L’obiettivo del contact tracing è di avvertire le persone che nell’immediato passato (ma non in tempo reale) sono state a contatto con persone diagnosticate come infette, e quindi sono a rischio di aver contratto il virus. A seguito di tale avvertimento (alert) le persone possono autoisolarsi oppure rivolgersi alle autorità sanitarie per i controlli e le eventuali cure.

In caso di epidemie le leggi prescrivono specifici obblighi a carico delle autorità sanitarie, ma anche degli stessi cittadini, di comunicare le diagnosi positive in modo che le autorità sanitarie possano investigare la catena delle esposizioni della persona infetta e quindi arrivare a isolare nel più breve tempo possibile eventuali altri infetti. In tal modo limitando il più possibile la diffusione del virus. Questa investigazione (contact tracing, se vi interessa c’è un corso online gratuito per contact tracers) è normalmente attuata da personale sanitario opportunamente addestrato, anche psicologicamente, per poter gestire le molteplicità delle reazioni che potrebbe avere un essere umano, cosa che un software non sarebbe mai in grado di fare.

Tranne alcune eccezioni dove si è ritenuto preferibile il contact tracing manuale (analogico), in molti paesi compreso l’Italia (qui una lista delle App di contact tracing in uso o in sviluppo, qui la repository su GitHub) è in atto la trasformazione di un’operazione così complessa, che ingloba problematiche sanitarie, etiche e psicologiche, in un’operazione puramente tecnologica gestita più o meno interamente da un algoritmo matematico (un’applicazione mobile). Tale trasformazione comporta una serie di dubbi e incertezze che non possono non essere tenute in considerazione. La domanda alla quale occorre rispondere è se ne vale la pena, e a quale costo.

I dubbi del Copasir

Arriva GApple

Come funziona il contact tracing digitale

Rischi della App di contact tracing

Digitale e/o analogico?

A che punto siamo in Italia

In Italia, come già detto, il 30 aprile è stato pubblicato il decreto legge n. 28 che, all’articolo 6, regolamenta il “sistema di allerta COVID-19”. Il sistema, e quindi la App di contact tracing collegata (che è Immuni), sarà volontario e tratterà solo i dati di esposizione al contagio tramite tecnologia Bluetooth Low Energy.

La App Immuni (pagina del Ministero per l’Innovazione), inizialmente scelta per l’adesione al PEPP-PT (con ciò garantendo l’interoperabilità, all’epoca) e perché in stato di maggiore avanzamento, è attualmente in fase di nuovo sviluppo tenendo conto delle novità emerse nel frattempo, in particolare il framework Apple/Google che consente di risolvere problemi di interoperabilità e di funzionalità del sistema. Da giugno dovrebbe essere disponibile per iOS (versione 13) e Android (versione 6).

Dalla pagina della documentazione su GitHub si legge che al momento dell’avvio la App, basata sul modello decentralizzato (qui spieghiamo la differenza col modello centralizzato), chiederà all’utente la provincia, informazione che sarà utilizzata dalle autorità sanitarie per mostrare informazioni rilevanti localmente (es. ospedali dove recarsi) nel caso l’utente riceva un alert di esposizione al rischio. Per l’uso della App occorrerà avere compiuto i 14 anni.

I dubbi del Copasir

I dubbi non mancano. Anche il Copasir (Comitato parlamentare per la sicurezza della Repubblica) si è occupato di Immuni, approvando il 13 maggio un documento che evidenzia la necessità di non sottovalutare il “rischio tecnologico, difficilmente mitigabile almeno nel breve periodo, consistente in possibili attacchi di tipo informatico da parte di hacker o altri soggetti o in possibili truffe ai danni degli utilizzatori della app”. Il Copasir ha espressamente parlato di “rischi non trascurabili sul piano geopolitico” dovuti alla possibilità che i dati raccolti possano finire nelle mani di soggetti privati non nazionali, laddove i dati potrebbero essere manipolati per fini politici, militari, sanitari o commerciali, oppure il sistema potrebbe essere usato per diffondere falsi allarmi nella popolazione o messaggi tali da alimentare il panico.

