Emergenza Covid-19 e misure tech: i progetti internazionali, le soluzioni adottate, a che punto siamo in Italia e le domande da porsi
15 min letturaIn questa fase di emergenza per il coronavirus ci mancano molte cose: la vita che facevamo prima, la certezza di quando e come tutto ciò finirà, rassicurazioni sull’arrivo o meno di un vaccino, e la lista potrebbe continuare. Quello che invece non manca sono le proposte di soluzioni tecnologiche per affrontare e gestire la pandemia, specie per la fase in cui il lockdown sarà in parte ridotto, ma resterà il timore che il virus possa riprendere a galoppare.
Le proposte infatti sono tante, diverse, talvolta confuse o vaghe, oppure basate su assunti incerti. Per tutti questi motivi è ancora più importante che qualsiasi misura presa nel contrasto al coronavirus, inclusi i dati e le tecnologie sottostanti, sia all’insegna della trasparenza. Da qui bisogna partire per qualsiasi dibattito pubblico sulla questione.
Le domande da porsi
L’approccio da anti-terrorismo all’emergenza sanitaria
Riportare il cittadino al centro
La corsa alla soluzione tech in Italia
Una, cento, mille app
I progetti internazionali
Le diverse soluzioni adottate dagli Stati
Soluzioni non definitive, ma compatibili con la democrazia
Le domande da porsi
Le misure adottate - incluse eventuali tecnologie di tracciamento delle persone, del loro stato di salute, dei loro movimenti e dei loro contatti nel caso risultino contagiate - devono poter rispondere a una serie di domande: questa misura (app, tool ecc) è necessaria nel contrasto al nuovo coronavirus SARS-CoV-2 e su che basi? Cosa si propone di ottenere e come si lega alla riduzione dell’epidemia? Ammesso che i dati raccolti siano funzionali all’obiettivo, siamo poi in grado di agire sui dati ottenuti (facendo ad esempio eventuali tamponi o test) o no? Si potrebbe ottenere lo stesso risultato di quanto proposto ma in modo diverso, minimizzando di più le limitazioni alle libertà personali, le intrusioni nella vita privata o altri rischi connessi?
E poi: chi gestirà i dati? Quali sono esattamente quelli raccolti, in che modo sono raccolti, attraverso chi (piattaforme) e cosa (tecnologia), e una volta raccolti come verranno conservati, per quanto, da chi, con chi potranno essere condivisi e con quali finalità, e sarà possibile cancellarli?
Ammesso che la risposta a tutte queste domande sia convincente, sono poi previste adeguate misure di sicurezza per garantire che le cose funzionino esattamente come previsto sulla carta, e non ci siano leak, malfunzionamenti o furti conseguenti a incidenti informatici o errate configurazioni? Inoltre, quello che dice di fare tale misura/app/tecnologia ha la possibilità di essere verificato in modo indipendente e autonomo? Il codice è aperto? I criteri di selezione dei progetti e dei vincitori dei progetti sono chiari, dettagliati e pubblici? Il principio alla base di queste misure è la collaborazione volontaria dei cittadini o l’imposizione dall’alto? La vita di questi progetti ha una scadenza, finirà con la fine dell’emergenza?
Leggi anche >> Tutti i nostri articoli sul coronavirus
L’approccio da anti-terrorismo all’emergenza sanitaria
Facciamo un passo indietro. Gli Stati stanno applicando il know-how e soprattutto la forma mentis tradizionalmente usati in settori come l’antiterrorismo e/o il sistema penale contro la pandemia. E non è un caso che fra alcune aziende che si sono fatte avanti, in Italia e all’estero, ci siano specialisti del law enforcement e dell’intelligence, come Cy4gate, del gruppo Elettronica, “tradizionalmente impegnato in tecnologie avanzate ad uso militare e di sicurezza nazionale”, come ha spiegato il suo Ceo, che ha messo gratuitamente a disposizione del governo una propria piattaforma con tecnologie proprietarie per il tracciamento e incrocio dei dati rilevati dai dispositivi mobili per l’identificazione di cluster di contagio.
