare [1] se siamo risultati positivi al virus, [2] se siamo in isolamento preventivo (con indicazione di dati di inizio e indirizzo civico), [3] se siamo in isolamento obbligatorio e [4] se siamo ricoverati in ospedale.

Nella sezione “Dati e mappa di contagio” sarebbe possibile consultare i dati aggiornati forniti dagli organi governativi preposti al monitoraggio della diffusione del virus, suddivisi fra [1] attualmente positivi (colore rosso), [2] dimessi o guariti (colore verde) e [3] deceduti (colore nero). Nella sezione “Spostamenti e permessi” sarebbe possibile creare e gestire tutte le autocertificazioni e conservare i permessi, per i quali saranno richiesti anche dati supplementari non richiesti dai moduli ufficiali, come il mezzo di trasporto utilizzato. Infine c’è un’area informativa in cui verrebbero ricevute notifiche personalizzate, ad esempio gli allarmi a fronte di avvenuto contatto con individui positivi o le ingiunzioni di restare in isolamento obbligatorio, o avvisi generalizzati indirizzati alla popolazione dagli organi governativi e dalle forze dell’ordine. Grazie al contrassegno di lettura di notifiche e avvisi, il governo potrebbe sapere in qualsiasi momento quali comunicazioni ha letto il cittadino e quando lo ha fatto.

Come funziona il sistema di contact tracing?

Stando alle dichiarazioni rilasciate dal produttore, il sistema sarà efficace solo se almeno il 60% della popolazione scaricherà, si registrerà e utilizzerà regolarmente l’app “Immuni”. In estrema sintesi e senza scadere troppo nei tecnicismi, il sistema dovrebbe funzionare secondo questi criteri:

  1. Quando il cittadino scarica l’app e si registra (utilizzando ad esempio il proprio numero di cellulare, le credenziali SPID o le credenziali private di Facebook e Google), gli viene assegnato un codice identificativo univoco, Tale codice identifica però univocamente il singolo utente e consente quindi di risalire alla sua identità.
  2. Lo smartphone dell’utente diffonde periodicamente il proprio identificativo tramite tecnologia di comunicazione Bluetooth (in modalità broadcast via Bluetooth BLE) e registra tutti gli identificativi che si sono avvicinati a meno di una certa distanza (si parla di 1 metro) per un certo periodo di tempo (si parla di secondi).
  3. I dati vengono gestiti all’interno della memoria dello smartphone e vengono automaticamente inviati a intervalli regolari ai server centrali che avranno il compito di raccogliere i dati di tutti gli utenti.
  4. L’utente cui viene diagnosticata la positività al Covid-19 viene segnalato come positivo al sistema centrale che lo contrassegnerà di conseguenza in maniera immodificabile sull’app, oppure può egli stesso segnalarsi autonomamente come positivo dall’app stessa.
  5. A fronte della segnalazione di positività, in automatico il server centrale ricostruisce l’elenco degli identificativi con cui è avvenuto un contatto ravvicinato in un determinato periodo di tempo antecedente (si parla di 15-20 giorni).
  6. Il server centrale spedisce un allarme ai soli utenti che hanno avuto un contatto ravvicinato (rivelando solo la data dell’evento) con l’indicazione di mettersi immediatamente in quarantena obbligatoria e aggiornando di conseguenza l’informazione sull’app. Il sistema ricostruirà l’elenco dei contatti avvenuti a loro volta fra questi utenti e altri utenti, fino a ricostruire tutte le possibili catene di contatto e obbligando all’isolamento forzato tutti gli utenti coinvolti nei contatti diretti e indiretti rispetto alla prima segnalazione.

Quali scenari e quali rischi si configurano per il cittadino?

