App Immuni, flop o successo?

9 min lettura

Sono passati circa due mesi dal lancio della App Immuni (qui il sito web, e il numero verde per l’assistenza: 800-912491) di contact tracing digitale per il contrasto e il contenimento del nuovo coronavirus, e comincia a sentirsi la necessità di fare un qualche consuntivo. Immuni è stata un flop oppure un successo? In realtà la domanda è mal posta, una risposta seria non può prescindere dalla prospettiva di chi se la pone.

Prendiamo il punto di vista del cittadino. All’avvio delle discussioni sulla necessità o opportunità di introdurre una App di contact tracing digitale nella nostra società, abbiamo notato pressioni da parte dei privati che spingevano per questa nuova tecnologia. Anche dal settore pubblico in realtà, ma principalmente dai privati si evidenziavano in sequenza i vari “modelli” (Sud Corea, Singapore, Taiwan, addirittura Cina) che avevano fatto uso di tale tecnologia e che stavano ottenendo, si diceva, ottimi risultati, fino a glorificare App che avrebbero salvato alcuni paese asiatici dalla COVID-19. Quei paesi, in realtà, dopo qualche tempo sono passati a forme più o meno estese di lockdown. Probabilmente l’idea era di spingere per una creazione di un mercato di tali App da porre nelle mani dei privati (eh, la concorrenza, il privato le cose le fa sempre meglio del pubblico, bla bla bla…) che finalmente avrebbero potuto mettere le mani sul grande business dei dati sanitari, un settore ricco ma, per fortuna, ancora presidiato da una serie di paletti a tutela della privacy dei cittadini.

Invece, la App Immuni ha preso, alla fine, una strada diversa, e il Ministero ha recepito le istruzioni e i pareri dei Garanti nazionali e europei, realizzando una App realmente tutelante la privacy dei cittadini. Certo, parte del merito va anche al framework GApple (Google+Apple) che impone delle limitazioni che non possono essere bypassate se si vuole avere una App che sia davvero efficiente. È, infatti, il framework GApple che consente alla App di non scaricare velocemente la batteria (Immuni ha un impatto minimo sulla batteria), e permette il dialogo senza problemi tra sistemi operativi diversi (IOs e Android). Insomma, dal punto di vista del cittadino possiamo dire che lo strumento in sé tutela la privacy e non consente a terzi di raccogliere dati dei cittadini. I dati raccolti dalla App e gestiti dal Ministero della Salute sono davvero il minimo necessario per tale tipo di uso (la verifica delle esposizioni a rischio) e sono principalmente dati statistici (per provincia).

Completamente differente è la prospettiva statale, del Ministero e, se vogliamo, della sicurezza pubblica. Ma anche qui non è una sorpresa se solo ci si è informati e si è valutato la situazione con obiettività, senza perdersi dietro alle tesi di un efficientismo tecnologico mai realmente dimostrato. Se c’è qualcosa che i paesi asiatici ci hanno insegnato è che non esiste una soluzione tecnologica salvifica, non esiste una App che risolve il problema del contagio. La App ha un senso solo se inscritta in un sistema sanitario efficiente e bilanciato, e già configurato per espandersi in occasione di epidemie. Questo e ciò che paesi come la Corea del Sud e Singapore hanno realizzato. Anche nella iper-sorvegliata Cina, alla fine, hanno dovuto contare su veri e propri eserciti di contact tracer umani che seguivano passo passo i singoli contagiati.

Oltretutto un paragone con Taiwan, Singapore o le principali città cinesi, dove la penetrazione degli smartphone arriva oltre il 90% laddove in Italia siamo intorno al 60%, ci palesa che una tecnologia di questo tipo è necessariamente limitata. Uno studio della Oxford University ha sostenuto che la App avrebbe una sua utilità solo se viene usata dal 60% della popolazione (in realtà si tratta di un fraintendimento dello studio, che afferma invece che la App ha una utilità già a livelli molto più bassi), ma solo l’Islanda col 50% si è avvicinata a tale percentuale. Le evidenze da Singapore ci raccontano però una storia diversa, la App serve sempre, anche a percentuali più basse, ovviamente più sono le persone che la usano, maggiore è l’efficacia dello strumento, raggiungendo un’efficacia massima intorno al 60% dei download. Per cui i 4,6 milioni circa di italiani (al 3 agosto, pari al 12% della popolazione) che hanno scaricato la App sono effettivamente pochi, ma non vuol dire che la App non serva a nulla. Certo sarebbe preferibile che la scaricassero più persone, anche in considerazione che, alla fine, la App è stata realizzata secondo le migliori tecniche di sicurezza e di tutela della privacy (il codice è pubblico e verificabile).