In Europa si è fatta avanti con alcuni governi l’americana Palantir, che fa analisi di big data, ha stretti legami con CIA, FBI e Dipartimento Usa della Difesa, è stata accusata di muoversi in modo poco trasparente, ed è stata criticata per aver aiutato il programma dell’ICE, l’agenzia americana sull’immigrazione, nel giro di vite contro gli immigrati illegali in America, ricorda Business Insider. In Gran Bretagna l’azienda americana sta già fornendo il suo software di analisi dei dati, Foundry, al servizio sanitario nazionale (NHS) per l’emergenza COVID-19, in Francia ha un contratto con l’antiterrorismo.
Ora Palantir - che negli Usa ha già lavorato col settore medico e con il Center of Disease Control and Prevention (la principale agenzia sanitaria a livello federale), ad esempio per monitorare la diffusione del colera ad Haiti nel 2010, e che da tempo punta a penetrare il mercato europeo - starebbe presentando la sua offerta su COVID-19 a governi di Francia, Germania, Svizzera e Austria, riferisce Bloomberg. Tra le proposte anche un altro suo strumento chiamato Gotham, “noto per aiutare le agenzie di intelligence e le forze di polizia a tracciare individui, come avvenuto con l’ICE”, scrive TechCrunch.
In Israele si parla invece di un software per analizzare dati raccolti dai cellulari e localizzare probabili vettori di coronavirus al fine di testarli, software prodotto assieme a NSO, società nota per vendere spyware, software spia o trojan, ai governi. Il sistema assegnerebbe un punteggio da 1 a 10 in relazione alla probabilità che una persona sia vettore del virus, e tale punteggio verrebbe aggiornato in tempo reale in base agli spostamenti, in aree o locali a rischio, della stessa. È evidente, ed ammesso dallo stesso ministro della Difesa israeliano (sì il ministro della Difesa, non della Salute, ribadiamolo) che si tratta di un sistema imperfetto a dire poco.
NSO è una società che è entrata nel mirino di giornalisti e attivisti da qualche anno, e più recentemente anche dell’FBI, che sta indagando su presunti attacchi informatici a danno di aziende e di residenti su suolo americano, scrive Reuters. Nello stesso tempo Whatsapp ha fatto causa a NSO accusandola di aver abusato del proprio servizio di chat per veicolare i suoi spyware contro alcuni target.
L’Australia, in particolare lo Stato dell’Australia Occidentale, ha invece preso ispirazione da strumenti di controllo applicati normalmente a chi è condannato in stato di detenzione agli arresti domiciliari, come i braccialetti elettronici. Una nuova legge passata nell’emergenza con poca discussione permette di obbligare una persona che debba stare in quarantena a essere monitorata attraverso un dispositivo che deve indossare o installare in casa. Tentativi di rimuoverlo o interferire con le operazioni dell’apparecchio, o il rifiuto di consegnarlo ai funzionari pubblici autorizzati, può portare a un anno di prigione e a una multa di alcune migliaia di euro (The Register). Notare che i funzionari possono, “in ogni momento”, entrare nel luogo dove è stato installato l’apparecchio di monitoraggio elettronico (quindi in casa?) per recuperare lo stesso.
Dei braccialetti per il tracciamento di chi deve stare in quarantena sono distribuiti anche a Hong Kong, e spesso non sembrano funzionare bene, suscitando preoccupazione negli stessi “sorvegliati” che temono di passare dei guai per colpa di errori tecnici.
Riportare il cittadino al centro
Applicare questo genere di armamentario, tecnico e mentale, all’emergenza sanitaria vuol dire portarsi dietro anche un approccio (spesso presente nella gestione dell’ordine pubblico e nell’intelligence) per cui i cittadini sono visti come possibili sospetti, più che come soggetti responsabili, capaci di collaborazione, dotati di diritti e in ultima analisi protagonisti della lotta all’epidemia (per riprendere l’appello dello storico Yuval Noah Harari che chiede in questo frangente di dare potere ai cittadini e non di sorvegliarli).
Soprattutto quell’approccio si trascina dietro una propensione alla segretezza, propria di chi si occupa di sicurezza nazionale, nonché l’idea che si debbano mantenere nascosti dati e procedure perché il nemico potrebbe sfruttare quella conoscenza per difendersi. Ma ovviamente quando si tratta di salute pubblica, il ragionamento non regge (ammesso e non concesso che regga negli altri casi). Il virus non cambierà il suo atteggiamento se queste informazioni saranno diffuse, nota l’Economist. A meno che gli avversari non siano invece quei cittadini che si preoccupano anche delle libertà civili, dei diritti, e di come sarà la società alla fine della pandemia, oltre che della reale efficacia delle misure prese.
