la guida

Immuni, cos’è e come funziona l’app italiana coronavirus

Arriva l’app Immuni per la gestione del contact tracing nell’emergenza coronavirus. Vediamo come funziona, come scaricarla (dal primo giugno), a cosa serve, le tutele privacy e come si è arrivati a questa scelta, insieme a un confronto con i sistemi utilizzati in altri paesi

2 giorni fa
Riccardo Berti

avvocato Centro Studi Processo Telematico

Simone Zanetti

Avvocato in Verona


Immuni, l’app di Bending Spoons per iOS e Android scelta dal Governo italiano per il contact tracing dei soggetti risultati positivi al coronavirus, è disponibile dal primo giugno sugli store, quando è arrivato anche il via libera del Garante Privacy, e dal 15 giugno operativa su tutto il territorio nazionale.

Vediamo quindi  come scaricare l’app – il download è gratis e su base volontaria, disponibile a tutti gli italiani, dopo qualche giorno di sperimentazione in Puglia, Marche, Abruzzo e Liguria – e quali sono le caratteristiche della soluzione, anche con un confronto con i sistemi di tracciamento dei contatti adottati in altri Paesi.

Indice degli argomenti

App Covid-19 Immuni, cos’è, come funziona e dove trovarla

Ecco il link diretto di download di immuni su iOS e Android

L’app Immuni serve, su cellulari iPhone e Android, per sapere se si è stati a contatto con un soggetto poi risultato positivo al coronavirus. L’app ci avvisa in tal senso con una notifica e poi, con la collaborazione dell’utente, permette all’autorità sanitaria di monitorare questo possibile contagio.

La motivazione di fare un’app di questo tipo e la conseguente scelta di Bending Spoons e dell’app Immuni (sviluppata in partnership con Centro Medico Santagostino) poggia su tre considerazioni ufficiali, ovvero:

  • capacità di contribuire tempestivamente all’azione di contrasto del virus;
  • conformità al modello europeo delineato dal Consorzio PEPP-PT (in effetti adottato in parte dall’app); poi l’app ha cambiato modello adottando quello di Apple-Google (vedi sotto), con un modello più decentralizzato.
  • garanzie per il rispetto della privacy.

Gli ultimi due aspetti (considerando che il Consorzio PEPP-PT ha sempre escluso un approccio basato su GPS per i rischi privacy connessi) confermano che Bending Spoons sia stata scelta anche perché ha escluso un’invasiva soluzione basata su GPS, non in linea con le linee guida europee.

Come scaricare l’app Immuni (gratis) e quando

L’app può essere scaricata, su base volontaria e gratis, dal play store Android e dall’Apple store per dispositivi iOS (il download non sarà quindi disponibile, almeno inizialmente, su Windows Phone, su feature phone e su telefoni Android sprovvisti del play store e su iPhone precedenti al 6S del 2015); oppure sul sito ufficiale www.immuni.italia.it.

Dopo tanti rinvii – prima si parlava di maggio – l’app è disponibile dal primo giugno.

Nelle prime 24 ore l’app è stata scaricata da mezzo milione di utenti. Può sembrare un buon risultato in senso assoluto, ma relativamente agli obiettivi (alcune decine di milioni di utenti, per essere efficace) è solo l’inizio.

Su quali smartphone funziona e su quali no (iPhone, Samsung, Huawei…)

L’app richiede la presenza almeno di Android 6 o iOs 13.5. Significa che sono esclusi i modelli come l’iPhone 6 e precedenti  o Android precedenti al 2015. Niente Immuni quindi per esempio su Samsung Galaxy S4, S3 e LG G2, per citare alcuni modelli famosi.

In un primo momento inoltre sono stati esclusi i modelli Huawei, soprattutto quelli usciti dopo il 16 maggio 2019, data del bando americano contro l’azienda cinese (da cui è derivato l’assenza del Play Store Google su quei modelli); e poi è emerso un problema di funzionalità anche su precedenti modelli Huawei che ha reso non disponibile l’app per loro.

Entrambi i problemi sono stati affrontati e risolti dagli sviluppatori.

Il numero verde numero verde gratuito 800-912491 per Immuni

Da fine luglio è attivo il numero verde da chiamare per ricevere assistenza o supporto: 800-912491. Con una diversa scelta iniziale (digitare 1 o 2) si rivolge a cittadini o operatori sanitari. Il servizio è attivo dal lunedì alla domenica e dalle 7:00 alle 22:00. A una nostra prova, la risposta è stata immediata, senza attese.

App immuni, quanti download finora?

Al 3 agosto risultano circa 4,6 milioni di download fatti, dell’app Immuni (da dichiarazioni del ministero dell’Innovazione), pari al 12% della popolazione che avrebbe potuto installarla (dotata degli smartphone adatti).

Non si può sapere quanti l’abbiano ancora attiva e quanti l’abbiano disinstallata dopo il download.

Arcuri ha sottolineato a luglio che i numeri sono inferiori alle attese ma bisogna continuare a spingere, in vista dell’utilità dell’app in autunno.

Immuni flop o efficace? Ecco i numeri su notifiche e focolai bloccati

Al 3 agosto, secondo il ministero dell’innovazione, ci sono stati 62 utenti positivi che avendo Immuni hanno potuto mandare (tramite i sanitari) le notifiche ai cellulari con cui sono stati in contatto (21 a giugno, 38 a luglio e due nei primi due giorni di agosto). Le notifiche sono calcolate solo dal 13 luglio e al 3 agosto ce ne sono state 110.

Due casi positivi avevano già ricevuto la notifica di alert da Immuni essendo stati contatti stretti di altro utente positivo che aveva Immuni. Due focolai bloccati quindi grazie a Immuni

Al 24 luglio aveva detto la ministra dell’innovazione al Senato, erano invece 23 i cittadini che hanno ricevuto un alert di rischio contagio su Immuni e sono 46 gli utenti positivi che, avendo Immuni, hanno dato l’ok per diramare l’alert ad altri utenti con cui sono stati in contatto ravvicinato.

Qui ci sono due scuole di pensiero: da una parte chi – soprattutto fonti istituzionali – che dicono i numeri sono già prova di efficacia, per quanto ancora ridotta e che la validità dell’app si vedrà a pieno titolo quando e se avremo una recrudescenza della pandemia e di conseguenza un possibile picco dei download.

I detrattori (tra cui spicca il nome dell’avvocato Andrea Lisi), dall’altra, invece ritengono che l’app non decollerà mai perché i cittadini sono scettici sulla sua efficacia (soprattutto in rapporto alla gestione sanitaria post notifica) e sulle tutele complessive associate al sistema di tracking.

Target minimo di adozione dell’app

Il target di utilizzo minimo non è chiaro; non ci sono evidenze sufficienti a riguardo. Gli studi (si veda Oxford University) dicono che sarebbe ideale almeno il 60% della popolazione; ma aggiungono che anche quote inferiori possono essere utili per limitare il contagio e salvare vite umane.

Soprattutto ci sarà efficacia se si riuscirà a raggiungere un buon livello concentrato nelle zone più a rischio e a maggiore densità della popolazione (come sostenuto dal professore dell’università di Pavia Stefano De Nicolai, anche membro della task force del ministero su Immuni).

A Chieti il primo caso italiano di efficacia dimostrata anti covid-19

Il 19 luglio una persona di Chieti contagiata dal coronavirus, avendo Immuni, ha reso possibile che arrivasse l’avviso di rischio contagio, via notifica app, a tutte le persone con cui era stato a contatto stretto.

Si tratta del primo caso ufficialmente riconosciuto, in Italia, in cui l’app ha permesso di lanciare un allarme utile a limitare il contagio.

Anche i medici di famiglia consigliano l’app immuni

Da luglio scendono in campo anche i medici di famiglia, come annunciato dalla Federazione dei Medici di Medicina Generale: consiglieranno l’app Immuni ai propri pazienti, anche con manifesti illustrativi nelle sale d’aspetto.

Così la federazione riconosce pubblicamente il valore di Immuni come strumento di contrasto all’epidemia e utile per la salvaguardia dei pazienti degli stessi medici. È la prima volta che i medici ufficialmente consigliano un’app per la salute.