Sulla base delle informazioni attualmente disponibili, questi sono i principali scenari che sono riuscito a ipotizzare:

1. Conservazione ed elaborazione dei dati

Il primo aspetto, molto importante, riguarda l’ubicazione e la gestione dei dati: sappiamo che la raccolta e l’elaborazione dei dati sarà centralizzata, ma l’ordinanza non fa alcun cenno in merito a deve saranno archiviati né a come e da chi verranno gestiti ed elaborati. Sappiamo, però, che nella scelta della soluzione da parte della task force di innovazione hanno pesato la conformità al modello PEPP-PT e le garanzie in termini di privacy.

L’attribuzione di un codice identificativo univoco per ciascun utente viene sbandierato sui media come misura di anonimizzazione delle informazioni, ma in realtà non è così: è stato già chiarito, infatti, che in qualsiasi momento le informazioni potranno essere de-anonimizzate per consentire l’intervento degli enti governativi e sanitari, e delle forze dell’ordine. Non a caso la ministra Paola Pisano ha detto che i dati saranno resi “sufficientemente anonimi”, quindi pseudonimizzati, non completamente anonimi. L’anonimizzazione dei dati è sempre è un processo irreversibile, mentre le informazioni per risalire al cittadino ci sono e possono essere usate in qualsiasi momento, e non potrebbe essere altrimenti visti gli obiettivi posti per l’introduzione del sistema.

Il sistema Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT, appunto) è stato sviluppato in contrapposizione al sistema ideato da Google e Apple, basato su un’infrastruttura più attenta alla privacy grazie alla distribuzione dei dati sui dispositivi degli utenti senza alcuna centralizzazione, in una sorta di sistema peer-to-peer. Nello sviluppo del PEPP-PT era inizialmente coinvolto anche il gruppo di sviluppo denominato Decentralized Privacy-Preserving Proximity Tracing (DP3T) che, analogamente a Google e Apple, promuoveva un sistema di decentralizzazione dei dati e di utilizzo delle sole informazioni funzionali all’obiettivo di contenimento del virus, garantendo il più alto livello di protezione dei dati dei cittadini, minimizzando al contempo i rischi in termini di privacy e sicurezza. Ebbene, proprio il 16 aprile, data di firma dell’ordinanza, la menzione dello standard DP3T è stata eliminata dal sito del PEPP-PT, che è rimasto quindi uno standard basato su un database centralizzato senza i criteri di trasparenza previsti dagli altri modelli.

Probabilmente la quantità e la disponibilità dei dati sono state anteposte alla sicurezza e alla privacy dei cittadini nella scelta del modello da adottare. Grazie alle tante fughe di informazioni raccontate dai media negli ultimi anni, ormai buona parte dell’opinione pubblica è consapevole che tenere dati personali e sensibili in un unico posto apre la strada a violazioni informatiche, accessi non autorizzati, fughe di informazioni e utilizzi impropri dei dati. Ciò comporta una criticità ancora più elevata in una situazione in cui non è ancora chiaro dove verranno archiviati i dati, da chi verranno gestiti e in che modo verranno elaborati e utilizzati poi per agire nei confronti dei cittadini. Stefano Mele, avvocato specializzato in diritto delle tecnologie, privacy e cybersecurity intervistato da Key4Biz, auspica che chi conserverà i dati dei cittadini lo faccia utilizzando server dislocati sul territorio italiano, in modo da non rendere disponibili i dati a soggetti terzi che potrebbero essere tentati di farne usi per finalità ulteriori. Ciò escluderebbe anche i servizi cloud forniti da centri elaborazione dati ubicati all’estero. Mele, inoltre, chiede giustamente che la gestione dei dati dei cittadini sia affidata a un soggetto pubblico italiano, coerentemente con il dettato dei decreti emanati finora dal governo stesso.