Il Copasir nella sua relazione precisa che la scelta del sistema decentralizzato (come in Germania), piuttosto che centralizzato (come in Francia), sembrerebbe essere dovuta non solo a considerazioni di privacy e di interoperabilità, ma anche ad una valutazione di indisponibilità della tecnologica necessaria ad attuare una piattaforma digitale idonea in house. Anche l’architettura decentralizzata comunque richiede un server centrale (backend), capace di gestire (tramite CDN, che dovrebbe essere nelle mani di Sogei) una mole di connessioni estremamente elevata. Si tratta di una tecnologica che, continua il Copasir, non è disponibile presso aziende italiane e quindi va acquisita da società estere. Il decreto legge prevede, infatti, che sia un soggetto pubblico italiano a gestire i dati tramite una struttura nel territorio nazionale.

Altro punto da chiarire sono le misure da attuare in caso di immissione di dati errati o inesatti, sia per errori umani che per attacchi informatici, compresa l’eventuale perdita di dati. È quella che tecnicamente si definisce Disaster Recovery.

Il Copasir evidenzia anche che la App Immuni è stata scelta “a prescindere da ogni valutazione sulla composizione societaria dei gruppi proprietari delle due App”, valutazione che invece il Comitato considera “meritevole di approfondimento”. Sottolinea, inoltre, alcune criticità che non sono risolte dal decreto legge, in particolare stabilire i criteri per definire quali possono essere considerati “contatti qualificati” (quelli che fanno scattare l’alert). Secondo il Copasir tale alert dovrebbe essere collegato all’effettuazione di un tampone (il dato andrebbe inserito nel sistema con un codice anonimo impedendo l’identificazione del soggetto infetto), cosa che appare allo stato l’unico modo certo per la verifica del contagio. Il Copasir, quindi, esclude una valutazione di status di infetto (che è differente dal rischio di esposizione) che sia ricavabile al di fuori dei test sanitari, come ad esempio basata su un mero calcolo algoritmico.

Il Copasir, inoltre, ritiene che il decreto legge debba essere più chiaro nell’“escludere eventuali provvedimenti più restrittivi, da parte di soggetti istituzionali o da privati, volti a selezionare l’accesso delle persone (a luoghi, zone territoriali, locali pubblici o privati eccetera)” in caso di non uso della App. Inoltre chiede un’unica soluzione nazionale che escluda interpretazioni restrittive su base regionale tali da limitare lo spostamento dei cittadini. In sostanza ritiene che si debbano evitare discriminazioni dirette ed indirette in caso di non uso della App.

Infine, il Copasir auspica che sia chiarito che il sistema deve essere considerato integrativo rispetto alla ordinaria modalità in uso nell’ambito del Servizio Sanitario nazionale, per evitare che il contact tracing digitale sostituisca il tracciamento ordinario. In sostanza, il Comitato evidenzia che il contact tracing digitale non è in alcun modo in grado di sostituire il contact tracing manuale effettuato dagli operatori sanitari. Anche in paesi come Singapore l'applicazione di tracciamento dei contatti è stata utile solo nella misura in cui ha integrato e non soppiantato il tracciamento manuale. Tra l’altro a Singapore, a seguito di nuove ondate del contagio, di recente sono passati a nuove restrizioni della mobilità dei cittadini (sistema SafeEntry). Gli sviluppatori della App di Singapore mettono in guardia contro un'eccessiva dipendenza dalla tecnologia e sostengono che la ricerca dei contatti dovrebbe rimanere un processo svolto principalmente dall'uomo.

Il fatto che il Copasir si occupi della App di contact tracing ci fa capire quanto tale strumento possa essere “pericoloso” e non vada preso alla leggera. Il Comitato è estremamente chiaro nel precisare che se all’uso della App non corrisponde la capacità organizzativa di effettuare tamponi, l'efficacia dello strumento sarebbe molto limitato a fronte di una rilevante cessione di dati personali.

Arriva GApple

Nel frattempo sono state pubblicate le Api del framework Apple/Google, e l’upload verso gli smartphone iOS (annuncio di Tim Cook) e Android (annuncio di Sundar Pichai) è già cominciato il 20 maggio. Occorreranno un paio di settimane perché si completi l’operazione.

