Ci eravamo lasciati con il mio articolo del 22 aprile che illustrava le tante perplessità suscitate dall’idea del Governo di lanciare un’app per tracciare eventuali contatti dei cittadini con soggetti positivi al virus Covid-19. Vediamo, a distanza di oltre un mese, se e come sono stati mitigati i numerosi rischi per la sicurezza e la libertà dei cittadini e quali nuovi rischi sono stati introdotti nello scenario di adozione dell’app Immuni.

I principali punti evidenziati nell’articolo precedente a riguardo dell’app Immuni e del sistema di contact tracing erano i seguenti:

1. La scarsa trasparenza del Governo e delle task force d’emergenza;
2. Il rischio che venga introdotto un sistema centralizzato di controllo della massa a scapito delle libertà individuali dei cittadini;
3. L’inaffidabilità oggettiva del sistema di contact tracing per la natura intrinseca del protocollo utilizzato;
4. La possibilità che errori, violazioni o abusi del sistema possano generare caos o falsi allarmi nella popolazione;
5. Il fatto che il livello di diffusione minimo per garantire l’efficacia del sistema si possa raggiungere solo con l’obbligatorietà;
6. La carenza di senso critico e di trasparenza dei media.

A distanza di oltre un mese dalla prima analisi, ripercorriamo insieme lo stato della situazione nell’imminenza del rilascio dell’app “Immuni” che, stando a quando dichiarato dalla ministra per l’innovazione Paola Pisano e dal viceministro della Salute Pierpaolo Sileri, dovrebbe avvenire ai primi di giugno. Si parla già di sperimentazione in tre regioni italiane (Abruzzo, Liguria e Puglia) e della possibilità di estenderla ad altre, ma a quanto pare alcune regioni non poi sono così disponibili a fare da cavie.

1. Processi poco trasparenti

Avevo già illustrato come la task force del Ministero dell’Innovazione avesse scelto l’app di contact tracing senza adottare un processo di selezione pubblico e trasparente, peraltro privilegiando un progetto ancora da sviluppare rispetto a centinaia di prodotti già pressoché pronti all’uso. Avevo anche riportato le intenzioni della società Bending Spoons, produttrice della soluzione prescelta, di adottare il modello di centralizzazione dei dati del Consorzio PEPP-PT, e il fatto che la task force che aveva ritenuto la soluzione Immuni come la più idonea rispetto alle altre, in virtù della sua conformità al citato modello per le garanzie che esso offre per il rispetto della privacy. Il dibattito pubblico che ne è seguito, grazie alle esternazioni e ai dubbi di numerosi esperti di cybersecurity, tecnologia e diritto, ha probabilmente indotto la società produttrice e il Governo a un vero e proprio dietrofront per ripiegare sul modello decentralizzato di gestione dei dati proposto dal defenestrato gruppo di sviluppo DP3T e dalla partnership fra Google e Apple. È bene evidenziare che il modello decentralizzato DP3T ha sempre fornito le maggiori garanzie sulla protezione dei dati e sulla tutela della privacy dei cittadini, ma nonostante ciò era stato letteralmente buttato fuori dal team di sviluppo. Così come era sospetta l’esclusione del modello decentralizzato, è ancora più sospetto il cambio di direzione, perché la scelta di Immuni era stata basata proprio sulle fantomatiche garanzie di rispetto della privacy del modello centralizzato, quindi è stato demolito il principale motivo di scelta della soluzione di Bending Spoons. Nel frattempo, Google e Apple hanno attivato le API del sistema di contact tracing su propri sistemi operativi Android e iOS senza preavviso e senza notificare adeguatamente gli utenti, favorendo l’insorgenza di paura e panico in coloro che hanno notato la nuova voce nella configurazione del proprio smartphone e in quelli che l’hanno scoperto dal passaparola, talvolta impreciso ed eccessivamente allarmistico, che è girato in rete. Il Codacons, subissato di segnalazioni, si è espresso in maniera critica sulla scelta dei due colossi di Silicon Valley, spiegando che non sono chiare le caratteristiche né le finalità, e nemmeno quando e come avrà termine l’utilizzo del servizio che potrebbe essere usato per raccogliere informazioni senza consenso e volontà degli utenti. Perché attivare il sistema in maniera silente? Per alimentare ulteriormente il clima di sospetto già instauratosi sul tema?