Le recenti fughe di informazioni sensibili subita dai cittadini a opera dell’INPS e dell’Agenzia delle Entrate non depongono certo a favore dell’affidabilità degli organi governativi in materia di sicurezza e privacy, ed esiste anche il sospetto, per ora del tutto legittimo, che nella conservazione e nell’elaborazione siano coinvolti anche soggetti privati con finalità non proprio trasparenti. Salvo smentita pubblica e conferma con elementi oggettivi, pur esimendomi da qualsiasi commento su Bending Spoons (società che non conosco), l’offerta gratuita di app, sistema centrale, manutenzione e aggiornamenti potrebbe nascondere un accordo di accesso illimitato ai dati da parte del produttore del sistema, e questo configurerebbe diversi scenari di utilizzo improprio per fini commerciali o di rivendita dei dati a soggetti terzi per finalità di controllo su vasta scala, analisi statistica e chissà cos’altro. È un aspetto cruciale che va assolutamente verificato.

Non si sa se tutti questi aspetti siano stati attentamente valutati dalle task force e dagli organi governativi prima di emettere l’ordinanza di acquisto della soluzione, tuttavia gli indizi portano alla conclusione che l’approccio adottato sia ampiamente sbilanciato verso la raccolta di dati e l’attuazione di controlli invasivi sulla popolazione, più che verso la sicurezza dei dati e la tutela della privacy individuale dei cittadini. Sembra che anche altre nazioni (come Germania e Regno Unito) siano andando nella stessa direzione.

Il Sole 24 Ore ha lanciato oggi (22 aprile) la notizia sull’intenzione di Bending Spoons di virare dal modello centralizzato a uno decentralizzato, molto probabilmente sulla spinta degli esperti più accreditati e dei due principali produttori di sistemi operativi per smartphone, Google e Apple. Resta da verificare se questa intenzione sarà tradotta in realtà e come verrà tecnicamente implementato il modello decentralizzato.

Credo che questo sia il momento di ricordare che, nel corso della storia, le più grandi violazioni dei diritti e delle libertà individuali dei cittadini sono sempre state commesse nel nome della sicurezza dei cittadini stessi, spesso approfittando di situazioni di emergenza.

2. Gestione centralizzata dello stato di salute

Abbiamo visto che il sistema prevede la gestione centralizzata dello stato di salute del cittadino, pertanto gli organi governativi, gli enti sanitari e le forze dell’ordine potrebbero contrassegnare da remoto lo stato di positività al virus dei singoli cittadini, oppure attivare l’obbligo dell’isolamento per quarantena, peraltro impedendo all’utente di intervenire sui contrassegni tramite app. Quindi il cittadino può ritrovarsi, senza preavviso e ipoteticamente senza conoscerne le motivazioni, marchiato come positivo e obbligato all’isolamento per il periodo imposto dalla legge. Significa non poter uscire di casa da un momento all’altro a fronte di una semplice notifica ricevuta via app, senza potersi recare sul posto di lavoro e senza poter entrare in locali e strutture che basano l’accesso sul controllo dello stato di salute fornito dal governo. Ricordo che il governo e le forze dell’ordine potrebbero sapere se avete letto la notifica, il messaggio di positività e l’imposizione dell’isolamento, mentre potrebbe essere rilevata l’eventuale violazione dell’isolamento con apposito allarme inviato alle forze dell’ordine affinché intervengano per sanzionare il cittadino e ripristinarne lo stato di isolamento. Il sistema potrebbe anche allertare automaticamente le strutture sanitarie affinché si rechino presso il domicilio dei soggetti posti in isolamento obbligatorio per eseguire il tampone salivare per accertare la positività tamp(anche se è ormai chiaro che in Italia non abbiamo tamponi a sufficienza per supportare un processo di questa portata).

Secondo il meccanismo di ricostruzione della catena dei possibili rapporti di scambio infettivo fra cittadini, anche a loro insaputa, chiunque potrebbe ricevere il contrassegno di positività e l’imposizione di isolamento perché un algoritmo centralizzato asettico e acritico ha deciso che sei stato potenzialmente esposto a infezione da virus. Un solo caso di positività potrebbe generare decine, se non centinaia o migliaia, di provvedimenti restrittivi di altri cittadini solo perché un sistema informatico ritiene che ci sia stata infezione sulla base della configurazione dei parametri immessi. E se qualcuno, per scherzo o per errore, attivasse il contrassegno di positività da virus sull’app e ciò scatenasse la notifica automatica e l’isolamento obbligatorio per decine, centinaia o migliaia di persone? E se ciò avvenisse a fronte di una violazione della base dati da parte di hacker con l’obiettivo di creare il caos nell’intera nazione? E se questa possibilità venisse usata da organi governativi o forze dell’ordine per neutralizzare in maniera chirurgica soggetti che si pongono in aperta contrapposizione alle posizioni del governo o che espongono idee e iniziative troppo pericolose per lo status quo?