Le due aziende, incoraggiate dalla Casa Bianca, hanno realizzato insieme un sistema che verrà posto nelle mani delle autorità sanitarie pubbliche ufficiali, e sarà disattivato su base regionale quando non più necessario. E questo dovrebbe risolvere uno dei dubbi principali sul sistema, anche se non è chiaro cosa implichi esattamente la disattivazione.

Che siano proprio gli sviluppatori dei principali sistemi operativi per smarpthone e tablet a realizzare un sistema di contact tracing (anzi exposure notification, come tengono a precisare) riduce i rischi di possibili bug, consente una interoperabilità prima difficilmente realizzabile (come ci ha raccontato l’esperienza di Singapore), e migliora le prestazioni riducendo il consumo della batteria conseguente a tenere sempre acceso il Bluetooth. Con questo framework l’operazione di tracciamento digitale può avvenire anche andando all’estero, senza dover cambiare App, anche se questo dipenderà da accordi tra i vari Stati (al momento, però, le App in Europa non dovrebbero potersi parlare tra loro).

Il lancio di GApple, come qualcuno scherzosamente chiama il framework delle due rivali, è destinato a cambiare le carte in tavola, anche perché non consente un approccio centralizzato (come scelto in Francia). Infatti già sono molti gli Stati che hanno annunciato di voler utilizzare il sistema Apple/Google, compreso l’Italia. Il 25 maggio, infatti, è stato pubblicato anche il codice dell’applicazione Immuni (di proprietà del governo, con licenza GNU, gratuita e aperta alla massima collaborazione), così consentendo la verifica delle funzionalità (il codice è anche su siti PA). Inoltre il codice della App che sarà disponibile sugli “store”, come assicurato nella documentazione, non sarà “offuscato”, permettendo la decompilazione e verifica da parte di chiunque vorrà controllare di persona: "To increase transparency, the code is neither shrunk nor obfuscated, making it easier for security experts to decompile the bytecode and compare it with the published source code".

Come funziona il contact tracing digitale

Facendo riferimento a una generica App di contact tracing digitale, il funzionamento può essere semplificato in questo modo.

Se l’utente X ha l’applicazione di contact tracing installata, e il Bluetooth attivo, la App genera a intervalli regolari delle ID temporanee (Ephemeral Identifiers) non identificative, che eventualmente possono essere cancellate dall’utente tramite il framework Apple/Google. La App istruisce lo smartphone a inviare la lista delle proprie ID temporanee (list out) agli smartphone di altri utenti coi quali viene a contatto. Il “contatto” è definito da parametri decisi dalle autorità sanitarie (è il “contatto qualificato” di cui parla il Copasir), ad esempio 5 minuti a distanza inferiore a 2 metri. Le ID sono generalmente corredate da dati temporali (quando) che possono avere un range più o meno ampio a seconda della programmazione (per Immuni dovrebbe essere il giorno, quindi l’alert dovrebbe essere di questo tipo: “il giorno 18 maggio sei stato esposto al virus”). Nel contempo l’utente X riceve le ID degli altri smartphone (list in) coi quali viene a contatto.

La App gestisce in sostanza due liste di ID, quelle in ingresso e quelle in uscita. La differenza tra un sistema centralizzato e decentralizzato è dove vengono generate le ID temporanee. Nel primo caso le ID vengono generate direttamente dal server, nel sistema decentralizzato, invece, le ID vengono generate direttamente dallo smartphone.

Se l’utente X è trovato infetto a seguito di controllo delle autorità sanitarie, riceve un codice (token) che inserirà nella App per sbloccare la funzione di invio (upload) della lista delle ID raccolte nello smartphone (report). Tale invio non è obbligatorio, ma è una scelta volontaria dell’utente.

In un sistema centralizzato lo stato di rischio dell’utente X viene stabilito direttamente dal server centrale. Lo “status” dipende dal calcolo basato sui parametri che dovrebbero essere stabiliti dagli operatori sanitari. Infatti, la semplice esposizione a un soggetto infetto non comporta necessariamente l’infezione, la quale può dipendere da numerosi fattori, molti dei quali non sono valutabili dall’algoritmo (es. la presenza di mascherine, il luogo dell’infezione, la ventilazione del luogo dell’infezione, ecc...). La comparazione avviene nel server, tra i dati di list in e quelli di list out relativi ad uno specifico utente. Questo non vuol dire che l’utente è identificato fisicamente, poiché c’è uno schermo costituito dalle ID temporanee che rende difficile (ma teoricamente possibile) tale identificazione. Ovviamente tutto dipende da come è programmato il sistema.