Sicuramente su questo aspetto ha inciso un certo “abbandono” dello strumento tecnologico. Dopo la prima fase di “hype”, soprattutto per i privati che speravano di poter gestire i dati sanitari dei cittadini, il fatto che la App fosse stata realizzata secondo elevati standard di privacy ha costretto, probabilmente, molti privati a disinteressarsi della questione. Il clamore è progressivamente scomparso e quindi della App se ne è parlato sempre meno. Anche il settore pubblico sembra aver messo un po’ da parte la App (c’è però il profilo Twitter di Immuni), sulla comunicazione si poteva fare di più (intervista alla Ministra Pisano) a differenza di altre realtà, come ad esempio Singapore, dove il lancio di TraceTogether è stato accompagnato da campagne su tutti i media, compreso WhatsApp dove il governo ha un apposito account. Da questo punto di vista, quindi, la App non è stata proprio un successo, anche se non si può dire che sia stata un flop. La App serve, certamente sarebbe più utile se la usassero più persone. Ma, triste realtà, la fiducia da parte dei cittadini nello strumento e in quelli che lo gestiscono occorre guadagnarsela.

Come funziona Immuni

Tizio e Caio hanno la App installata e attiva, con Bluetooth attivo. Ricordiamo che su Android l’attivazione del BLE comporta anche l’attivazione dei servizi di posizionamento, ma Immuni non raccoglie questo tipo di dato. Se Tizio e Caio si incontrano, i relativi smartphone tramite il BLE si scambiano un identificativo di prossimità (ID) che la App genera casualmente ogni giorno, e che viene registrato sulla App in forma cifrata (nessuno può accedere all’identificativo). Oltre all’ID viene registrato anche la durata del contatto e la potenza del segnale (la distanza è ricavata dalla forza del segnale BLE, ma ovviamente è una stima e potrebbe non essere precisa, vedi Inferring distance from Bluetooth signal strength: a deep dive).

Se dopo qualche giorno Caio risultasse contagiato dal nuovo coronavirus potrà (non è un obbligo) caricare sui server del Ministero (gestiti dalla SOGEI, la società informatica della Pubblica Amministrazione, in abbinamento ad una CDN di Akamai) le sue chiavi crittografiche dalle quali si ricavano gli ID. Quando la App di Tizio si sincronizza con i server del Ministero, scaricherà le chiavi crittografiche (solo quelle dei soggetti positivi) e la stessa App verificherà se vi è una corrispondenza con le chiavi già presenti sullo smartphone. Se vi è tale corrispondenza sempre la App (tutte queste operazioni vengono fatte sullo smartphone e non sui server, da cui sistema decentralizzato) calcolerà il livello di rischio, esaminando la durata e la distanza dell’incontro. Nel caso in cui vi è rischio di contagio (sulla base dei parametri impostati nella App: 15 minuti di contatto con potenza segnale di circa 73dB) la App mostrerà un messaggio di avviso (“Il giorno X sei stato vicino a un caso COVID-19 positivo”).

Al 3 agosto (dati del Ministero dell’Innovazione): 62 utenti positivi hanno caricato le ID con l’autorizzazione dei sanitari;
110 notifiche.

Obblighi a seguito dell’avviso

Allo stato l’avviso di esposizione al contagio non impone alcun obbligo giuridico. Del resto il titolare dello smartphone può fare finta di non aver ricevuto nulla, e può in qualsiasi momento cancellare tutte le chiavi ricevute e disinstallare la App. Quelli che sorgono sono obblighi morali, essere stati esposti al rischio di contrarre il virus consiglia di rimanere in auto-isolamento, e rivolgersi alle autorità sanitarie (al proprio medico). Qui è fondamentale che la sanità sia efficiente nel testare il soggetto esposto al rischio, altrimenti il rischio è che le persone rimangano in auto-isolamento senza ricevere nessuno tipo di assistenza, per cui alla lunga potrebbero preferire di ignorare eventuali avvisi. Dall’esperienza dei contact tracer umani si evince chiaramente che se non aiuti le persone non le convinci ad isolarsi.

Diverso è il discorso per i lavoratori dipendenti, che sono soggetti agli obblighi di cui alle norme e al “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, siglato da Governo e parti sociali. Il lavoratore deve, per legge, dichiarare al datore di lavoro se sussistono condizioni di pericolo, quali sintomi di influenza, provenienza da zone a rischio, contatti con persone positivi, ecc… Tra queste condizioni di pericolo si può ovviamente annoverare anche il messaggio di avviso della App.

Interoperabilità delle App

Al momento Immuni non comunica con le App di altri Stati, ma è in corso l’aggiornamento per consentire l'interoperabilità tra App, così permettendo il controllo delle esposizioni al virus anche quando si viaggia in altri paesi, o si viene a contatto con stranieri e turisti che usano App differenti.