La corsa alla soluzione tech in Italia
In questo momento c’è la corsa alla soluzione tech. In Italia il ministero dell’Innovazione in collaborazione con quello della Salute e con l’Istituto Superiore di Sanità sta selezionando le «migliori soluzioni digitali disponibili sul mercato per app di telemedicina e strumenti di analisi dati» allo scopo di «coordinare a livello nazionale l’analisi, l’adozione, lo sviluppo e l’utilizzo di queste soluzioni e tecnologie per il monitoraggio e contrasto alla diffusione di COVID-19».
Due gli ambiti della call, ricorda Corriere: app e soluzioni tecniche di teleassistenza per pazienti domestici; e tecnologie e soluzioni per il tracciamento continuo, l’alerting e il controllo tempestivo del livello di esposizione al rischio delle persone e conseguentemente dell’evoluzione dell’epidemia sul territorio.
Alla call hanno risposto 823 fra aziende, centri di ricerca e università: 504 con proposte su telemedicina e 319 su analisi dei dati sulla diffusione del Coronavirus. La prima selezione per gli strumenti di analisi dati è affidata a un gruppo di esperti, poi «le decisioni verranno assunte nella collegialità del governo, ciascuno per le proprie competenze», riferisce ancora Corriere (la lista degli esperti - ovvero la Task force dati per l'emergenza COVID-19 - è stata poi pubblicata ed è questa).
Una, cento, mille app
L’elenco degli strumenti di analisi dati (tra cui quelli di contact tracing, di tracciamento dei contatti per individuare chi ha incrociato un soggetto positivo al COVID-19) di cui si è parlato inizia a essere lungo. Ne hanno scritto in tanti – la mia stessa newsletter Guerre di Rete, poi Corriere.it qui (e anche qui), Wired, Agenda Digitale e Il Sole 24 Ore – elencando e analizzando alcune delle app sul tavolo (non sono tutte, ne compaiono di nuove ogni giorno, come i funghi), o altre iniziative di telemonitoraggio o controllo attuate da Regioni e Comuni (Wired), o proposte di singoli come questa. Un patchwork di soluzioni in cui è difficile raccapezzarsi.
Il punto è che le proposte trapelate finora sono piuttosto diverse fra loro, alcune non sono così dettagliate tecnicamente, oppure sono parziali nella loro presentazione (cioè partono in un modo ma per arrivare in un altro). C’è chi assicura soluzioni a prova di privacy, con anonimizzazione, crittografia, uso del Bluetooth per individuare i contatti nelle vicinanze e assegnare ai soggetti un ID, memorizzato in server centralizzati. Ma anche chi non vuole solo ricostruire a posteriori i contatti di un contagiato, bensì tenere "continuamente e dinamicamente aggiornati i gruppi di persone che sarebbero messe in pericolo dalla accertata positività di un qualsiasi appartenente al gruppo" (come StopCovid19, riferisce Key4biz). C’è chi immagina soluzioni volontarie, in cui i cittadini sono chiamati a installare una app. E chi le vuole obbligatorie, con tanto di intervento normativo. C’è chi immagina queste app come dei coltellini svizzeri, che fanno un po’ di tutto, incluso fornire i dati "fruibili in tempo reale dalle Forze dell’Ordine sul campo con storico degli spostamenti dell’Utente" (Defcon 1, sì si chiama così l’app).
E poi c’è chi, come Walter Ricciardi, consulente del ministero della Salute, descrive un sistema di data tracing in cui sono unificate banche dati con informazioni sui dati anagrafici, sulle condizioni di salute e sulle attività lavorative che riguardano i singoli cittadini. Per poi utilizzare le celle telefoniche, i geolocalizzatori degli smartphone e i movimenti delle carte di credito per tracciare le persone. Un panopticon digitale il cui obiettivo sarebbe “risalire ai contatti del singolo negli ultimi 14 giorni, e avere informazioni chiare sui luoghi e le persone che ha frequentato” (Corriere Comunicazioni). Il tutto poi dovrebbe essere operativo in 15-20 giorni.