In un sistema decentralizzato, invece, lo status viene calcolato scaricando il contenuto del server sullo smartphone, e quindi l’elaborazione avviene all’interno dello smartphone, con la comparazione (matching) tra le ID temporanee raccolte sul dispositivo (list in) e quelle ricevute dal server (list out), per verificare se l’utente Y è stato a contatto con uno o più persone trovate infette.

Rischi della App di contact tracing

Dalle valutazioni del Copasir, che riprendono considerazioni di numerosi esperti, appare evidente che una App di contact tracing non è qualcosa che si può usare senza alcun rischio. Anche perché queste App devono passare da “c'è un forte segnale Bluetooth in prossimità” a “ci sono due esseri umani che hanno un contatto epidemiologicamente rilevante”. Il Bluetooth non è stato creato per questo, per cui il tutto funziona con una serie di approssimazioni. Già il fatto di considerare lo smartphone come equivalente (proxy) di un essere umano è una approssimazione (pensiamo a quelli che non sempre lo portano con sé, oppure che lo tengono spesso spento, o lo tengono in borsa, o lo appoggiano da qualche parte).

• Falsi positivi e negativi

L’autoisolamento prescritto dalla App è conseguente a una valutazione automatizzata da parte di un algoritmo che potrebbe avere (a seconda delle scelte) delle conseguenze giuridiche. Un obbligo giuridico di isolarsi, conseguente alla decisione della App, finirebbe per porsi in contrasto con l’art. 22 del GDPR (Regolamento Generale sulla Protezione dei Dati). La norma stabilisce che il cittadino ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici o che incidano significativamente sulla sua persona, a meno che tale trattamento non sia previsto da una legge e siano stabilite ulteriori misure a tutela dei diritti del cittadino. Per quello che è dato sapere al momento, l’utilizzo della App Immuni non dovrebbe essere collegato a conseguenze giuridiche, al messaggio di alert consegue solo un obbligo morale.

È, però, possibile, che tale prescrizione sia la conseguenza di un errore, ad esempio se una persona si trova dal lato opposto di una parete porosa rispetto ad altra persona diagnosticata infetta, il sistema potrebbe ritenere sussistente un “contatto”, con le conseguenze di far partire un alert. Situazioni simili si possono avere in un treno, in un autobus, in un centro commerciale o in un edificio (tra i piani), nel caso di uno smartphone temporaneamente dimenticato da qualche parte, e così via. Sono tutti potenziali casi di falsi positivi. È noto che la comunicazione Bluetooth è influenzata da numerosi elementi, per cui il calcolo della distanza del contatto è estremamente complicato. Ad esempio un corpo umano attenua il segnale, per cui se lo smartphone è nella tasca di dietro, una persona che viene verso di noi da davanti, vedrà il nostro smartphone ad una distanza superiore a quella effettiva. Per risolvere il problema è necessario fare dei test su tutti i tipi di smartphone per verificare come gestiscono il segnale Bluetooth (come hanno fatto a Singapore).

Le conseguenze dei falsi positivi sono importanti. Si tratta di conseguenze sociali e psicologiche (come la prenderà il soggetto allertato? Andrà nel panico?), ma possono riverberarsi anche direttamente sulla società. Ad esempio portando troppe persone a rivolgersi alle autorità sanitarie o intasando i numeri di emergenza. Tale tipo di rischio incide palesemente sui soggetti più deboli socialmente ed economicamente, persone che vivono in quartieri poveri e in appartamenti più piccoli e affollati.

Un falso positivo che porta all’isolamento (o autoisolamento) può avere gravi conseguenze economiche e sociali sulla persona. Per evitare che ciò accada occorre una struttura sanitaria in grado di rispondere velocemente alle richieste dei cittadini (test). Nel caso in cui un soggetto dovesse autoisolarsi senza ottenere alcuna seria risposta (test) dal sistema sanitario è facilmente pronosticabile che un secondo alert non sarebbe rispettato. Insomma, l’efficacia della App dipende in larga misura dalla struttura sanitaria.