La promozione di Google e Youtube

Dal 6 luglio Google e Youtube hanno cominciato a promuovere il download di Immuni. Spicca addirittura nell’home page di Google Italia. Nei giorni precedenti sono arrivate notifiche che invitavano il download su smartphone Android.

App Immuni, le regioni pilota e il lancio nazionale

L’app è inizialmente stata sperimentata in alcune regioni pilota (oltre che, a quanto sembra, nelle sedi di Maranello e Modena della Ferrari, nell’ambito del progetto Back on Track) ovvero Puglia, Abruzzo, Marche e Liguria, per poi essere – dal 15 giugno- adottata a livello nazionale. Il download è stato possibile per tutti dal primo giugno, ma il tracciamento per i primi giorni ha funzionato solo nelle regioni pilota e solo dal 15 giugno a livello nazionale.

 

Le caratteristiche pratiche dell’app Immuni

Venendo alle caratteristiche dell’app Immuni, questa si fonda, come le soluzioni di Singapore, Apple e Google, sulla tecnologia Bluetooth Low Energy (BLE) e mantiene i dati dell’utente sul proprio dispositivo, assegnandogli un ID temporaneo, che varia spesso e viene scambiato tramite Bluetooth con i dispositivi vicini. Il Governo per ora ha espunto la parte dell’app destinata ad ospitare una sorta di “diario clinico” in cui l’utente avrebbe potuto annotare tempo per tempo dati relativi alle proprie condizioni di salute, come la presenza di sintomi compatibili con il virus.

Come avviene il tracciamento coronavirus e le tutele privacy con l’attuale app Immuni

  • I cellulari conservano in memoria i dati di altri cellulari con cui sono entrati in contatto via bluetooth (in forma di codici anonimi crittografati). Associati a questi codici ci sono dei metadati (durata dell'”incontro” tra i dispositivi, forza del segnale percepito) che entrano in gioco nella valutazione (valutazione che viene fatta direttamente in locale sul singolo device) del “rischio contagio”.
  • Quando uno dei soggetti che ha scaricato l’app risulta positivo al virus, gli operatori sanitari gli forniscono un codice di autorizzazione con il quale questi può scaricare su un server ministeriale il proprio codice anonimo (questo avviene nel modello decentralizzato che sarà la versione definitiva di Immuni. In quello precedente, usato finora nelle beta dell’app, il paziente carica la lista dei codici con cui è stato in contatto nei giorni precedenti).
  • I cellulari con l’app prendono a intervalli regolari dal server i codici dei contagiati (nel modello precedente ricevono direttamente dal server la eventuale notifica di essere un “soggetto a rischio”).
  • Se l’app riconosce tra i codici nella propria memoria un codice di un contagiato, visualizza la notifica all’utente (nel modello precedente, visualizza la notifica su impulso del server, come sopra accennato).

La trasmissione dei dati è cifrata e firmata digitalmente per garantire la massima sicurezza e riservatezza in questa fase di “uscita” del dato dallo smartphone del singolo utente. Questo avviene stando allo standard del progetto PEPP-PT e anche di altri utilizzabili da queste app in Occidente, compreso il DP-3T.

Il Governo ha fatto sapere che il nostro server è un’infrastruttura pubblica italiana, gestita da Sogei, con una piattaforma software gestita dal ministero della Salute.

L’indice di rischio, durata e distanza del contatto

Nel modello decentralizzato il livello di rischio è calcolato dal dispositivo (dal framework Apple-Google, per l’esattezza); nell’altro modello, dal server. In entrambi i casi, a ogni contatto viene associato un indice di rischio calcolato in base a parametri come la distanza (che è sempre approssimativa e dipende statisticamente dalla potenza del segnale rilevato) e dal tempo di contatto.

Ogni Paese stabilisce i parametri da cui derivare se il contatto è stato a rischio oppure no; l’Italia (ministero della Salute) ha stabilito i parametri di rischio, per fare scattare l’avviso, di:

  • oltre 15 minuti di contatto
  • a meno di due metri

La notifica all’utente dell’app Immuni

Se l’indice di rischio supera una soglia predefinita e il contatto è avvenuto con un soggetto poi risultato positivo al virus, l’app mostrerà all’utente un messaggio di allerta “sulla possibile esposizione al contagio”, è la “notifica di esposizione” e compare in questo formato: “Il giorno TOT sei stato vicino a un caso COVID-19 positivo”.

Si dice quindi anche quando è avvenuto il contatto (elemento che, sebbene possa consentire in certa misura al soggetto notificato di “risalire” al contatto, è necessario per permettere al notificato di valutare i profili di rischio e per quanto tempo sarà opportuno prendere precauzioni).

Che contiene il messaggio di notifica? “Il messaggio invita quindi l’utente ad adottare alcune regole di comportamento, nonché a contattare il proprio medico di medicina generale/pediatra di libera scelta, che a sua volta provvederà a contattare il Dipartimento di prevenzione della Azienda sanitaria locale territorialmente competente”.

Il numero verde di Immuni ci conferma che le procedure cambiano da regione a regione e a volte da asl ad asl.

Come si presenta l’interfaccia di Immuni

App Immuni funziona all’estero e con app estere?

Al momento il tracciamento funziona solo tra utenti che hanno la stessa app covid-19, diversa per i diversi Paesi europei. Se siamo stati in contatto con un paziente coronavirus dotato solo di un’app covid-19 di un altro Paese, non saremo avvisati. Ne risulta un “falso negativo” che facilita tra l’altro il contagio di ritorno tra Paesi.

All’estero non funzionano inoltre affatto le notifiche Immuni su iOS. I pazienti contagiati dal covid possono caricare le chiavi solo quando sono nel proprio Paese.

A metà giugno però gli Stati membri dell’UE e la Commissione ue hanno raggiunto un accordo di interoperabilità, che permetterà il sistema all’estero e tra utenti di app di diversi Paesi. I tempi non sono ancora noti. Comunque funzionerà solo tra app che seguono lo stesso modello, Apple-Google.

Sarà la stessa Commissione Europea ad istituire un servizio di gateway, ossia un’interfaccia per la ricezione e la trasmissione delle informazioni inviate dalle app di tracciamento nazionali. Questo servizio, nelle intenzioni della Commissione, permetterà di ridurre al minimo la quantità di dati scambiati.

Gli stati membri hanno inoltre concordato delle specifiche tecniche, basate appunto sul framework Apple-Google. I server che comunicheranno fra loro si interfacceranno sulla base di “codici nazione”, ma non è detto che il sistema, quando sarà a regime, comunicherà da quale paese è arrivata la notifica.

Dati epidemiologici e grafo sociale dei contatti

L’app Immuni può consentire anche un certo livello di analisi epidemiologica su big data aggregati. Al primo accesso chiederà all’utente di inserire la propria provincia, dato che poi potrebbe condividere con gli operatori sanitari una volta rilevatosi positivo. Il dato aggregato delle provincie e del numero di notifiche arrivate sui server potrà servire agli operatori sanitari di costruire mappe dei contagi e predisporre in modo più concertato le misure di testing e trattamento (ad esempio potenziamento delle terapie intensive nei luoghi dove c’è un boom di notifiche).

Il ministero scrive che l’utente potrà inviare al server “alcuni altri dati (oltre al codice temporaneo, ndr.) rilevanti per gli epidemiologi (quali la durata dei tuoi eventuali contatti con un utente contagioso) nel caso in cui un esame rivelasse che hai il COVID-19. In quel caso la scelta se inviare o meno questi dati sarà comunque tua”.

Ancora non è chiaro se il diario della salute (ovvero quella parte dell’app Immuni che non è stata ancora attivata e che dovrebbe raccogliere una sorta di diario clinico del soggetto che ha scaricato l’app) verrà in qualche modo usato per questi scopi in futuro.

Ancora non chiaro se il diario della salute verrà in qualche modo usato per questi scopi in futuro.