Inoltre, a chi non è mai capitato di essere vittima di errori burocratici commessi da organi governativi, enti sanitari e forze dell’ordine, a causa di un’omonimia, di uno scambio di persona, di un errore di elaborazione o di un clic di un operatore distratto o impreparato? A fronte di un ingiustificato marchio di positività, che strumenti potrà avere il malcapitato cittadino per accertare l’errore commesso e il suo stato di negatività al virus? Non potrà rivolgersi al medico di base o al più vicino ospedale poiché violerebbe l’indicazione di non recarsi presso le strutture mediche. Dovrà rivolgersi a un avvocato? E quale sarà la reazione del suo datore di lavoro a fronte dell’assenza prolungata per isolamento obbligatorio? Sarà fondamentale chiarire tutti questi aspetti e i processi di gestione delle possibili casistiche prima di rendere disponibile l’app al pubblico e cominciare ad attuarne i processi di controllo.

3. Controllo di spostamenti e relazioni

Abbiamo visto che il sistema centralizzato potrebbe conoscere chi si sposta, quando, da dove a dove e come, in tempo reale, grazie alla gestione di permessi e autocertificazioni: ciò consentirebbe di adottare ulteriori misure di controllo e restringimento. Sarebbe possibile, ad esempio, imporre un numero massimo di autocertificazioni per coloro che, secondo le elaborazioni del sistema centrale, ne abusano, oppure potrà esserne impedita la creazione a un gruppo profilato di cittadini, ad esempio i residenti di una specifica area geografica o a tutti i cittadini che sono in isolamento, sia esso obbligatorio o spontaneo. Potrebbero essere revocati centralmente i permessi detenuti con un semplice clic di un operatore o secondo una logica configurata nel sistema. Il tutto in maniera asettica, avulsa dal considerare in alcun modo la situazione personale, le necessità e le urgenze del singolo cittadino o nucleo familiare coinvolto.

Potrebbe essere possibile anche mantenere una tracciatura dei controlli svolti dalle forze dell’ordine, dove sono stati svolti, quando e con quale esito. Chi è stato multato una o più volte potrebbe essere contrassegnato come “violatore seriale” e, quindi, può essere oggetto di provvedimenti restrittivi specifici o di ulteriori sanzioni amministrative. E nel caso qualcuno violasse l’isolamento obbligatorio, potrebbe scattare un allarme centrale alle forze dell’ordine affinché intervengano.

Il sistema potrebbe poi costruire una precisa mappatura con tutti gli spostamenti fatti e le relazioni intrattenute (consapevolmente o meno) dal singolo cittadino, sfruttando la correlazione dei dati forniti dal Bluetooth e dalla geolocalizzazione (cellulare e GPS), con la possibilità ulteriore di generare e mantenere un registro di tutti i luoghi che il cittadino frequenta e di tutte le persone cui si avvicina maggiormente e per quanto tempo. Pensiamo, in uno sforzo di fantasia, a tutte le frequentazioni che il cittadino desidera mantenere nascoste. Non solo, perché in caso di positività al virus, il sistema ricostruirebbe in un istante la lista di tutti i luoghi frequentati e le persone con cui si è entrati in contatto nel periodo di osservazione a ritroso previsto dalle disposizioni governative.