Altrettanto importanti possono essere i falsi negativi, cioè casi nei quali un contatto con un infetto non è stato tracciato. Ciò può dipendere non solo dal fatto che uno dei due non ha la App, oppure non la ha attiva, ma anche dal fatto che il contatto è mediato (l’infetto tocca una superficie e si allontana, dopo pochi secondi una persona tocca la medesima superficie), oppure semplicemente per inefficacia della App.

• Identificazione e de-anonimizzazione degli utenti

Si è talvolta sostenuto che queste App funzionerebbero con dati anonimi, ma non è corretto, sono tecnicamente dati “pseudonimi”, cioè dati personali ai quali viene strappata la parte che consente l’identificazione dell’individuo. In questo modo si dovrebbe garantire un velo di “anonimato”. Questo modo di trattare i dati comporta una serie di rischi.

Il primo rischio è che dai dati pseudonimi trasferiti da uno smartphone all’altro e da questi al server centrale sia identificata la persona fisica. In un sistema centralizzato l’utente scarica la App dal server, il server genera le ID temporanee che vengono inviate agli smartphone, in caso di infezione l’utente riceve un token, e poi effettua l’upload della lista degli ID, e infine riceve gli status. Ogni qual volta la App si collega al server in teoria è possibile che vi sia un’identificazione (ad esempio tramite l’IP del dispositivo). E questo anche nel caso in cui il sistema utilizzi soltanto ID temporanee. Molte di queste fasi, invece, non sono presenti in un sistema decentralizzato, riducendo il rischio di possibili identificazioni fisiche dell’utente.

Nel caso di sistemi centralizzati gli operatori possono de-anonimizzare i contatti, e la tutela deriva soprattutto dalla legge che vieta l’identificazione, per questo i sistemi centralizzati non dovrebbero essere usati se non da autorità pubbliche senza il coinvolgimento di privati. Un sistema del genere necessita di una serie di misure di sicurezza del server centrale, poiché l’eventuale violazione esporrebbe i dati di moltissimi individui.

Nel caso di sistemi decentralizzati questo tipo di attacco informatico è più difficile ma sempre possibile. Le ID temporanee ruotano ad intervalli regolari (es. ogni giorno), ma un soggetto infetto invia ID al server per diversi giorni consecutivi nel periodo di infezione, per cui captando le ID temporanee è teoricamente possibile l’individuazione della persona, ricostruendo la mappa dei contatti. In questo caso, però, è possibile ricostruire solo parte dei contatti, rendendo il sistema decentralizzato più sicuro sotto questo aspetto. Un sistema decentralizzato, quindi, necessita di far circolare una quantità maggiore di dati, ma nel contempo rende più difficile identificare le singole persone fisiche.

In realtà esistono vari tipi di attacchi che coinvolgono i sistemi decentralizzati. Ad esempio raccogliendo le ID temporanee volta per volta, segnando il nome della persona alla quale ci si è avvicinati, per poi verificare in seguito se una di quelle ID vengono etichettate come relative a un infetto. È solo uno dei tanti esempi, per i quali esistono delle possibili contromisure. Si tratta di vulnerabilità del sistema Bluetooth, per questo generalmente si consiglia di tenerlo spento in pubblico, e per questo Apple bloccava l’uso di tale protocollo in background (a smartphone bloccato).

Infine, il decreto legge che regolamenta la App prevede che alla fine dell’emergenza i dati saranno cancellati, “salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica”. Oltre al rischio che per bug di programmazione i dati non siano cancellati, o non siano cancellati completamente, sussiste il rischio di una possibile de-anonimizzazione nella fase di utilizzo degli stessi in forma aggregata. In quel caso i dati verranno sottoposti ad un procedimento di anonimizzazione, ma i metodi di “anonimizzazione” dei dati sono noti per non essere completamente sicuri. Una ricerca congiunta del MIT e dell'Université Catholique de Louvain ha persino scoperto che sono necessari solo quattro punti (casuali) per de-anonimizzare il 95% degli utenti.