Poi ci sono le proposte a stadi, che all’inizio si presentano in un modo salvo successivamente integrare funzioni aggiuntive e trasformarsi in qualcosa di diverso. Ad esempio, negli ultimi giorni si è parlato di una app promossa dalla regione Lombardia, allertaLOM, che però per ora è più che altro uno strumento per comunicare coi cittadini o inviare loro notifiche, nota Macitynet. Ma, si legge sul Corriere della Sera, questa sarebbe solo la fase uno, durante la quale la Regione si augura di arrivare al milione di download. “In una seconda fase non è esclusa l’attivazione del tracciamento”.
I progetti internazionali
A livello europeo c’è attesa per la discesa in campo, in questi giorni, della Pan-European Privacy Preserving Proximity Tracing (PEPP-PT), iniziativa che vede coinvolti 8 Paesi europei, 130 ricercatori, con l’istituto tedesco Fraunhofer Heinrich Hertz Institute come leader, e che promette di avere un approccio attento alla privacy. Anche qui si sfrutterebbe il segnale Bluetooth dei singoli telefoni, tecnologia che permette di lavorare sulla prossimità degli individui e su chi avvicinano, “in modo da rispettare il Regolamento europeo sulla privacy - scrive Reuters - senza richiedere il tracciamento intrusivo dei dati di localizzazione. [Questo sistema] salverebbe le connessioni fatte tra gli smartphone sull’apparecchio, invece che su server centralizzati, proteggendole con crittografia”.
Secondo TechCrunch, infatti, se a un utente viene diagnosticato il nuovo coronavirus gli verrà chiesto di trasferire la lista dei contatti (sotto forma di ID) a un server centralizzato, e il sistema dovrebbe avvisare gli ID coinvolti di avere avuto un contatto con il virus. “Tuttavia ci possono essere domande sulla robustezza delle protezioni sulla privacy progettate in questo approccio. Se per esempio, dati pseudonimizzati sono centralizzati su un server a cui i dottori possono accedere, ci potrebbe essere il rischio di un leak, o di essere re-identificati. E l’identificazione dei proprietari dei device potrebbe essere legalmente rischiosa”, scrive ancora TechCrunch.
Questo resta comunque un progetto apprezzato anche da alcune no-profit che lavorano sui diritti digitali come la tedesca Algorithm Watch, che cita tale soluzione – insieme a Safe Path, quella dell’americano Massachusetts Institute Tecnology – come esempio di tracciamento dei contatti coniugato con un approccio aperto, decentralizzato e attento alla privacy.
Altra iniziativa simile, per progettazione e attenzione alla privacy, è Covid Watch, realizzata da un team di ricercatori soprattutto americani, guidati dall’università di Stanford e Waterloo. Covid Watch spiega in modo abbastanza semplice come funzionerebbe il meccanismo: la base di partenza è ancora il Bluetooth, un tipo di comunicazione che avviene direttamente fra telefoni che sono nelle vicinanze, e questo permette di creare un sistema decentralizzato e con protezioni della privacy più forti rispetto all’uso del Gps, scrivono i ricercatori. Ora, ogni volta che due telefoni sono vicini il loro evento di contatto viene registrato. Ogni telefono trasmette un numero di evento di contatto generato casualmente e aggiornato costantemente. I telefoni conservano dunque in locale ogni numero che hanno trasmesso e ricevuto. Se un proprietario di telefono è diagnosticato positivo, riceve un codice dalle autorità sanitarie. Il contagiato a quel punto manda quel codice (il cui senso è assicurarsi che l’azione sia legittima ed evitare frodi e manipolazioni coi dati) a un database pubblico insieme alla propria lista dei numeri di eventi di contatto (trasmessi e ricevuti). Se il codice è valido, i suoi numeri di eventi di contatti sono salvati nel database e trasmessi a tutti gli altri telefoni. Ognuno di questi confronta i numeri di contatto pubblicati con la propria lista in locale. Se ci sono degli abbinamenti, significa che sono stati nelle vicinanze di un individuo infetto e ricevono istruzioni su cosa fare.