I sostenitori del modello centralizzato ne esaltano i vantaggi in termini di informazioni che dal server possono essere disponibili per epidemiologici e servizio sanitario, per ricostruire ad esempio un grafo sociale dei contagi. Ma come si vede anche il modello decentralizzato dichiara di abilitare questa funzione: le relative app – si legge nel documento di Dp-3T – dovrebbero dare la possibilità (volontaria) all’utente di condividere i dati in memoria del cellulare con epidemiologi e gruppi di ricerca, così da ricostruire il grafo delle interazioni tra i contagiati e gli utenti a rischio. L’informazione più importante è scoprire in quale fase dell’infezione è avvenuto il contatto. Ovviamente i dati sarebbero usati in forma anonima e aggregata.

App Immuni obbligatoria? No, in nessun modo

Il ministero della Salute ha escluso che ci possano essere forme di imposizione di fatto dell’app, obbligandone l’uso per poter superare le limitazioni di mobilità della fase 2.

Questo rispondendo a un’alzata di scudi di varie forze politiche alla notizia che la commissione tecnico-scientifica del governo sul coronavirus stava appunto per formalizzare una proposta per rendere l’app quasi obbligatoria, di fatto. 

La leva ipotizzata era renderla condizione necessaria per poter fruire dei vantaggi di mobilità della fase 2 e abbinandola all’autocertificazione coronavirus. Un’ipotesi – con la collaborazione di Domenico Arcuri e della task force di Vittorio Colao – che avrebbe potuto formalizzare nei prossimi giorni, ma poi smentita.

Sono ancora possibili incentivi al download dell’app, per esempio la partecipazione a una lotteria ad hoc.

La soluzione è in linea con le raccomandazioni del gruppo di lavoro che si è occupato di valutare i profili giuridici dell’applicativo di contact tracing, che ha caldamente sconsigliato sia di rendere obbligatoria la sua installazione, sia di attuare forme di incentivo che limitino l’accesso dei cittadini a servizi altrimenti fruibili secondo principi di parità di trattamento o che vincolino l’esercizio di diritti di libertà all’adozione dell’app (tali obblighi, dichiarati o mascherati da incentivi, sarebbero infatti incostituzionali).

Sempre il gruppo di lavoro che ha indagato sui profili giuridici del contact tracing suggeriva però di introdurre forme di “incentivazione dolce” all’installazione dell’app (ad esempio appunto una lotteria), unitamente ad una campagna di sensibilizzazione, caratterizzata da slogan del tipo: “Oggi salvo vite umane, oggi salvo la mia vita, installo Immuni”.

Un’app dal codice open source

Nota positiva dell’approccio italiano, che ci si augura verrà condivisa negli altri stati membri dell’Unione, è poi l’impegno da parte del Ministero per l’innovazione tecnologica e la digitalizzazione a rendere il codice dell’applicazione open source e quindi utilizzabile da altri governi nella lotta contro il virus e studiabile e revisionabile da chiunque vi abbia interesse, impegno che trova conferma nell’ordinanza del 16 aprile per la contrattualizzazione di Bending Spoons, dove si fa esplicito riferimento al fatto che la società, per spirito di solidarietà, si è resa disponibile a concedere licenza d’uso aperta, gratuita e perpetua al Commissario e alla Presidenza del Consiglio dei Ministri.

Ecco il codice di App Immuni su GitHub

Disponibile dal 25 maggio su GitHub il Codice di App Immuni. Il ministero sul proprio sito aveva promesso che il codice sorgente sarebbe stato pubblicato su GitHub e scaricabile dopo i test.

Il codice reso disponibile per primo è quello relativo alla parte “front-end” dell’applicazione, ovvero quella che potrà essere scaricata sui nostri smartphone, mentre qualche giorno dopo è arrivata anche la parte più corposa del codice ovvero quella che gestirà il “back-end” della piattaforma, su server SOGEI.

Licenza Agpl

La licenza scelta alla fine per il codice dell’app è la GNU Affero General Public License o GNU Agpl. Un cambio di rotta, a ulteriore garanzia del carattere pubblico del codice e apprezzato dagli esperti, rispetto alla prima scelta, che era Mpl 2.0 (Mozilla Public License).

L’app Immuni è cambiata adottando un modello decentralizzato – con le Api di Google e Apple

Gli sviluppatori di Immuni, d’accordo con il ministero dell’innovazione, hanno deciso di cambiare in corso d’opera il modello di funzionamento, per aumentare la privacy, la sicurezza dei dati e andare incontro alle richieste di Google-Apple (non soddisfarle avrebbe per altro messo a rischio il buon funzionamento complessivo dell’app). Si seguono le idee del progetto Decentralised Privacy-Preserving Proximity Tracing (DP-3T) che si è separato da Pepp-Pt perseguendo un modello più decentralizzato.

La differenza principale rispetto alla precedente Immuni e a Pepp-Pt è che la crittografia-generazione delle chiavi avviene direttamente sui dispositivi utente (invece che su server).

Così, ogni volta che due cellulari si “incontrano” (ovvero rimangono ad una certa distanza per un certo tempo, due parametri che dovranno definire le autorità sanitarie), si scambiano il proprio identificativo anonimo generato localmente con crittografia. Quindi il cellulare dotato di app porta con sé soltanto una lista di numeri (privi di qualsiasi elemento identificativo della persona).

Il server si limita a diramare la lista dei codici anonimi dei contagiati. Non c’è quindi più un server che contenga sia i codici dei cellulari sia le chiavi crittografiche. Viene così meno una possibilità di re-identificare i soggetti. Solo chi riceve la notifica sa di esserlo stato, di conseguenza.

Si noti che l’app seconda arrivata in Italia, Coronavirus Outbreak Control, segue al contrario un modello ancora più centralizzato su server (che in questo caso conterrebbe i dati dei contatti, dei contagiati, le chiavi), per consentire un più ampio e profondo tracciamento dei contagiati asintomatici con un grafo sociale.

Apple e Google, lavori in corso sul bluetooth e l’aggiornamento dei sistemi

Come detto, non è solo una questione di privacy. Aderire al framework Apple-Google può ridurre anche il rischio di limiti nella funzionalità.

Il problema principale: i sistemi operativi mobili limitano le applicazioni in background, possono terminare forzatamente il processo e (soprattutto su iOS) impediscono che un’app abbia il completo controllo del modulo bluetooth. Di conseguenza non avverrebbe il tracciamento, a meno che l’app non sia sempre in primo piano (come hanno fatto a Singapore).

Il problema è aggravato quando a voler comunicare sono due cellulari di sistemi diversi (difetto di interoperabilità). Gli sviluppatori, nella prima versione dell’app (pre Apple-Google) avevano implementato un workaround per aggirare il problema (come gli sviluppatori di altre app simili).

Le API che sono state rilasciate da Google e Apple permettono però per la prima volta di risolvere a monte il problema. Le API sono interfacce di programmazione app che, in questo caso, consentono finalmente l’accesso alle funzioni bluetooth degli smartphone Android e iPhone.

Lo scopo è risolvere le citate criticità nel funzionamento delle app in background e l’attuale alto rischio di falsi negativi dovuti al fatto che mai prima d’ora il bluetooth era stato usato per un tracking (ma solo per una comunicazione fra due device).

Per lo stesso motivo, Apple, Google e gli sviluppatori di app ora lavorano per ridurre il rischio di falsi positivi. Sfruttando le api di Apple e Google, gli sviluppatori possono infatti calibrare meglio l’algoritmo di rilevazione della distanza intervenendo sulla potenza del segnale bluetooth e sui tempi di esposizione. Senza api non possono modificare questi parametri.

Le app che non seguono il modello decentralizzato – come ad oggi quelle di Francia, Regno Unito e Australia – ma ancora il centralizzato non avendo accesso alle API non potrebbero fruire dei relativi vantaggi.

Questo sta creando dei seri grattacapi sia al NHS britannico, che dice di aver trovato una soluzione che funziona “abbastanza bene” per aggirare i limiti dei software dei nostri smartphone e rendere efficiente il modello centralizzato, sia al governo australiano che ha rilasciato l’app COVIDsafe ma questa spesso smette di inviare segnali bluetooth non appena va in background.