Le motivazioni e le modalità di tutti gli spostamenti dei cittadini diventerebbero automaticamente conosciute a livello centrale e potrebbero così essere analizzate e correlate nei modi più disparati. Chi accederà a questo sistema di Big Data (e chi pagherà per avervi accesso) potrà quindi conoscere abitudini, percorsi, orari, luoghi e motivazioni di tutta la popolazione coinvolta nel sistema, un tesoro inestimabile che farebbe gola sia alle grandi corporation, sia a moltissimi cyber criminali. Inoltre la tracciatura degli spostamenti consentirebbe di sapere perfettamente in qualsiasi momento chi ha frequentato o sta frequentando un qualsiasi luogo o locale.

Abbiamo visto tutti, in questi due mesi di lockdown, quanti abusi sono stati commessi dalle forze dell’ordine per un’errata interpretazione delle misure contenute in decreti e ordinanze, a causa dell’eccessiva discrezionalità adottata in situazioni che oggettivamente non lo richiederebbero. La disponibilità di un sistema di informazione così dettagliato ed efficiente potrebbe indurre a perpetrare abusi molto più mirati.

4. Affidabilità del sistema

Il sistema di tracciatura si basa sul Bluetooth, una tecnologia di comunicazione wireless, cioè senza fili, in grado di interagire con altri dispositivi e, sulla base della potenza del segnale, stimarne la distanza, sebbene con approssimazione e diversi gradi di affidabilità. La stima, infatti, non tiene conto di eventuali barriere fisiche (muri, vetri, porte, ecc.) né delle condizioni di protezione e sicurezza in cui si svolge il presunto contatto.

Va chiarito un aspetto fondamentale: il sistema di contact tracing traccia il contatto fra dispositivi, non necessariamente fra esseri umani.

Non può sapere, infatti, se all’atto del presunto contatto lo smartphone era detenuto dal legittimo proprietario o da un altro soggetto, né può riconoscere se lo smartphone era stato lasciato in un’ubicazione fisica diversa e distante da quella in cui si trovava effettivamente il proprietario. Può solo sapere se il cellulare “A” è entrato nella sfera di contatto del cellulare “B” che appartiene a un soggetto positivo al virus, ma non se effettivamente i proprietari dei due dispositivi sono entrati in contatto ravvicinato fra loro.

Per chiarire meglio i limiti di affidabilità del sistema, faccio alcuni esempi:

  • Sono fermo al semaforo e il mio smartphone entra in contatto con quello del guidatore o del passeggero dell’auto a fianco. Viene registrato un contatto, ma in realtà ognuno dei soggetti era chiuso al sicuro nella propria automobile senza possibilità di infezione reciproca.
  • Sono un medico ed entro in contatto con un paziente positivo al virus, ma sono correttamente dotato di tutti i dispositivi di protezione individuale (DPI) e, magari, anche di tuta ermetica e casco protettivo, senza alcuna possibilità di infezione diretta.
  • Dimentico lo smartphone acceso in ufficio e mi assento per un periodo di tempo: nel frattempo un soggetto positivo passa in prossimità del mio ufficio e viene registrato un contatto che in realtà non è mai avvenuto.
  • Sono seduto in corrispondenza della parete perimetrale o della vetrina di un bar e, dall’altro lato del muro o del vetro, c’è una persona positiva al virus: i due smartphone entrano in contatto wireless e registrano un contatto diretto che non è mai avvenuto né sarebbe possibile in virtù delle barriere fisiche.
  • Sono un impiegato di sportello di una banca o di un ufficio postale ed entro in contatto ravvicinato con numerose persone ogni giorno: nonostante lo sportello sia protetto da pannelli di vetro e plexiglas, il mio smartphone che è sul bancone può entrare in contatto wireless con un numero imprecisato di persone positive ogni giorno quando si avvicinano al bancone per le operazioni.
  • Sono seduto su una panchina al parco e il mio smartphone mi esce dalla tasca e cade nell’erba, restando nascosto finché qualcuno non lo trova: nel frattempo, decine e decine di persone passano nei dintorni, si siedono sulla stessa panchina e, nel frattempo, lo smartphone continua a registrare contatti che di fatto non sono mai avvenuti.
  • Subisco il furto dello smartphone: cosa potrebbe succedere in termini di contatti registrati con soggetti positivi mentre il dispositivo è di fatto fuori dal mio possesso e dal mio controllo? Che possibilità ho di intervenire per evitarlo?