In tutti questi casi è possibile, quindi, che un soggetto (un terzo, oppure anche un governo o ente governativo) sfrutti i dati ottenuti a fini di profilazione. Trattandosi di dati sanitari, quindi particolarmente rilevanti, le discriminazioni possibili sono numerose (es. per rifiutare polizze sanitarie, posti di lavoro, ecc…), compreso discriminazioni politiche. In teoria le discriminazioni sono possibili anche semplicemente utilizzando dati aggregati se il livello di aggregazione è tale da riguardare quartieri o vie. Un livello di esposizione al virus più elevato, infatti, potrebbe portare ad un abuso politico, come ad esempio vietare manifestazioni in determinate città, quartieri, o addirittura mettere in lockdown alcune zone giustificando la misura con rischio epidemiologico, con ciò impedendo manifestazioni di protesta (es. lavoratori, politiche).

• Restrizioni per chi non usa la App

Anche se l’uso della App è volontario, è teoricamente possibile, e ci sono state molte proposte in tal senso, che specialmente i privati cerchino di imporre l’utilizzo dell’applicazione mobile vietando l’accesso a luoghi o l’utilizzo di servizi in assenza della prova dell’attivazione e dell’uso continuativo (almeno i 14 giorni precedenti) della stessa. Ad esempio, nei trasporti, nella ristorazione, negli edifici, nei parchi pubblici, ecc... Numerose discussioni si incentrano anche su possibili usi delle cosiddette licenze di immunità, il problema è lo stesso.

Il rischio è che si crei una distinzione tra cittadini di serie A e di serie B, in considerazione che molti individui non possono permettersi uno smartphone adeguato e un piano dati adeguato per l’uso della App, alcuni cittadini possono avere insufficiente dimestichezza con tali dispositivi, altri potrebbero semplicemente dimenticare il dispositivo, senza contare la possibilità che il dispositivo potrebbe scaricarsi (con Bluetooth attivo il rischio è superiore). Questo tipo di discriminazione inciderebbe senz’altro in misura superiore sulle classi già svantaggiate.

• Tracciamento commerciale o per finalità secondarie

Negli aeroporti, nei supermercati, nelle stazioni e anche in molti luoghi privati, sono già presenti delle infrastrutture equipaggiate con dispositivi Bluetooth, utilizzate per svariate ragioni, dal controllo degli spostamenti dei consumatori, ad esempio verificando per quanto tempo un possibile acquirente rimane in un locale e quante volte ci ritorna, all’invio di comunicazioni commerciali. Lo smartphone dell’utente sul quale è attivo (per la App di contact tracing) il Bluetooth è quindi soggetto a controllo da parte di una quantità di dispositivi a fini commerciali, che sicuramente aumenteranno esponenzialmente nel futuro.

Un ulteriore uso dei dati di tracciamento potrebbe essere per finalità di prevenzione e repressione del crimine. Ad esempio per verificare chi sono i “contatti” di una persona soggetta a indagini criminali.

• Bluetooth hacking o sms scam

È noto che l'implementazione del Bluetooth sia su iOS che Android soffre di una serie di vulnerabilità che possono consentire l’esecuzione di codice sui dispositivi soggetti ad attacco informatico. L’utilizzo su larga scala del protocollo di comunicazione incoraggerà sicuramente lo sviluppo di forme di attacco e di sfruttamento di tali vulnerabilità. Non dimentichiamo che molti smartphone, specialmente se economici, non ricevono gli aggiornamenti tesi a eliminare i bug del sistema (security updates).

Esiste anche il rischio che persone non avvezze alla tecnologia scambino falsi messaggi inviati via sms per messaggi provenienti dalle autorità sanitarie. In realtà è accaduto anche di peggio, direttamente dalla Regione Lombardia il 25 maggio sono partiti sms che erroneamente riportavano una possibile esposizione al virus.

Infine è possibile captare i segnali Bluetooth ricostruendo parzialmente la rete degli spostamenti di un individuo, così scoprendo il suo domicilio, il luogo di lavoro e in genere i luoghi frequentati. Una contromisura, tra l'altro utilizzata da Immuni, è inserire falso traffico (dummy) per rendere più difficile individuare i dati reali.