Sempre in tema di trasparenza, la ministra Paola Pisano ha assicurato pubblicamente che l’app Immuni verrà resa disponibile entro i primi di giugno in modalità Open Source. Tuttavia, se i tempi di rilascio venissero rispettati, a pochi giorni dall’imminente rilascio dovremmo già avere a disposizione in chiaro la totalità del codice sorgente, per consentire a sviluppatori ed esperti indipendenti di valutarne i meccanismi di funzionamento, i criteri di interfaccia e interazione verso il sistema operativo degli smartphone, le modalità di gestione dei dati, nonché eventuali bug o vulnerabilità che potrebbero mettere a rischio la sicurezza e la privacy dei cittadini utenti. Il codice sorgente rilasciato il 25 maggio sulla piattaforma GitHub è però incompleto, poiché riguarda principalmente l’interfaccia dell’app e non il motore vero e proprio che genera e gestisce i dati, in particolare verso i server che dovrebbero centralizzare informazioni sul sistema, perciò al momento è impossibile valutarne la sicurezza e le misure di tutela della privacy degli utenti. L’ipotesi è che il lavoro di sviluppo sia iniziato da poco, probabilmente da metà maggio, quindi è molto difficile che i tempi di consegna possano rispettare la scadenza dichiarata dal ministero, a meno che non si brucino le tappe con il rischio di produrre un sistema vulnerabile, pieno di errori e scarsamente testato. Molto probabilmente il rilascio vero e proprio avverrà nel mese di luglio, quando le mascherine saranno un ricordo e il virus sarà definitivamente inattivo. Sono stati rilasciati anche alcuni documenti (in inglese) che ne spiegano a grandi linee il funzionamento e alcune immagini di preview delle schermate dell’app. Qui è possibile accedere ai sorgenti del codice rilasciato.

Infine, i ministeri coinvolti sul tema non hanno ancora emesso le indispensabili disposizioni a tutti gli attori dei processi (Servizio Sanitario Nazionale e cittadini in primis) per spiegare come comportarsi a fronte di segnalazioni ed eventi prodotti dal sistema di contact tracing attraverso l’app Immuni. Alcune indicazioni sono state emesse sotto forma di indiscrezioni a mezzo stampa, ma non esiste ancora un testo ufficiale né un’organizzazione a supporto dei processi sanitari e di allerta da attivare in caso di segnalazioni di infezione o positività. Come deve agire il cittadino che usa l’app e viene trovato positivo al virus? Cosa succede a fronte di questo evento? Come devono agire i cittadini che ricevono la segnalazione di potenziale positività a fronte di (presunto) avvenuto contatto con un soggetto positivo? Come e con quali tempi vengono attivate le strutture sanitarie per eseguire i tamponi ai soggetti potenzialmente positivi? Il SSN è pronto per rilasciare i codici da inserire nell’app per attivare le segnalazioni e per gestire i processi a fronte dei diversi gradi di allerta previsti? Quanto e in che modo incidono i livelli di rischio in termini di tempo (da minimo 5’ a massimo 30’) e intensità di esposizione? Come saranno gestiti tutti i falsi positivi e i falsi negativi con efficacia e nel rispetto delle libertà individuali dei cittadini?

Quand’è che verrà lanciata un’adeguata campagna informativa del Governo per informare correttamente i cittadini su tutti i vari aspetti del sistema e dei processi di gestione? Gli elementi da chiarire sono moltissimi, ma l’impressione è che ministeri, task force e media siano focalizzati esclusivamente sul rilascio della soluzione tecnologica senza curarsi dei cittadini e del sistema di gestione a contorno.