Sono solo alcuni esempi di cosiddetti falsi positivi che un sistema come quello proposto potrebbe generare, ma sono certo che la fantasia di chiunque può portare a immaginare moltissime altre situazioni in cui potranno essere registrati contatti di fatto inesistenti, senza alcuna possibilità per il cittadino di intervenire in rettifica, di indicarne le condizioni o di giustificare l’evento.

Come spiega un utilissimo articolo di GiPStech, l’impiego del solo segnale Bluetooth non è una soluzione valida per garantire l’affidabilità necessaria a un sistema così critico e sensibile per il cittadino. La tecnologia Bluetooth, infatti, misura la potenza e l’intensità del segnale wireless ricevuto da un altro smartphone per stimarne la distanza secondo una precisa formula matematica che prende in considerazione la potenza attesa alla distanza di sicurezza (es. 1 metro) e una variabile d’ambiente che, appunto, è variabile. Quindi, più è basso il segnale ricevuto, maggiore è la distanza stimata e viceversa. La stima della distanza, però, risente di una serie di fattori che la rendono di fatto inaffidabile, ovvero può stimare una distanza (es. 2 metri) che in realtà è più elevata (es. 4 metri) o più bassa (es. 1 metro). I fattori in gioco sono [1] la potenza d’origine del segnale Bluetooth, che è differente nei vari e numerosi modelli di smartphone in circolazione, e [2] gli ostacoli che si trovano fra i due dispositivi (es. una tenda, un muro, un vetro, una persona), che possono assorbire parte dell’intensità del segnale aumentando così la distanza stimata rispetto a quella reale (l’articolo cita un’app con cui è possibile testare questa variabilità). Questo mina alla base l’affidabilità dei dati raccolti e delle conseguenti elaborazioni che su di essi sono basate, di conseguenza rende l’affidabilità dell’intero sistema inaffidabile o quantomeno discutibile. Il rischio di falsi positivi (cioè contatti rilevati come ravvicinati ma in realtà non considerabili tali) e di falsi negativi (contatti realmente avvenuti ma non rilevati) è altissimo.

I media danno per scontato che questo sistema funzioni perfettamente senza adottare alcun approccio critico, alimentando così un falso senso di confidenza nel cittadino medio che non può conoscere le caratteristiche e i risvolti della tecnologia sottostante.

In sostanza, a causa dell’inaffidabilità del sistema, si corre il rischio di contrassegnare come potenzialmente positive persone che non hanno avuto contatti a rischio e ignorare invece contatti a rischio realmente avvenuti. Il problema è che non si può scherzare con la salute, i diritti e le libertà individuali dei cittadini, né generare allarmi e attribuire positività al virus in una popolazione più o meno vasta di persone, con il rischio di forzare l’isolamento di individui perfettamente sani senza una reale motivazione e di lasciare liberi di circolare individui positivi al virus. Le ripercussioni sanitarie e legali si preannunciano devastanti.

5. Il sottile inganno mentale nel nome

La denominazione “Immuni” richiama immediatamente il concetto di prevenzione dell’infezione, facendo intendere in forma subliminale ai cittadini che l’uso dell’app governativa renda automaticamente immuni al virus. Invece stiamo parlando di un sistema di rilevazione, peraltro presunta, delle possibili infezioni e di allarme sanitario e di ordine pubblico, non di uno strumento che impedisca la diffusione del virus fra le persone, se non indirettamente.

[25/4] A riprova di quanto ho scritto qui sopra, oggi Di Maio è caduto nel tranello psicologico, dichiarando a SkyTG24 che l’app «ci avviserà se ci avviciniamo a persone infette» (facepalm!), peccato che l’app non minimamente abbia questa capacità previsionale.