• Iniezione di falsi eventi nel sistema

In teoria è possibile che soggetti terzi riescano ad iniettare nel sistema dei dati riguardanti falsi contagi di persone, con ciò determinando a catena una diffusione falsa di un contagio, compromettendo una serie di persone che sono state a contatto. Un infetto che lega lo smartphone al cane per farlo correre nel parco, solo per vedere l’effetto che fa.

Per risolvere tali vulnerabilità è essenziale che il sistema sia studiato con una serie di contromisure. L’utilizzo di token di autorizzazione da parte del personale sanitario per validare lo status di infetto risolve solo in parte il problema, perché è sempre teoricamente possibile che qualche soggetto terzo si appropri di un certificato medico relativo allo stato di infetto. Si tratta di un rischio remoto, ma teoricamente possibile.

Queste sono solo alcune delle possibili vulnerabilità (Centralized or Decentralized? The Contact Tracing Dilemma; Towards Defeating Mass Surveillance and SARS-CoV-2: The Pronto-C2 Fully Decentralized Automatic Contact Tracing System) di cui soffre una App di contact tracing digitale. Alcuni di questi eventi sono improbabili, anche se non può dimenticarsi che attaccare un sistema del genere può essere un’occasione piuttosto ghiotta che uno Stato estero che ha interesse a creare confusione in un altro Stato.

Il problema della tutela dei dati personali non è quindi fine a se stesso, ma va visto nell’ottica di una tutela dell’intera società e della sicurezza dei cittadini. Entrambi i sistemi, centralizzati e decentralizzati, soffrono di vulnerabilità, laddove nei primi il rischio si concentra sostanzialmente nella sicurezza del server, un attacco andato a buon fine finirebbe per esporre l’intero grafo sociale di parte della popolazione. Invece un sistema decentralizzato soffre di varie vulnerabilità che riguardano anche la sicurezza dei singoli smartphone, ma un attacco andato a buon fine esporrebbe solo una parte del grafo sociale.

Il reale problema non è tanto tra salute e privacy, ma tra privacy e economia. Se l’App è volontaria ben pochi la utilizzeranno. Ci sono tanti che non si fidano del governo, delle autorità sanitarie (per come hanno gestito l’emergenza), tanti che in genere non si fidano di come vengono usati i loro dati in assenza di corrette informazioni. E certo non si può dire che su questa storia della App sia brillata la trasparenza e l’informazione verso i cittadini.
Se l’utilizzo rimane basso non sarà molto utile. Se si dovesse passare ad un sistema obbligatorio (allo stato vietato dal decreto legge) questo non garantisce che l’uso sarà molto più elevato, perché ci sono molti che non possono permettersi smartphone adeguati o piani dati adeguati al notevole flusso di traffico che comporterà la App. Di sicuro una App obbligatoria metterà in moto un serie di dinamiche di resistenza, e quindi la sfiducia verso il governo aumenterebbe.

Digitale e/o analogico?

Nel discutere di contact tracing e modelli, il Giappone non è mai stato preso in considerazione, anche se sembra che se la stia cavando bene nel contenimento del virus. Il Giappone ha seguito il virus da quando sono stati trovati i primi casi, concentrandosi sui cluster per contenere l’infezione, tramite un approccio “vecchia scuola”. I centri di salute pubblica utilizzano circa 50mila persone per seguire le infezioni più comuni come l’influenza e la tubercolosi, e adesso sono impiegate per il contact tracing del virus: «È molto analogico, non è un sistema basato su app come a Singapore. Tuttavia, è stato molto utile», ha dichiarato Kazuto Suzuki, professore di politica pubblica all'Università di Hokkaido.