«Questo mi pare un buon approccio», commenta a Valigia Blu Stefano Zanero, professore di sicurezza informatica al Polimi, «perché si basa sull'idea che il database sia distribuito e quindi rende possibile rivelare i contatti solo di chi viene trovato positivo. Al contrario il GPS, che pure ha il vantaggio di essere continuo e molto preciso – anche se non funziona bene negli edifici o per esempio nel metrò – richiede in modo inevitabile l'incrocio massivo dei dati in modo centralizzato». D’altra parte, continua Zanero, il Bluetooth richiede che tutti abbiano la stessa app, e «secondo me avrà dei problemi implementativi per esempio su dispositivi Apple dove le app non hanno un accesso senza restrizioni al Bluetooth. Inoltre può esporre a falsi negativi, perché la comunicazione effimera su Bluetooth per sua natura non funziona tanto bene, specie in luoghi affollati».
Il terzo approccio, oltre a GPS e Bluetooth, è quello che si basa sul meccanismo delle celle telefoniche, «che ha lo stesso problema del GPS (centralizzazione) più una bassissima precisione ma non richiede l'installazione di alcunché». È anche vero – conclude Zanero - che celle telefoniche e dati del GPS sono già nelle disponibilità di alcuni soggetti (telco, Google). «Ma ovviamente poi bisogna porre attenzione alle modalità di incrocio dei dati».
A livello internazionale, uno studio pubblicato da Science il 31 marzo ritiene possibile che una app mobile che faccia un tracciamento contatti istantaneo per i contagiati (sostitutivo di quello manuale) possa ridurre la trasmissione del virus. Ma nel contesto europeo, dove la velocità della diffusione appare maggiore (rispetto ai dati in Cina), questo scenario richiederebbe un uso pressoché universale della app e una compliance perfetta. Per cui la app potrebbe essere solo uno dei tanti strumenti preventivi quali il distanziamento fisico, misure igieniche e regolare decontaminazione, ammette lo stesso studio.
Tra le raccomandazioni etiche enunciate poi dai suoi autori, ci sono “l’uso di un algoritmo trasparente e soggetto ad audit”, “attento controllo e protezioni effettive sugli utilizzi dei dati”; “assicurarsi che l’intervento coinvolga la minima imposizione possibile e che le decisioni nelle policy e nella pratica siano guidate da tre valori morali: rispetto, equità e l’importanza di ridurre sofferenza”. E ancora prosegue: “È importante notare che l’approccio algoritmico che proponiamo evita il bisogno di una sorveglianza coercitiva, poiché il sistema può avere un ampio impatto e ottenere una sostenuta soppressione dell’epidemia anche con un utilizzo parziale. Le persone dovrebbero avere il diritto democratico di decidere se adottare questa piattaforma” (tra gli autori dello studio c’è anche Luca Ferretti che è parte della nuova task force dati italiana per l’emergenza COVID-19).
Tornando alla Gran Bretagna, il sistema sanitario nazionale (NHS) sta invece lavorando al lancio di una app – sviluppata dal suo braccio digitale, NHSX – per tracciare istantaneamente i contatti delle persone affette da nuovo coronavirus (sempre tramite segnale Bluetooth) e avvisarli di auto-isolarsi. Si parla, come tempistica, di qualche settimana. Ma, scrive il Guardian, servirà l’iscrizione e l’utilizzo da parte del 60% della popolazione adulta per renderla efficace. Un traguardo difficile da raggiungere.
E anche chi è portato come esempio di tracciamento riuscito, ovvero Singapore (che lo avrebbe perfezionato di recente, introducendo qualche settimana fa una app ad hoc, TraceTogether), non riesce comunque a risalire a molti dei contagi, per stessa ammissione del primo ministro Lee, che proprio in questi giorni, parlando di una crescita di nuovi casi nella città Stato e annunciando il lockdown per un mese, così ha dichiarato: «Malgrado il nostro buon contact tracing, per quasi metà di questi casi non sappiamo da dove o da chi le persone abbiano contratto il virus».
Per altro il tracciamento contatti di Singapore non è nemmeno così a prova di privacy, come segnalato in un post di un programmatore del luogo, secondo il quale nella app c’è una libreria che salva i dati, inclusi quelli per individuare gli utenti, in una piattaforma governativa. «Hanno mescolato un’app di contact tracing con il loro sistema di tracciamento che collega il numero del telefono e il codice Imei (che identifica in modo univoco un dispositivo, ndr) all’utente. Quindi anche se il contact tracing è anonimizzato, poi la libreria di tracking che sta nell’app ti deanonimizza all’istante», spiega a Valigia Blu Alberto Pelliccione, Ceo di una società di cybersicurezza, ReaQta, che ha una sede proprio nella città Stato asiatica.