6. Facoltativa o obbligatoria?

Il Presidente del Consiglio Conte ha dichiarato l’intenzione di rendere facoltativo l’uso del’app Immuni, tuttavia vanno fatte alcune considerazioni: secondo uno studio condotto da Pew Research Center nel 2019, in Italia il 71% dei cittadini dispone di uno smartphone (tutta da verificare la compatibilità dell’app con versioni di sistema operativo Android e iOS obsolete), il 20% ha un cellulare tradizionale (non smart) e il resto non possiede un dispositivo mobile. L’obiettivo di raggiungere il 60% di penetrazione (non è un doppio senso, giuro) dell’app nella popolazione nazionale richiederebbe l’installazione su circa 9 smartphone su 10, un obiettivo troppo ambizioso che non può essere raggiunto se non attraverso l’obbligatorietà di utilizzo. A Singapore, dove un’app analoga è stata messa a disposizione facoltativamente, solo il 12% della popolazione l’ha scaricata e utilizzata.

7. Se si cambia idea? Se non funziona?

Non è chiaro cosa dovrebbe succedere se, dopo un certo periodo di utilizzo, il cittadino cambiasse idea e decidesse di disinstallare l’app oppure scegliesse semplicemente di mantenerla installata ma di non darvi più alcuna attenzione, omettendo di consultarne notifiche e avvisi? In caso di disinstallazione o inattività prolungata dell’app, il sistema potrebbe generare automaticamente una notifica alle forze dell’ordine o alle autorità sanitarie affinché ne verifichino le motivazioni? E se si verificano errori che ne impediscono l’utilizzo su specifici smartphone per incompatibilità hardware o difetti del software? I processi che governeranno l’uso dell’app e dei dati dovranno tenere conto di tutte queste possibili casistiche, prevedendo l’assistenza al cittadino in caso di problemi, senza impedire la facoltà di interromperne l’utilizzo e rispettando il diritto del cittadino di ottenere la rimozione dal sistema dei dati personali che lo riguardano.

Quali ripercussioni su privacy e sicurezza dei cittadini?

Ho provato a rappresentare alcuni degli scenari possibili e dei conseguenti rischi per la privacy e la sicurezza dei cittadini, tuttavia una base dati così completa e costantemente alimentata, strumenti di elaborazione e correlazione dei dati, e funzionalità di segnalazione e intervento in remoto, consentono di ipotizzare numerosi scenari di violazione dei diritti e delle libertà fondamentali dei cittadini.

In estrema sintesi, questi i problemi principali:
[1] Il processo di selezione della soluzione manca della trasparenza e dell’accuratezza dovute e indispensabili
;
[2] L’adozione dell’app introdurrebbe un sistema di sorveglianza di massa senza precedenti storici che avrebbe pesanti ripercussioni sulla privacy, la sicurezza e la libertà individuale dei cittadini;
[3] Il sistema di contact tracing è altamente inaffidabile e apre la strada a gravi problemi di ordine sanitario e legale;
[4] Esiste il rischio di violazioni del sistema che potrebbero generare caos nella popolazione e arrestare i servizi vitali della nazione;
[5] La soluzione sarà inefficace se rimarrà facoltativa, pertanto è probabile che si vorrà renderla obbligatoria;
[6] I media non adottano il dovuto senso critico per analizzare tutti questi aspetti e rappresentarli con chiarezza ai cittadini, affinché possano scegliere in maniera informata e consapevole.

I nostri smartphone sono già tutti in costante ascolto delle nostre conversazioni e tengono traccia delle nostre azioni, a beneficio degli interessi commerciali e strategici delle grandi corporation tecnologiche come Apple, Google, Facebook e Amazon. Tuttavia governi e forze dell’ordine, per entrare in possesso di queste informazioni, devono farne richiesta esplicita, possibilmente con mandati giudiziari e a fronte di situazioni che lo giustifichino (un reato o un pericolo imminente). Un sistema governativo di tracciatura di relazioni, spostamenti e stato di salute dei cittadini aggira completamente questi ostacoli e mette nelle mani del governo e delle forze dell’ordine strumenti estremamente potenti di controllo e di coercizione delle masse su vasta scala.