Non dimentichiamo che è sospetta anche la cessione dell’app a titolo gratuito da parte di Bending Spoons: personalmente non sono affatto convinto della formula, un impegno così imponente richiede notevoli risorse in termini di investimenti, sviluppo, test e gestione a regime. Cosa ci guadagna Bending Spoons? Possiamo davvero berci acriticamente la storiella dell’impegno sociale? Ribadisco che questo aspetto merita un’indagine approfondita per scongiurare taciti accordi sull’utilizzo e la cessione dei dati dei cittadini.

2. Rischi per le libertà individuali dei cittadini

In attesa di valutare il modello di gestione dei dati adottato e la struttura e la sicurezza del codice sorgente di Immuni, il pericolo dell’instaurazione di un sistema di sorveglianza della massa rimane ancora presente e dovrà essere scongiurato con chiarezza e con elementi oggettivi.

È stato chiarito che l’utilizzo sarà consentito solo dai 14 anni e cesserà il 31 dicembre 2020. L’unica informazione raccolta sarà la provincia di residenza del cittadino utente con l’obiettivo di mappare le aree geografiche di contagio e che non verrà utilizzata la geolocalizzazione GPS. Non è chiaro, però, come sarà possibile discriminare se un cittadino residente a Mantova viene infettato o infetta qualcuno a Varese a oltre 200 km di distanza pur rimanendo nell’ambito della stessa regione: il contagio verrebbe registrato a Mantova in base alla residenza e non a Varese dove si è realmente verificato? Google ha dichiarato che su Android sarà comunque indispensabile l’attivazione della geolocalizzazione GPS per utilizzare il sistema di contact tracing, ma che le informazioni di geolocalizzazione non verranno utilizzate. Da un’azienda che fa della raccolta globale, dell’analisi e della rivendita di informazioni il proprio core business, questa affermazione lascia più di qualche dubbio e richiederà apposite verifiche tecniche quando la soluzione verrà rilasciata al pubblico.

Apple e Google affermano che saranno gli utenti a scegliere se attivare le notifiche di esposizione, potendo disattivarle in qualsiasi momento. Saranno sempre gli utenti a segnalare volontariamente una diagnosi di positività al virus. Anche all’atto dell’installazione verrà chiesto il consenso per il trattamento dei dati personali e sensibili in osservanza delle leggi sulla privacy, mentre i dati potranno essere condivisi con terze parti ma solo in forma aggregata, anonima e per scopi di ricerca. Staremo a vedere. Stando alle dichiarazioni pubbliche, il titolare del trattamento dei dati sarà il Ministero della Salute.

Infine, la gestione dei dati avverrà in parte sui dispositivi degli utenti e in parte su server centrali in gestione a SOGEI, azienda italiana di servizi informatici controllata al 100% dal Ministero dell’Economia e delle Finanze, non nuova a incidenti informatici. Vale la pena ricordare che recenti casi di cronaca hanno dimostrato la sostanziale inaffidabilità delle funzioni statali nel salvaguardare i dati dei cittadini, mentre è bene chiedersi come verranno usati i dati centralizzati (anche alla luce della già citata impossibilità di localizzare geograficamente i focolai di infezione) e quali misure verranno introdotte per garantire che i dati possano essere verificati e ne venga salvaguardata l’integrità e la coerenza, al fine di evitare alterazioni che possano supportare scenari di eccessivo (ad esempio per supportare il ripristino di forme di lockdown) o, al contrario, scarso allarmismo. Il Presidente del Consiglio Giuseppe Conte ha pubblicamente affermato che i dati centrali non consentiranno di risalire in alcun modo all’identità degli utenti e che l’adozione dell’app Immuni non costituirà un limite agli spostamenti. Non ci resta che confidare nell’attendibilità delle dichiarazioni rilasciate e sperare che vengano salvaguardate tutte le libertà individuali dei cittadini.