Al momento l’approccio di Immuni, condiviso da altre app europee (ad esempio quelle rilasciate in Svizzera e Lettonia) e che fa leva sul framework di Apple e Google, risulta sia il più garantista dal punto di vista privacy, sia il più funzionale in quanto consente di “aggirare” i limiti previsti dai due colossi per le applicazioni installabili sui dispositivi iOS e Android. Bending Spoons ha potuto lavorare sul codice di Apple e Google dal 29 aprile scorso, quando entrambe le case hanno fornito effettivo accesso alle api e pubblicando le relative librerie a cui le app possono agganciarsi. 

Niente gps e altre regole per le app (come Immuni) su framework Google-Apple

Il codice del software rilasciato dai due big conferma alcuni principi. Sono vietati altri usi dei dati memorizzati nei cellulari. Vietata quindi la pubblicati. Le app non possono chiedere accesso al gps. La geolocalizzazione deve essere abilitata dall’utente di Immuni ma è usato solo per localizzare il segnale bluetooth; il dato di posizione non è memorizzato, il gps non è usato.

Inoltre l’accesso alle api sarà permesso a una sola app per Paese.

Fase 2 del lavoro Apple-Google

I due big prevedono poi anche una fase successiva in cui integrare le funzioni di tracciamento – ma loro le chiamano “exposure notification” direttamente nel sistema. Così funzionerebbe senz’app. Ma sarà certo sempre volontaria.

Per questo fine, bisognerà aspettare Apple rilasci un aggiornamento di sistema al pubblico e Google lo renda disponibile ai produttori di smartphone Android, che a loro volta devono implementarlo e distribuirlo. Ci vorrà tempo, soprattutto su Android (meno forse su quelli che hanno Android stock e quelli prodotti da Google).

Alcuni smartphone in uso non ricevono più aggiornamenti, inoltre. Infine, bisognerà che gli utenti installino gli aggiornamenti (non tutti lo fanno).

Bisognerà vedere se l’installazione dell’aggiornamento sarà più popolare rispetto al download dell’app e quindi favorire l’uso.

La privacy dell’app Immuni: una soluzione in linea con le linee guida Ue

La Commissione europea, nelle proprie linee guida sul contact tracing dell’8 aprile, oltre a precisare che la scelta tecnologica dell’Unione è quella di utilizzare soluzioni basate su Bluetooth, ha scandagliato la situazione nei vari stati membri (e membri EFTA) evidenziando che solo Cipro e Norvegia stanno vagliando soluzioni blended che sfruttano sia Bluetooth che GPS.

Essenziale, in questa fase, è appunto il coordinamento con le autorità europee, per arrivare ad una soluzione il più possibile omogenea che consentirà, quando sarà il momento, un più rapido ripristino dei movimenti di persone infra-comunitari.

L’Italia dal canto suo ha seguito le indicazioni diffuse il 9 aprile scorso dall’ECDPC (European Centre for Disease Prevention and Control) in un report tecnico dettagliato, di cui parleremo di seguito, che contiene anche una proposta di algoritmo per gestire le segnalazioni di soggetti positivi o potenziali positivi e che lo sviluppo confluisca in un progetto comune europeo.

Già nell’ordinanza firmata dal Commissario Straordinario Arcuri il 16 di aprile era contenuto il riferimento al fatto che Bending Spoons (lo sviluppatore dell’app Immuni) è stato scelto anche perché fa parte del menzionato progetto PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), il che lasciava intendere che fin da subito il governo italiano aveva preferito un approccio in linea con le istituzioni europee, anche se non va dimenticato che il progetto PEPP-PT non è un progetto istituzionale ma nasce dal raggruppamento di vari soggetti privati, sebbene la Commissione lo abbia esplicitamente menzionato tra le iniziative europee di interesse nelle proprie linee guida.

Come anticipato la scelta di un modello più decentralizzato (sul modello DP-3T) va ancora più incontro alle richieste della Commissione europea, che aveva indicato l’opportunità di seguire modelli che minimizzino l’utilizzo dei dati.

Bending Spoon non sarà titolare del trattamento dati, né potrà archiviarli o utilizzarli. Le informazioni circoleranno unicamente in Italia, e ogni procedura sarà gestita e supervisionata da soggetti pubblici.

Clicca qui per analizzare i tuoi cookies e rendere compliant il tuo sito

E il Gps? Come si è arrivati a preferire Blending Spoon

All’inizio si parlava anche in Italia di soluzioni blended che uniscono ai dati BLE un tracciamento basato sulla geolocalizzazione.

Bending Spoons, lo sviluppatore della app “Immuni” scelta con ordinanza del 16 aprile dal Commissario Straordinario Arcuri, aveva inizialmente adottato proprio questo approccio “misto” salvo poi eliminare l’opzione per il GPS nel progetto presentato al Ministero, visto il clima sfavorevole verso queste soluzioni (scelta che poi si è rivelata vincente). In effetti, secondo alcune fonti di stampa, uno degli applicativi con cui l’app Immuni è stata fino all’ultimo in ballottaggio è Coronavirus Outbreak Control, una soluzione non troppo dissimile, basata su BLE ma che prevedeva (con scelta su base volontaria dell’utente) la possibilità di azionare un “secondo livello” di tracciamento basato su GPS (con un raggio molto ampio, 100 metri, per ostacolare la re-identificazione).

La notizia dell’utilizzo del GPS da parte di molte delle applicazioni proposte al Ministero aveva destato preoccupazioni perché rischiava di allontanare la soluzione italiana da quelle condivise a livello europeo, anche se c’è da dire che una soluzione che sfrutti sia Bluetooth che GPS sarebbe molto più efficace nella valutazione “qualitativa” dei contatti tracciati.

Con il Bluetooth è possibile tracciare un contatto a prescindere da dove questo sia avvenuto. Per gli applicativi basati unicamente su tale dato, quindi, un passante incrociato per strada ed un collega di lavoro con cui si condivide l’ufficio non fanno differenza.

Con la tecnologia GPS, che traccia non solo il contatto ma anche dove questo è avvenuto, è possibile qualificare il contatto e capire se si tratta di un contatto momentaneo, se il contatto è avvenuto in un luogo in cui la distanza di sicurezza e i presidi individuali sono rispettati o meno, se il contatto è stato o meno prolungato, etc.

Per lo stesso motivo (ovvero per la disponibilità di una maggior quantità di dati) è possibile anche che la persona contattata perché è stata esposta ad un soggetto positivo, sia in grado di riferire come e quando è stata a contatto con il soggetto infetto, permettendo così di escludere contatti “solo formali” e di concentrare le misure preventive su contatti con effettivo rischio di trasmissione del contagio.

In tal modo sarebbe, dunque, possibile meglio individuare e rintracciare la presenza di eventuali focolai con dati che sarebbero obiettivamente e qualitativamente più interessanti rispetto a quelli basati unicamente su tecnologie Bluetooth. Il beneficio però è ora orientativamente considerato inferiore ai rischi.

Questo genere di soluzioni ha come contraltare un approccio certamente più invasivo nei confronti del diritto alla riservatezza degli utenti, in quanto in grado di individuare tutti gli spostamenti effettuati da quest’ultimi, comportando così una presumibile violazione del principio di minimizzazione previsto dal GDPR.

Oltretutto, nel caso in cui la base giuridica venga individuata (come suggerito da più parti) nell’esigenza di tutelare la salute pubblica, l’utilizzo massiccio di dati riguardanti la geolocalizzazione dei fruitori dell’app potrebbe comportare altresì la violazione dei principi di proporzionalità e necessità previsti dalla Convenzione Europea sui diritti dell’uomo (art. 8 CEDU), nella Carta dei diritti fondamentali dell’UE (artt. 7 e 8 Carta di Nizza).

Nello scegliere quale soluzione tecnologica adottare per il contact tracing il Governo si è quindi trovato di fronte ad una scelta non solo tecnologica ma anche politica. Se la decisione fra BLE solo o accompagnato da dati GPS era una scelta meramente tecnica che ha pro e contro, si sarebbe trattato di una decisione di ben poco impatto se l’Italia fosse stata da sola ad adottarla.

L’ordinanza del 16 aprile e i successivi chiarimenti del Ministero hanno poi confermato che la possibilità di utilizzare il GPS è infine stata esclusa dal Governo. E lo stesso framework Apple e Google impedisce alle relative app nazionali di usare il gps. Che come detto deve essere attivato dall’utente dell’app Immuni ma serve solo per localizzare il segnale bluetooth; il dato di posizione non è memorizzato mai.