Le diverse soluzioni adottate dagli Stati
Ricapitolando, in questo momento in tutto il mondo diversi Stati stanno adottando strumenti che utilizzano dati personali per gestire l’emergenza COVID-19.
Alcuni di questi sono di analisi statistica, utilizzano soprattutto i dati aggregati e anonimizzati degli operatori telefonici per mappare la concentrazione delle persone nelle varie aree, come avviene in Germania, Belgio, Austria; e come starebbe avvenendo in Lombardia. A questo proposito, anche Google, usando le informazioni raccolte con la Cronologia delle posizioni delle sue mappe, ha fornito dati aggregati sugli spostamenti in Italia, regione per regione. In media emerge un crollo del 94 per cento degli spostamenti in luoghi ricreativi; dell’85 per cento per negozi e supermercati; dell’87 per cento per trasporti pubblici; minore la riduzione, solo del 63 per cento, per i luoghi di lavoro, a dimostrazione che la gente si sta muovendo principalmente per lavorare. Negli Stati Uniti questo tipo di analisi aggregata sugli spostamenti delle persone è stata fatta pure da una startup, Unacast, che ha usato i dati di localizzazione ricavati da una serie di app per lo shopping, il gaming ecc. Insomma dai dati raccolti normalmente da società di marketing.
Alcuni strumenti usati dagli Stati sono invece di autovalutazione e iniziale triage; in pratica sono app che permettono alle persone di avere una prima valutazione e contatto sul proprio stato di salute senza intasare le linee dedicate all’emergenza, e sono state adottate ad esempio in Spagna.
Poi ci sono quelle che intendono far applicare le regole sulla quarantena e il lockdown, come la app Home Quarantine della Polonia che impone di inviare, in seguito a un messaggio, regolari selfie geolocalizzati; e si hanno solo venti minuti per rispondere a una richiesta di foto. Il suo uso è volontario, almeno come è volontaria la risposta a ‘un’offerta che non si può rifiutare’, per citare un celebre film. «Le persone in quarantena possono scegliere», ha infatti detto il portavoce del ministro polacco per il Digitale. «O ricevono visite inaspettate dalla polizia o scaricano questa app».
Infine, e sono le più numerose, ci sono le app e i sistemi di tracciamento dei contatti di cui abbiamo parlato sopra (per un elenco aggiornato sui vari Stati vedi GDPRhub).
Soluzioni non definitive, ma compatibili con la democrazia
In questo quadro, in cui è forte la tentazione di ricorrere a soluzioni e approcci derivati dall’intelligence, dall’antiterrorismo, dalla sorveglianza e dal sistema penale, e in cui la fretta rischia di favorire soluzioni pronte per l’uso, bisogna ricordare – come fa in modo cristallino la già citata Algorithm Watch, in una analisi scritta dal giornalista e ricercatore Fabio Chiusi [qui si può leggere in italiano] – che il COVID-19 non è un problema tecnologico, e che i Paesi spesso citati a modello – Singapore, Corea del Sud ecc – hanno adottato anche altre misure e partivano da un diverso livello di preparazione e intervento. Che quindi non esiste una soluzione ideale e identica per tutti.
Leggi anche >> Proteggere le nostre libertà civili durante una emergenza di salute pubblica
Test, contact tracing e quarantena sono probabilmente i tre ingredienti per il successo nella lotta al coronavirus ma i contesti sono diversi e le soluzioni tecnologiche adottate possono dare risultati differenti. Dunque non c’è bisogno di correre a implementare strumenti di sorveglianza digitale di massa, e la società civile può e deve contribuire al dibattito su quali alternative abbracciare. Infatti le soluzioni di contrasto al virus e di protezione della privacy non si escludono a vicenda, alcuni progetti – prosegue Algorithm Watch – vanno in questa direzione. In ultima analisi, ogni proposta adottata deve essere compatibile con la democrazia.
Foto in anteprima via Dimt