3. Inaffidabilità del sistema di contact tracing

Resta assolutamente confermata l’inaffidabilità del sistema di contact tracing, sostanzialmente a causa dell’impossibilità di rilevare con certezza tutte le casistiche semplicemente basandosi sulla presunzione e sulla durata del contatto, entrambe basate su un protocollo di comunicazione wireless che non può tenere conto di ostacoli fisici e differenze di erogazione e ricezione dei segnali fra diversi modelli di smartphone e sistemi operativi (si veda il precedente articolo sul tema). La memorizzazione dei codici di contatto avverrà solo per contatti di minimo 5 minuti e massimo 30 minuti con uno scatto di livello ogni 5 minuti, senza possibilità di determinare più esposizioni tra stessi dispositivi in giorni differenti. La conservazione dei codici di contatto avverrà per 14 giorni al termine di quali avverrà la cancellazione automatica. Come detto, non è chiaro quale sarà il significato e l’utilizzo dei sei previsti scatti da 5 minuti nelle segnalazioni di possibile esposizione a soggetti positivi al virus.

Si aggiunge poi l’ulteriore problema dell’approccio adottato dagli stati europei, secondo il quale ogni nazione avrà una propria app che non potrà comunicare o interfacciarsi in alcun modo con le app degli altri paesi. Solo i cittadini italiani avranno l’app Immuni, mentre gli altri cittadini europei avranno l’app del proprio paese di origine, magari con funzionalità e modelli di gestione dei dati differenti. Si pone un problema, quindi, in materia di spostamenti per affari e turismo: l’app Immuni potrà tracciare i potenziali contatti fra cittadini italiani, ma non fra questi e cittadini stranieri che vengono in Italia per lavorare o per visitare il nostro paese. Allo stesso tempo, i cittadini italiani non potranno essere tutelati all’estero e i cittadini stranieri non potranno essere tutelati sul territorio italiano. Alla faccia del concetto di “Unione” Europea e dell’accordo di Schengen, ci si comporta come se la diffusione del virus rispettasse i confini di stato e la nazionalità degli utenti.

4. Caos e falsi allarmi

Il tema della gestione efficace di falsi negativi e falsi positivi, che alla luce di quanto esposto nel precedente articolo e in questo si preannunciano in gran numero, è di fondamentale importanza ma non è stato ancora minimamente sfiorato né dagli organi governativi né dai media. Come detto, non esistono ancora processi né linee guida a disposizione dei cittadini per destreggiarsi velocemente e senza panico in caso di positività o di segnalazione di allarme per potenziale contatto con soggetto positivo. Quale sarà la funzione governativa deputata a gestire queste casistiche? Se esiste, è stata predisposta e correttamente dimensionata per svolgere questo fondamentale ruolo? Quali misure sono state adottate, sia a livello di sicurezza dei meccanismi di notifica e di gestione dei codici di autorizzazione, sia in termini di sicurezza del codice applicativo, per prevenire abusi e malversazioni del sistema di contact tracing, ad esempio con l’obiettivo di generare falsi allarmi su vasta scala e provocare il panico nei cittadini?

Pochi giorni fa, lunedì 25 maggio, l’Agenzia per la Tutela della Salute (ATS) di Milano ha diffuso il panico fra i cittadini per aver inviato per errore un messaggio SMS agli assistiti, in cui li avvisava di essere entrati in contatto con casi di Coronavirus, raccomandando loro di rimanere isolati in casa, limitare il contatto con i conviventi e misurare la febbre ogni giorno. La rettifica è arrivata solo il giorno dopo, regalando 24 ore di panico ai malcapitati e alla loro cerchia di parenti e congiunti. Vogliamo veramente lasciare la gestione di questi delicati processi nelle mani di strutture sanitarie impreparate?