Chi è Bending Spoon, gli sviluppatori dell’app Immuni

Tutto questo considerato, al ministero dell’Innovazione – e di conseguenza ad Arcuri – la scelta dell’app di Immuni è sembrata quella preferibile. Perché rispettava le linee guida europee in fatto di privacy; ma anche per le caratteristiche dei soggetti che c’erano dietro.

Bending Spoons S.p.A. è un’azienda fondata nel 2013 a Copenaghen, attualmente con sede a Milano. È tra i più importanti sviluppatori di app in Europa, con oltre 200 milioni di download complessivi e 270 mila nuovi utenti al giorno.

I cinque fondatori di Bending Spoons, la cui età media si aggira intorno ai 35 anni, sono:

  • Luca Ferrari, (1985), laureato in Ingegneria elettronica e Ingegneria delle telecomunicazioni. Ricopre il ruolo di CEO della società;
  • Francesco Patarnello, (1985), laureato in Ingegneria Elettrica ed Elettronica e in Ingegneria delle Telecomunicazioni;
  • Matteo Danieli, (1984), laureato in Ingegneria delle Telecomunicazioni;
  • Luca Querella, laurea in Informatica e in Ingegneria Informatica;
  • Tomasz Greber, (1984), polacco, digital designer con oltre 15 anni di esperienza, che pur conservando quote della società non lavora più nell’azienda

Attualmente Bending Spoons si avvale di un team composto da oltre 150 persone di provenienza internazionale. Tra realtà da cui provengono i membri della squadra ci sono aziende come Google e Facebook, società di consulenza come McKinsey e BCG, ma anche istituti di ricerca come il CERN di Ginevra.

Anno: Ricavi | EBITDA (tutto in USD e non contabile ma management account)

2017: $12.6M | $3.2M

2018: $58.4M | $15.4M

2019: $90.6M | $28.7M

Il controllo e la gestione della società sono completamente nelle mani dei quattro fondatori italiani, che siedono nel consiglio di amministrazione insieme al direttore finanziario Davide Scarpazza.

Attualmente l’azionariato è composto come segue:

  • 80% detenuto dai 5 fondatori;
  • 15% in stock options detenuto dai dipendenti e collaboratori della società;
  • 5% diviso tra 3 piccoli azionisti, che non hanno influenza nella gestione societaria e non siedono nel CdA:
    • Circa 2%, Tamburi Investment Partners, attraverso il veicolo StarTip;
    • Circa 2%, NUO Capital, fondo del Lussemburgo gestito da italiani che opera con capitali principalmente cinesi;
    • Circa 1%, H14, holding dei fratelli Luigi, Eleonora e Barbara Berlusconi.

I diritti di voto sono al 90% in mano ai fondatori, e i 4 fondatori italiani eleggono nella sua interezza il CdA della società.

Jakala e GeoUniq

“Né GeoUniq né Jakala hanno progettato o sviluppato l’app Immuni. Nessuna di queste società ha legami con Bending Spoons e non è coinvolta nello sviluppo, non ha e non avrà accesso a dati di nessun tipo”, si legge sul sito del ministero. Le due società sarebbero state coinvolte nel progetto in una fase iniziale soltanto.

Del resto, il coinvolgimento di GeoUniq (società che, come si intuisce dal nome, specializzata in tecnologie di localizzazione) era destinato a perdere significato nel momento stesso in cui la scelta del governo ha escluso l’impiego della tecnologia GPS in favore del solo tracciamento Bluetooth. La loro presenza nella compagine che ha sviluppato l’app aveva destato preoccupazioni per il fatto che si tratta di società partecipate da investitori di private equity e venture capital.

Clicca qui per analizzare la tua app e renderla compliant

La necessità di una soluzione condivisa in Europa

Per quanto fosse auspicabile che l’Unione Europea sviluppasse una soluzione condivisa per il contrasto tecnologico del virus (soluzione che, in prospettiva, avrebbe aiutato ad attuare una più rapida ripresa dei movimenti di persone intra-comunitari) e per quanto una simile condivisione di intenti e strumenti sia stata fatta propria dal Garante Europeo della Protezione dei Dati e dalla Commissione Europea con raccomandazione del 08 aprile 2020, la “corsa” alla tecnologia per combattere il virus è in ogni caso da accogliere con favore, nella speranza che i singoli paesi dell’U.E. abbiano la lungimiranza necessaria per garantire l’interoperabilità delle soluzioni o almeno l’umiltà necessaria per adeguarsi al progetto più promettente sorto nell’ambito dell’Unione.

Al momento (vedi sopra) stanno lavorando per integrare una soluzione tecnica che consentirà una parziale interoperabilità, sotto il framework Apple-Google.

Come ha ricordato il Garante Privacy Europeo Wojciech Wiewiorowski, una applicazione europea con una forte sicurezza e che garantisca il rispetto della privacy degli individui è l’unica soluzione percorribile, perché “da grandi database derivano grandi responsabilità” e pensare di affrontarle da soli sarebbe una grave miopia da parte dei governi dell’Unione.

I vantaggi di una soluzione condivisa europea sarebbero almeno due. La possibilità di continuare a tracciare le persone anche oltre-confine, senza cambiare app (interoperabilità delle soluzioni). La possibilità di condividere dati di funzionamento degli algoritmi e approcci per affinarne l’efficienza.

Il 16 giugno la Commissione Europea ha annunciato che gli Stati Membri hanno raggiunto un’intesa per garantire l’interoperabilità fra le varie app di tracciamento, che dovrebbe essere implementata anche in vista della progressiva riapertura delle frontiere.

Le mosse che il Governo deve fare su app di contact tracing

Molti aspetti restano da stabilire e può farlo solo il Governo.

Incentivare l’adozione dell’app

Uno studio molto citato, nel mondo, Oxford University sembrava affermare che è necessario almeno un’adozione del 60% della popolazione perché l’app sia efficace. Di recente i ricercatori dello studio hanno chiarito che c’è stato un equivoco. Il 60% (il 56% in verità) serve per un’efficacia ottimale, con cui l’app basterebbe a controllare l’epidemia senza necessità di altri interventi governativi.

I ricercatori hanno chiarito che c’è un vantaggio però a qualsiasi livello di adozione, anche del 10% (in Italia 6 milioni di persone; nella prima decade di giugno siamo vicini a 2 milioni, a una settimana circa dal debutto). 

Anche se secondo certi esperti del sistema sanitario nazionale inglese comunque il 40% o persino cifre inferiori darebbe vantaggi nel ridurre le vittime. La summa della letteratura scientifica ora disponibili sulle app porta a dire che non ci sono certezze, nemmeno sull’utilità in sé dell’app (non ci sono evidenze sufficienti); eppure bisogna provarci, data la posta in gioco.

E in ogni caso bisogna incentivare l’uso dell’app perché una percentuale superiore fa la differenza in termini di prevenzione; e promuoverla con campagne mirate, trattandosi di uno strumento del tutto volontario e visto il fatto che in Italia non tutte le fasce di popolazione hanno adeguata dimestichezza con gli smartphone.

Testing, treating, tracing

Altro problema di cui tener conto è quello delle misure complementari a supporto dell’iniziativa di contact tracing.

Come dimostrato dai successi riscontrati dalla soluzione adottata della Corea del Sud e anche quanto si sta preparando nel Regno Unito, la soluzione tecnologica non può prescindere dagli ulteriori due elementi di cui è composto l’ormai noto assioma delle “tre T”, composto da Testing, Tracing, Treating.

Il che significa che la tecnologia deve trovare il proprio complemento in un sistema in grado di effettuare controlli, tramite tamponi, per individuare i positivi, nonché di isolare i casi meno gravi, per i quali l’assistenza sanitaria potrà avvenire anche a distanza. Il testing quindi dovrà essere potenziato e coordinato con il tracing, assicurando ad esempio un rapido tampone a chi ha ricevuto la notifica. Non ci si può aspettare che la gente dopo la notifica si auto-isoli nell’attesa un tampone se questo potrebbe arrivare in un tempo indefinito o solo dopo svariati giorni.