Il 16 giugno, infatti, i paesi europei hanno raggiunto un accordo di interoperabilità. L’implementazione, però, consentirà il dialogo solo tra App che usano il framework Apple-Google. La Commissione europea (qui il testo della decisione) istituirà il gateway federativo per il collegamento e lo scambio di dati tra App differenti. In tale veste la Commissione assume il ruolo di responsabile del trattamento (processor) rispetto agli Stati che sono i contitolari. I dati scambiati attraverso il gateway sono dati personali pseudonimizzati:

a) Le chiavi trasmesse dalle applicazioni mobili nazionali di tracciamento dei contatti e di allerta fino a 14 giorni prima della data di caricamento delle chiavi.
b) I dati di log associati alle chiavi in linea con il protocollo di specifiche tecniche utilizzato nel paese di origine delle chiavi.
c) La verifica dell’infezione.
d) I paesi di interesse e il paese di origine delle chiavi.

Dal 31 luglio Google e Apple hanno dato il via all’aggiornamento del framework iniziando a introdurre alcune innovazioni, tra le quali appunto l'interoperabilità tra le App, nonché settaggi più calibrati per il calcolo dell’esposizione al rischio.

Il futuro del contact tracing

Immagina un venditore di bibite allo stadio infetto e asintomatico durante una delle partite più seguite. Teoricamente questa persona potrebbe infettare migliaia di persone nelle due ore dell’evento. I problemi che sorgono sono due. Innanzitutto è difficile archiviare nella App di contact tracing una quantità enorme di ID (teoricamente tutte le persone allo stadio, immaginiamo 100mila persone). Inoltre il sistema di exposure notification (framework GApple) ha un suo limite per come è costruito, cioè esegue solo notifiche ai contatti immediati di una persona infetta (da cui il “Privacy Preserving Contact Tracing Protocol” è diventato poi “Notifica di esposizione”). Con la notifica di esposizione, cioè, i vettori asintomatici (o con scarsi sintomi) ottengono notifiche fuorvianti.

Nell’esempio della figura, Persona 1 ottiene la notifica di essere stato a contatto con una persona risultata positiva al virus, ma in realtà è Persona 1 che ha passato il nuovo coronavirus a Persona 4. Inoltre Persona 2 non riceve alcuna notifica non essendo stata a contatto immediato con Persona 4.

In sintesi il grafo dei contagi non è completo. Per questo motivo si stanno studiando altre soluzioni, con riferimento a soggetti asintomatici e ai cosiddetti super-spreader. Secondo Balakrishnan, ministro di Singapore e coordinatore delle relazioni EU-ASEAN, una soluzione potrebbe essere il token harware sviluppato a Singapore. Ovviamente l’invasività della soluzione dipende sempre da come viene progettata (quali dati fornisce al governo) ma il token hardware paradossalmente è una soluzione più tutelante per la privacy e nel contempo più efficiente per la tutela della salute. Per la privacy il token invia solo i dati che sono previsti dal progetto, mentre una App, come Immuni, determina la necessità di avere attivi il Bluetooth (e il GPS per Android), e quindi tutte le altre App che sono presenti sullo smartphone ottengono dati che inviano alle rispettive aziende. Inoltre un token harware può essere fornito anche a persone che non hanno uno smartphone oppure ne hanno uno che non permette l’uso della App di contact tracing (ad esempio non ha il BLE).

Ma, si ribadisce, è fondamentale che le esigenze di salute pubblica siano sempre costantemente contemperate con le esigenze della tutela dei diritti fondamentali dei cittadini. La pandemia ha messo sotto pressione i governi di tutto il mondo, esponendo le gravi carenze delle strutture sanitarie. Nuove forme di sorveglianza di massa non controllate sono emerse e decreti di emergenza sono stati approvati in molti Stati, arrivando alla sospensione di diritti quali la libertà di movimento, di riunione e di associazione. La disinformazione dilagante e la propaganda sulle soluzioni alla pandemia da parte di alcuni politici costituiscono un grave rischio geopolitico e solo osservando scrupolosamente il quadro legislativo internazionale in materia di diritti umani si può superare questa crisi senza ritrovarci con ben più gravi problemi di democrazia alla fine. Questa è la prima pandemia che stiamo vivendo su larga scala, e i governi sono responsabili della scrittura delle regole per tutte le crisi globali che verranno in futuro.

Hong Kong, arrestato e rilasciato su cauzione il proprietario del giornale Apple Daily: “È solo l’inizio, la battaglia per le nostre libertà sarà lunga”

Valigia Blu

App Immuni, flop o successo?