Le perplessità in termini di sicurezza e privacy sono rafforzate dal Joint Statement on Contact Tracing sottoscritto il 19 aprile da circa 300 scienziati, fra professori universitari ed esperti internazionali di privacy, sicurezza e crittografia. In esso si denuncia apertamente che le soluzioni proposte consentono una sorveglianza senza precedenti della società in massa. Secondo gli esperti firmatari, è vitale non generare strumenti che consentano la collezione di dati della popolazione su vasta scala, soprattutto se consentono la ricostruzione invasiva di informazioni private sulla popolazione, ad esempio la rappresentazione di chi si incontra fisicamente nel tempo. Un malintenzionato (governo, settore privato, criminale o hacker) può spiare le attività dei cittadini, accedendo al sistema ed elaborando le informazioni come meglio crede. Nel documento si evidenzia che il 17 aprile il Parlamento Europeo ha spinto verso l’approccio decentralizzato, sottolineando chiaramente che i dati generati non devono essere archiviati in database centralizzati, in quanto soggetti al potenziale rischio di abuso e perdita di affidabilità, chiedendo espressamente che l’UE prediliga soluzioni decentralizzate, nelle quali i dati siano conservati esclusivamente nei dispositivi degli utenti. Inoltre, si invitano i governi ad affidarsi a sistemi che siano soggetti al completo controllo pubblico e che rispettino la privacy dei cittadini “by design, quindi che non siano basati sulla semplice speranza che vengano gestiti responsabilmente da una terza parte, seppur fidata.

Se scegliamo di installare un’app di questo tipo, forniamo contestualmente il consenso alla tracciatura, alla raccolta e all’elaborazione delle informazioni che ci riguardano, in tempo reale e con un’invasività senza precedenti storici.

Va considerato anche il fattore tempo: probabilmente, fra perfezionamento dei contratti, completamento degli sviluppi applicativi, allestimento delle infrastrutture, individuazione degli attori coinvolti, definizione e attuazione dei processi di gestione, questo sistema non arriverà in tempo per contribuire efficacemente alla gestione della Fase 2, a meno di ulteriore protrarsi del lockdown. Tuttavia, qualora si riuscisse a renderla disponibile per tempo, saremmo disposti a rinunciare a un’altra porzione di privacy e di libertà individuale con l’obiettivo di sconfiggere un virus per il quale pare sia già stata trovata una cura efficace? Vogliamo veramente condividere tutta la nostra vita con il governo e le forze dell’ordine, al di là della falsa convinzione personale di quelli che “io non ho niente da nascondere”? E avremo la possibilità di non farlo?

Gli unici veri garanti della nostra privacy individuale siamo noi stessi (come spiego qui). Nessun altro.

Ognuno deve proteggere la propria privacy da sé senza affidarsi all’opera di altri soggetti, compreso il Garante Privacy che fornisce misure di tutela generali e linee guida per il trattamento dei dati personali, ma nulla può nei confronti delle scelte individuali (consapevoli o meno) del cittadino nel cedere volontariamente dati e informazioni personali ad altri soggetti.

Invito i lettori a sottoscrivere la lettera aperta del Nexa Center for Internet & Society del Politecnico di Torino sul tema del tracciamento dei contatti e della democrazia (basta una semplice email). Grazie.

Se avete integrazioni o rettifiche da fare, postate qui nei commenti e sarà mia cura analizzarne l’affidabilità e l’applicabilità al contesto di questo articolo. Le considerazioni da me espresse possono essere riviste o riformulate a fronte di nuove informazioni che verranno rilasciate al pubblico dalle parti in causa.

Ettore Guarnaccia


Se questo articolo ti è piaciuto, condividilo!


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.