5. Inefficacia in caso di diffusione insufficiente

Come spiegato nel precedente articolo, per raggiungere il livello minimo del 60% di penetrazione dell’app Immuni nella popolazione italiana è indispensabile che l’installazione avvenga in 9 smartphone su 10. Su questo fondamentale requisito incide in maniera importante la scelta di Apple e Google di abilitare il sistema di contact tracing solo sugli smartphone dotati di iOS 13.5 o superiore e Android 6 Marshmallow o superiore con Google Play Services 20.18.13 o superiore. Ciò rende incompatibile l’intera fetta di popolazione dotata di smartphone obsoleti (circa il 15% del totale dei dispositivi Android secondo i dati di aprile 2020, mentre per Apple iOS 13.5 sarà compatibile solo con iPhone 6S o superiori) che non rispettano i requisiti minimi previsti, diminuendo sensibilmente la base statistica su cui calcolare quel 60% assoluto sulla popolazione italiana. Ricordiamoci che anche i cittadini italiani sotto i 14 anni e tutti i cittadini stranieri sono esclusi dal sistema. Se dal totale degli italiani togliamo il 14% di popolazione da 0 a 14 anni, un 5% di persone molto anziane che non usano smartphone e un 15% di smartphone incompatibili sul 71% che è dotato di smartphone, siamo più o meno intorno a un 43% di italiani che potrebbero realmente installare e utilizzare l’app di tracciamento contatti. Solo rendendo l’app obbligatoria per tutta la popolazione di età superiore a 13 anni (senza considerare problemi tecnici o di apprendimento e obbligando chi ha un cellulare obsoleto a sostituirlo con uno compatibile), si potrebbe avere una minima possibilità di raggiungere il livello minimo del 60%, ma ciò contrasterebbe con la salvaguardia delle libertà individuali dei cittadini e introdurrebbe una serie di altri aspetti gestionali di non poco conto.

I primi test svolti in Europa sul sistema di contact tracing evidenziano un maggiore consumo della batteria dei dispositivi e questo potrebbe scoraggiare molti utenti dall’utilizzare l’app di tracciatura, mentre la sola installazione dell’app non è sufficiente poiché non sono previsti automatismi di segnalazione, ogni azione dovrà essere svolta con il consenso esplicito dell’utente, quindi in forma volontaria, e ciò potrebbe ridurre sensibilmente il volume delle segnalazioni di positività e, quindi, l’efficacia complessiva del sistema.

6. Carenza di senso critico e trasparenza dei media

Tutte le casistiche e tutti gli aspetti analizzati, insieme alle tante domande ancora aperte, dovrebbero occupare le pagine dei giornali e le rubriche di telegiornali e talk show, con l’obiettivo di chiarire il funzionamento del sistema di contact tracing in tutti gli aspetti e fornire ai cittadini delle indicazioni chiare su come utilizzare l’app e come comportarsi a fronte delle diverse evenienze. Tuttavia, noto nella narrativa dei media una chiara tendenza a smorzare le preoccupazioni sollevate dal pubblico dibattito e a prendere per oro colato le dichiarazioni degli attori coinvolti nell’implementazione del sistema nazionale di contact tracing, senza verificarne la fattibilità e l’attendibilità come dovrebbe essere nell’interesse dei cittadini. La scelta infelice di chiamare l’app “Immuni”, suscitando in forma subliminale il concetto di prevenzione quando stiamo parlando di un sistema di rilevazione (peraltro presunta), potrebbe indurre a pensare che l’app servirà ad avvisare il cittadino quando sta per avvicinarsi ad altre persone infette (come successo a Di Maio), mentre la realtà è ben distante da questa visione.

Servono senso critico e trasparenza, non conformismo e asservimento.

Non dimentichiamo, infine, che siamo qui a parlare di un sistema di tracciamento dei contatti pensato per controllare la diffusione di un virus, il Covid-19, che non solo si è evidentemente depotenziato riducendo al minimo le infezioni e azzerando il carico sulle strutture sanitarie, ma che da ben due mesi (dopo che è stata individuata la giusta cura, peraltro andando contro le disposizioni del Ministero della Salute) è perfettamente curabile a casa con protocolli sicuri e collaudati.

Quindi, se la pandemia non è più tale, se la malattia può essere efficacemente curata, se il sistema di contact tracing è inaffidabile, se l’app non ha alcuna possibilità di raggiungere il livello minimo di efficacia e se il rilascio al pubblico avverrà comunque troppo tardi, perché siamo ancora qui a parlare di un sistema di tracciamento dei contatti? Tutto ciò non ha alcun senso, a meno che qualcuno non sappia qualcosa che noi non sappiamo…

(Consentitemi una battuta: se invece di “Immuni” l’app fosse stata denominata “Scopri che tipo di positivo sei”, sarebbe stata un successo!)

Ettore Guarnaccia