Anche il fatto che l’utente debba comunicare di aver ricevuto la notifica al medico curante non è ottimale: denota che non c’è una integrazione tra Immuni e il sistema sanitario; sarebbe stato meglio permettere all’utente di mandare via app, volontariamente, la segnalazione alle autorità sanitarie (sarebbe stato uguale, a livello di privacy e volontarietà rispetto all’attuale possibilità di telefonare; ma molto più efficiente).

Il treating anche andrà non solo potenziato – come già sta avvenendo in Italia – ma coordinato con l’attività dell’app e il tracing in generale. Un altro esempio di non integrazione tra Immuni e sistema sanitario, come dichiarato del resto a giugno dalla Conferenza delle Regioni.

Lo stesso tracing non può essere limitato all’app: l’esperienza coreana (ma anche quanto viene predisposto in altri Paesi occidentali come Regno Unito, Stati Uniti) insegna che il tracing via app fa parte di un sistema più ampio, fatto anche di controlli manuali e di gestione dei big data epidemiologici (un modello applicato per ora solo in Veneto).

Nulla di questo è stato deciso con chiarezza. Dubbio anche il valore per studi epidemiologici senza integrazione con il sistema sanitario e senza diario della salute.

Come intende il Governo gestire il post-tracking (per ora non si può fare un clic dall’app per ordinare il tampone; non è previsto un contact center a chi riceve notifica)? Come incentiverà il download massivo (posto che rinuncia all’obbligatorietà in qualsiasi forma, anche solo di fatto)?

Rimandiamo all’articolo sotto per approfondire.

App coronavirus, 10 domande urgenti al Governo italiano

App Immuni: i chiarimenti del Ministero

Con nota del 21 aprile 2020 il Ministro per l’innovazione tecnologica e la digitalizzazione Paola Pisano ha fornito i primi chiarimenti riguardo all’app “Immuni”.

L’app è stata inoltre “vittima” di una serie di analisi più o meno fondate su dati reali (è difficile infatti dare giudizi attendibili su un software senza che questo sia stato nemmeno rilasciato).

Questa inondazione di notizie ha rischiato e tuttora rischia di minare la fiducia degli italiani in questa soluzione tecnologica che, essendo destinata all’adozione volontaria, necessita di un’immagine invece chiara e positiva per raggiungere il break-even point.

Il Ministero, nella sua nota, rimarca quindi che l’applicazione prescelta (tra 319 proposte) è orientata alla privacy e open source.

Con riguardo alla privacy queste le precisazioni del Ministero:

– L’applicazione non accede alla rubrica dei contatti, non chiede di conoscere il numero telefonico dell’utente e non invia SMS per la notifica dei soggetti a rischio (operazione che sarà gestita all’interno dell’app).

– L’applicazione non conserva i dati relativi alla geolocalizzazione degli utenti, ma registra esclusivamente i contatti pseudonimizzati (tramite ID) di prossimità, rilevati mediante la tecnologia Bluetooth LE.

–  L’applicazione è gestita interamente da soggetti pubblici (questo uno dei paletti del sottogruppo “Profili giuridici della gestione dei dati connessa all’emergenza” in seno al Gruppo di lavoro ministeriale).

Secondo il ministero, il Codice sorgente doveva essere rilasciato con licenza Open Source MPL 2.0. La sigla “MPL”, che sta per Mozilla Public License, individua la licenza pubblica sviluppata dalla Mozilla Foundation e qui viene proposta nella sua ultima evoluzione, la 2.0. Si tratta di una licenza di tipo copyleft (“permesso dell’autore”) che consente la libera diffusione e sviluppo dell’opera e di suoi derivati a patto che il codice originario sia attribuito all’autore e che il nuovo software (c.d. “Opera Maggiore”) sia anch’esso rilasciato sotto licenza MPL.

Come scritto, però, la licenza scelta è stata Agpl in seguito.

Il sistema, inoltre, sarà sviluppato tenendo conto dei sistemi di contact tracing internazionali. Sul punto il Ministero menziona, oltre a PEPP-PT, di cui fa parte Bending Spoons, anche DP-3T, sigla che sta per “Decentralized Privacy-Preserving Proximity Tracing“, ovvero la soluzione di tracciamento proposta da un team di vari ricercatori, con base in Svizzera, e che è una delle soluzioni che rientrano tra quelle coinvolte nel progetto PEPP-PT (che è un “contenitore” di vari progetti ispirati da principi comuni come il rispetto della privacy e l’interoperabilità a livello europeo), e ROBERT, sigla che sta per “ROBust and privacy-presERving proximity Tracing protocol” e che è stata promossa dall’Istituto francese per la ricerca nell’informatica e nell’automazione e dal Fraunhofer AISEC.

Il Ministero ricorda poi che il sistema terrà conto anche dell’evoluzione dei modelli annunciati da Apple e Google.

Il Ministero precisa infine che la società Bending Spoons si è impegnata, sempre gratuitamente e pro bono, a completare gli sviluppi software necessari per la messa in esercizio del sistema di contact tracing (circostanza in grado di spiegare, pare, l'”appalto di servizi” cui fa cenno l’Ordinanza del Commissario Arcuri del 16 aprile scorso, che alcuni commentatori avevano inteso quale abdicazione della gestione del servizio al contraente privato).

Non resta che augurarsi che questi chiarimenti plachino il fiume di notizie (e di critiche) riguardo all’app Immuni, senza decretarne la fine prima ancora del suo rilascio e lasciando le (eventuali) censure, a quel momento e a ragion veduta.

I dubbi del COPASIR

Con relazione approvata il 13 maggio scorso e presentata in parlamento il 14 maggio il Comitato Parlamentare per la Sicurezza della Repubblica ha detto la sua riguardo all’app Immuni, esprimendo le sue perplessità.

La prima critica del COPASIR riguarda i contorni incerti del funzionamento del’applicativo, specie con riguardo ai criteri per identificare quei “contatti qualificati” che faranno scattare la notifica in caso di contatto (appunto “qualificato”) con un soggetto risultato poi positivo.

La soluzione di contact tracing dovrebbe poi, secondo il COPASIR, essere definita formalmente come una modalità integrativa del contact tracing tradizionale, per evitare che la strategia nazionale per il tracciamento dei contagi si concentri su questo strumento tecnologico, che invece deve necessariamente rimanere accessorio rispetto ad altre metodiche (anche “analogiche”).

Il COPASIR poi evidenzia i lati positivi di una scelta di un modello decentralizzato basato sulle API di Apple e Google, che garantisce maggiormente la privacy ma al contempo rende necessaria una imponente mole di connessioni, che deve essere regolata attraverso un Content Delivery Network (CDN), che impone di appoggiare il sistema su un fornitore estero (non essendo ad oggi disponibile presso aziende italiane).

Questa necessità, sembrerebbe poi in contrasto con l’articolo 6 co. 5 del D.L. 28/2020, in cui si esplicita che la piattaforma, di titolarità pubblica, è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla SOGEI.

Il Comitato poi prende in esame il caso di un eventuale errore umano nell’inserimento dei dati, errore che, per la struttura attuale dell’applicativo e viste le informazioni finora in nostro possesso, non è chiaro come possa essere portata a termine.

Legittima è poi la preoccupazione dei COPASIR circa la manutenzione nel tempo dell’applicazione, non è infatti chiaro chi dovrà occuparsi di rilasciare gli aggiornamenti all’app Immuni.

Fortunatamente l’orizzonte temporale estremamente breve (ci si augura) in cui l’applicazione dovrà essere utilizzata rende il problema secondario (in ogni caso Bending Spoons si è resa disponibile, nel contratto stipulato con il Commissario Straordinario, a curare la “manutenzione correttiva” dell’applicativo).

Altra interessante riflessione del COPASIR è quella che riguarda la volontarietà dell’applicazione, il fatto che questa sia volontaria non vuol dire infatti che altri soggetti (specie privati) possano cercare di conoscere (o pretendere di conoscere) se l’app restituisce notifiche di contatti con soggetti qualificati, non garantendo l’accesso o servizi a soggetti che hanno avuto contatti (certificati dall’applicativo) o che più semplicemente non hanno l’app.