L’impressione è che la politica non ascolti davvero i medici e gli operatori sanitari, che non si fanno abbagliare dall’aspetto scintillante di una App, e che sanno bene che questo compito non può essere svolto da chiunque, certo non da un software. Sanno bene che dietro una App di contact tracing alla fine c’è un vero esercito di persone, di contact tracers manuali: «Leggerai un sacco di cose sbagliate su Twitter e altrove, su cosa hanno fatto in Asia», dice Tom Frieden, ex direttore dei Centers for Disease Control and Prevention. Ma non è vero, la Cina, ad esempio, ha usato oltre 730mila persone per fare il contact tracing analogico, di cui 9mila solo a Wuhan, in Francia utilizzano circa 30mila contact tracers, la Nuova Zelanda che sta contenendo bene il virus ha solo 190 tracers, il Regno Unito ha reclutato 21mila persone, negli Usa hanno 11mila operatori che dovrebbero diventare 300mila (costo stimano 1,3 miliardi di dollari). Il dottor Mike Reid, professore alla UCSF School of Medicine, sostiene che l’approccio “vecchia scuola” di San Francisco e di altri dipartimenti sanitari, che si basa sull'informazione e non sul tracciamento digitale, può riunire le comunità e creare la potenzialità per gestire le epidemie future.

Non si può credere che tali tecnologie non possano creare danni, sono tecnologie sperimentali e non testate, il cui impatto sociale va ben oltre le preoccupazioni per la privacy e la tutela dei dati personali. Una tecnologia del genere si inserisce in un panorama socioeconomico e politico, col rischio di esacerbare le discriminazioni e la violenza dello Stato contro gli emarginati e i più deboli. E un ulteriore rischio è quello di distogliere i finanziamenti da progetti sanitari utili e testati per un qualcosa che non è mai stato provato, oscurando così i fallimenti di un sistema di sanità pubblica.

La tracciabilità manuale dei contatti è una risorsa preziosa, anche se complicata, è attuata da professionisti preparati e addestrati a rapportarsi con le persone, è una metodologia già provata in passato e soprattutto è meno invasiva del contact tracing digitale perché riguarda solo le persone infette e esposte all’infezione, non l’intera popolazione. Per questo alcuni paesi hanno ritenuto di non affidarsi a una App.

Per l’Italia dovrebbero essere 6mila le persone da assumere (il decreto del Ministero Salute del 30 aprile 2020 fissa un numero “non inferiore a una persona ogni 10 mila abitanti”) ed è in preparazione un corso per ulteriori 20mila operatori sanitari. Ma nel frattempo dimentichiamo i nostri lavoratori veramente essenziali e 'assumiamo' 60mila “assistenti civici” che si dovrebbero occupare di moralizzare la gente per la strada.

Ormai la App è pronta, anche se nessuno sa quale sarà il costo in termini di libertà e salute. Ed ecco perché appare sempre più una soluzione meramente politica, forse servirà per dimostrare che la politica ha fatto qualcosa, e distoglierà l’attenzione dagli investimenti che davvero servirebbero. Del resto, se non usi la App e ti ammali la colpa alla fine è tua, non è vero? Oppure, peggio, di chi non la usa mettendo in pericolo anche te (l'esperienza della colpevolizzazione dei runner è sintomatica). Il rischio vero del contact tracing digitale è di scatenare la solita guerra tra i cittadini in modo da distogliere l'attenzione dalle carenze della politica.

Altri articoli sul tema:

• Coronavirus: l’uso della tecnologia, il modello coreano e la tutela dei dati personali
  Partendo dall’esperienza della Corea del Sud si evidenziano i requisiti richiesti dalle norme europee per una App di contact tracing digitale.
• Il caso Singapore, il sistema investigativo (non solo) tecnologico per contrastare le epidemie, e la privacy
  Analizzando l’esperienza di Singapore in generale, compreso il contact tracing analogico, si descrivono i possibili scenari.
• Pandemia, app e tecnologia: un test per le democrazie
  Descrizione del sistema decentralizzato (framework Apple/Google) a paragone della App di Singapore, e analisi sommaria dei possibili rischi e le ricadute sulle nostre libertà.
• Le linee guida del Garante europeo e i requisiti che l’App di tracciamento digitale dei contatti deve rispettare
  Le linee guida e le raccomandazioni delle istituzioni europee sul contact tracing digitale.
• A che punto siamo con la App di contact tracing digitale
  Descrizione sommaria del percorso di Immuni, chiarendo la distinzione tra sistema centralizzato e decentralizzato.

Foto in anteprima via Peakpx.com