Il Comitato infine, precisa una (sacrosanta) indicazione circa il fatto che il contact tracing tecnologico debba avvenire uniformemente a livello nazionale, senza alcuna possibilità di differenziazione a livello regionale o locale.

Circa la composizione della compagine sociale dello sviluppatore di Immuni, Bending Spoons, il COPASIR evidenzia come questa sia partecipata in massima parte da soggetti italiani, fatta salva per una frazione del capitale sociale in mano ad un fondo internazionale che fa capo ad una società di Hong Kong e a un uomo d’affari cinese. Con riguardo a ciò, il COPASIR ricorda che “la legge cinese sulla sicurezza nazionale, obbliga, in via generale, cittadini e organizzazioni a fornire supporto e assistenza alle autorità militari di pubblica sicurezza e alle agenzie di intelligence.”

Nonostante abbia evidenziato questi elementi, il COPASIR non ha comunque espresso parere negativo all’iniziativa, lasciando al Governo ogni valutazione sul punto ma evidenziando i rischi, in particolare in tema di sicurezza informatica (inclusi possibili attacchi hacker), sicurezza geopolitica, privacy e di dipendenza da un unico operatore (Bending Spoons).

Le soluzioni in Cina, Corea e Singapore

Per contestualizzare la soluzione italiana, è utile ricordare la “via orientale” al contact tracing, spesso vista come intrusiva e a volte coartata e quindi da scartare a priori.

In realtà molte delle idee che oggi si sperimentano in Europa discendono dalle sperimentazioni fatte in Asia, che hanno provato in molti casi la loro efficacia nel contrasto al virus, anche se a volte “dopate” da una mole di dati personali carpiti ai cittadini senza alcun bilanciamento fra diritto alla salute pubblica e diritto alla riservatezza.

Tra le toolbox più virtuose va senz’altro annoverata quella sviluppata a Singapore, dove una buona fetta della popolazione ha scaricato la app TraceTogether, sviluppata con dovizia da un’agenzia governativa, sfruttando la tecnologia Bluetooth Low Energy (BLE).

Il sistema cifra i dati dell’utente su server governativi e gli assegna un ID temporaneo, che varia spesso e viene trasmesso da un dispositivo all’altro quando questi si trovano a “portata” del segnale Bluetooth.

Il sistema ha però delle problematiche di implementazione, la prima delle quali è il fatto che ha necessità di una percentuale di adozione (ricordiamo, su base volontaria), sul totale della popolazione, molto elevata per poter funzionare e la seconda discende dalla natura stessa della tecnologia Bluetooth che, a seconda del modello di smartphone posseduto, può captare soggetti a distanza diversa (teoricamente fino a 100 metri) con i quali non necessariamente si è entrati in contatto con modalità tali da poter comportare un contagio.

La app è poi del tutto inutile se il governo non connette i dati raccolti ad azioni positive (es. contattare e sottoporre a tampone tutti i soggetti che hanno avuto contatti nelle due settimane), azioni che non possono essere particolarmente penalizzanti (altrimenti si otterrebbe, presumibilmente, un drastico calo delle adozioni)

Il codice sorgente dell’app sviluppata a Singapore è open source ed è stato pubblicato sul web con il nome di progetto OpenTrace (che comprende il protocollo BlueTrace per garantire la privacy dei cittadini) e potrà fare da base per applicazioni sviluppate in altri paesi.

La Cina, dal canto suo, ha invece sfruttato applicativi già presenti sugli smartphone dei propri cittadini (WeChat e Alipay) oltre a sperimentare numerose diverse soluzioni localmente.

Il “problema” cinese è che l’adozione di simili strumenti era spesso imposta o comunque connessa alla possibilità di ricevere servizi.

Altra soluzione sperimentata in Cina, e che è difficile pensare possa trovare applicazione in Europa, è quella dell’utilizzo di software per monitorare il rispetto delle misure restrittive, quasi fossero un “braccialetto elettronico” sui generis.

A prescindere dal fatto che una simile misura deve essere connessa ad una (difficilmente immaginabile) legge che imponga ai cittadini di muoversi tassativamente con il cellulare acceso (con livello di batteria sufficiente da garantire il ritorno a casa).

Ulteriore metodologia da considerare è quella di recente implementata ad Hong Kong, dove a tutti i soggetti in ingresso viene consegnato un braccialetto che ne monitora i movimenti per la durata della loro presenza.

La soluzione coreana, via mediana fra quella adottata a Singapore e il ventaglio di app cinesi, ha dalla sua un rigoroso approccio su base volontaria, ma non è molto rispettosa del dato personale dei cittadini sottoposti a tracciamento e non potrà quindi (ci si augura) essere presa a modello nel contesto europeo.

Le app covid-19 in Europa

Al momento, in Europa la tecnologia Google-Apple decentralizzata è adottata in Italia, Germania, Svizzera, Francia, Irlanda e Lettonia.

Il Regno Unito aveva optato per quella centralizzata, in sperimentazione, poi ci ha ripensato (per i limiti di funzionamento con gli iPhone) e ha messo in sostanziale stand-by il progetto.

Sospeso l’app norvegese, pure centralizzata, considerata troppo invasiva per la privacy.

Nessuna app di contact tracing al momento in Spagna.

Il solo grande Paese europeo dove l’app ha avuto un riscontro maggiore dell’Italia è la Germania, con 14milioni di download al 22 luglio.

In Europa, nessuna app comune per chi viaggia

Al momento non c’è una interoperabilità tra le app per il coronavirus in Europa (come nel resto del mondo). Quando viaggiamo all’estero non potremo fare conto sull’app nazionale; nemmeno all’interno dell’unione europea.

Eppure l’Unione Europea ha in più occasioni sollecitato l’adozione di una soluzione condivisa a livello comunitario per la gestione tecnologica dell’emergenza sanitaria e ha realizzato una guida sullo sviluppo di applicazioni per il contrasto della pandemia COVID-19, licenziata lo scorso 15 aprile.

La guida precisa che la scelta europea è quella dello sviluppo di un’app basata su tecnologia Bluetooth Low Energy, che sia interoperabile a livello comunitario, scaricabile su base volontaria, rispettosa della privacy (e quindi fondata su ID temporanei localizzati sul dispositivo dell’utente), accessibile ed inclusiva.

Già in questo senso andava il PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), sistema poi passato in secondo piano con l’avanzata del modello Google-Apple.

E’ focalizzato sul rispetto del GDPR e si basa, come le soluzioni di Singapore, Apple e Google, sullo scambio di un ID temporaneo che non può essere ricondotto ad un soggetto se non dietro sua scelta volontaria. In caso di contagio accertato l’utente contagiato può (sempre a sua scelta) inserire un codice TAN (transaction authentication number) fornito dall’autorità nell’applicazione, che è in grado di leggere il log dei 14 giorni precedenti e di “marcare” i contatti come soggetti esposti al contagio.

Il sistema prevede poi una gestione della “marcatura” anche quando gli applicativi sono diversi (es. fra distinti paesi dell’Unione). In questo caso l’ID “marcato” viene condiviso direttamente con le Autorità del Sistema Sanitario del paese presso cui è registrato lo smartphone, garantendo così un’interoperabilità sui generis alle varie soluzioni nazionali che condividono il medesimo protocollo.

Il parere del Garante privacy e dell’EDPB

Il Garante Privacy ha dato il via libera a Immuni il primo giugno con 12 punti di attenzione.

Dal punto di vista privacy il Garante italiano aveva già espresso una diffusa opinione nell’audizione informale dell’otto aprile scorso, in cui ha evidenziato varie criticità nell’utilizzo di simili strumenti.

Il Garante ha (giustamente) dato per scontato che l’applicazione venga adottata su base volontaria (di qui il problema del raggiungimento di una sufficiente “massa critica” di utenti affinché lo strumento sia davvero utile) e che l’applicazione non venga utilizzata per finalità repressive (sorveglianza del soggetto in quarantena obbligatoria), due elementi di base che sembrano in effetti orientare anche le proposte a livello nazionale ed europeo.

Per quanto riguarda la volontarietà, il Garante giunge a tale affermazione, in ragione dell’impossibilità di imporre l’utilizzo di dispositivi elettronici, riferendosi nello specifico alle fasce della popolazione a cui tali strumenti, ovvero il cui uso quotidiano degli strumenti in questione può dirsi tutt’altro che scontato.

Proprio per questa ragione, secondo il Garante, l’adesione volontaria non dovrebbe “abbinare” il download della app all’accesso a servizi o beni (come accade in Cina), che ne determinerebbe una specie di coercizione indiretta all’utilizzo.

L’auspicio del Garante è, quindi, che il contact tracing, ove venga attuato in Italia, trovi un’adeguata cornice legislativa di rango primario fondata su esigenze di sanità pubblica, con adeguate garanzie per gli interessati (art. 9, p.2, lett.i) Reg. (Ue) 2016/679), anche in termini di temporaneità delle misure poste in essere.

In particolare, il sistema di norme dovrebbe possibilmente affidare la complessa filiera del contact tracing in mano pubblica, o comunque a soggetti privati i cui requisiti di affidabilità e trasparenza dovrebbero essere individuati legislativamente, oltre a prevedere espressamente la cancellazione di ogni informazione al termine del periodo di emergenza.

A presidio di eventuali abusi, il Garante suggerirebbe di prevedere specifici reati per coloro che utilizzino i dati per finalità diverse ed ulteriori rispetto a quella di garantire la salute pubblica (approccio, questo, discutibile essendo, si ritiene, adeguata la cornice penale per simili fattispecie, senza bisogno di innovazioni ad hoc).

Sotto il profilo delle soluzioni informatiche da adottare, Il Garante ha poi avallato l’utilizzo del Bluetooth per la raccolta dei dati, affermando che tale tecnologia: “restituendo dati su interazioni più strette di quelle individuabili in celle telefoniche assai più ampie, parrebbe migliore nel selezionare i possibili contagiati all’interno di un campione più attendibile perché, appunto, limitato ai contatti significativi (così parrebbero orientati Singapore e Germania).”

I dati pseudonimizzati riguardanti i “contatti” con altri soggetti dovrebbero rimanere salvati a livello locale su ogni singolo dispositivo, salvo poi finire in un server centrale nel caso il soggetto risultasse positivo, per consentire (tramite un calcolo algoritmico) di avvisare tutte le persone con cui lo stesso è venuto a contatto in un arco di tempo determinato.

Anche l’European Data Protection Board (EDPB) è intervenuto sulla questione, da ultimo con lettera del 14 aprile in risposta ad una consultazione del Gruppo Europeo dei Garanti da parte dalla Commissione Europea in relazione alla bozza della guida sullo sviluppo di applicazioni per il contrasto della pandemia COVID-19.

In quella sede l’EDPB ha avallato l’approccio “comunitario” promosso dalla Commissione, raccomandando però il confronto con le autorità garanti nazionali e lo sviluppo di una valutazione di impatto privacy prima di licenziare le soluzioni.

Il Gruppo dei Garanti ha inoltre ribadito che simili applicazioni dovrebbero essere installate su base volontaria dall’utente, precisando però che la base giuridica del trattamento non è quella del consenso dell’utente, ma piuttosto l’interesse pubblico rilevante e proporzionato alla finalità perseguita, come dettagliato da apposite normative nazionali che dovranno essere emanate sul punto.

Il Gruppo dei Garanti ha inoltre censurato l’utilizzo di soluzioni che possono accedere alla posizione dell’individuo, in quanto lo scopo delle applicazioni sarà quello di scoprire eventi (contatti con contagiati) e non quello di scoprire movimenti.

Quello che EDPB aggiunge rispetto a quanto emerso nel corso dell’audizione del Garante italiano è che l’utilizzo delle piattaforme di contact tracing non deve in nessun caso favorire la diffusione di un allarme sociale, ovvero comportare una stigmatizzazione dei soggetti risultati positivi (come avvenuto in certa misura in Corea del Sud).

L’unico fine deve essere espressamente quello di poter risalire la catena dei potenziali contagiati per prendere le misure appropriate al contenimento della pandemia.

Inoltre, il Gruppo dei Garanti indica come necessaria la presenza di un meccanismo che assicuri la correttezza del dato inserito nella app e la supervisione degli algoritmi utilizzati da parte di personale qualificato al fine di limitare il verificarsi di eventuali falsi positivi e negativi.

L’EDPB raccomanda, infine, il rispetto delle misure previste in materia GDPR ed ePrivacy e conclude anch’essa come il Garante italiano per la cancellazione o l’anonimizzazione dei dati raccolti con l’utilizzo dei sistemi in questione al termine dell’emergenza.

Le soluzioni di Google e Apple in USA

L’unica vera alternativa allo sviluppo di una applicazione a livello europeo è forse la soluzione globale proposta da Google ed Apple.

Questa soluzione è si sta diffondendo in varie app nazionali ma serve un lavoro ulteriore da parte dei Paesi per assicurare una interoperabilità. Si noti che questo sistema non è stato ancora adottato negli Stati Uniti a livello federale e nemmeno a livello di singoli Stati.

Il sistema pensato dai colossi americani si basa sulla tecnologia Bluetooth Low Energy (BLE) e cifra i dati dell’utente sul proprio dispositivo, assegnandogli un ID temporaneo, che varia spesso e viene scambiato tramite Bluetooth con i dispositivi vicini.

E’ evidente che dobbiamo molto alla sperimentazione singaporiana ed alle altre precedenti da cui questa ha preso a sua volta spunto, che hanno consentito di sviluppare un sistema efficace di tracciamento da cui il mondo può trarre insegnamento.

Apple e Google però stanno cercando di fare qualcosa di più. Oltre alla questione falsi negativi tenendo l’app attiva anche in background (vedi sopra), lavorano per evitare il rischio di falsi positivi con la registrazione di “contatti” Bluetooth non significativi di un potenziale contagio (per l’eccessiva distanza fra le parti).

Gli ingegneri dei due colossi tech contano infatti di riuscire ad inserire una “soglia” di potenza del segnale del Bluetooth per escludere contatti non rilevanti.

La “app” ha inoltre un potenziale di adozione inedito in quanto verrà resa disponibile su tutti gli smartphone dei due produttori e potrà condividere i dati fra gli stessi.

Il progetto si compone di un primo momento in cui il programma potrà essere inserito nel codice di applicazioni predisposte dalle autorità di pubblica sicurezza, e si occuperà di raccogliere il log dei “contatti” fra il proprio ID (che varia tempo per tempo per ragioni di privacy) e quelli dei vari smartphone che entrano nel range del dispositivo.

In un secondo momento il programma potrà diventare un’applicazione autonoma o, nelle intenzioni degli sviluppatori, un semplice toggle per permettere di decidere se registrare o meno i “contatti”.

Una volta che la stessa non sarà più necessaria, le due società garantiscono che dismetteranno il sistema.

Il sistema funziona registrando i contatti per 14 giorni e consente, nel caso in cui un soggetto risulti positivo al contagio, di condividere i dati relativi ai contatti delle due settimane precedenti e di inoltrare un messaggio automatico a tutti questi contatti.

Il successo dell’applicativo dipende quindi dalla decisione dei vari governi di adottare questo standard e di implementarlo nelle rispettive applicazioni.

Dal punto di vista della sicurezza del sistema, il modo in cui lo stesso è costruito rende difficile, anche in caso di data breach, che un aggressore esterno possa riuscire ad abbinare gli ID con i relativi “contatti” a soggetti specifici.

D’altro canto Google ed Apple si trovano così a custodire una mole di dati (di movimento e inevitabilmente sanitari) davvero incredibile quando una situazione simile a quella adottata a Singapore consentirebbe di limitare il trattamento dei dati in capo all’autorità senza coinvolgimento di soggetti terzi.

Il progetto di Google ed Apple sarà quindi non solo una soluzione utilizzabile negli Stati Uniti, ma rappresenta una proposta globale che potrebbe essere utilmente applicata anche in Italia, specie se non si arrivasse in tempi brevi ad una soluzione condivisa all’interno dell’Unione Europea.

Conclusioni

Tirando le somme, la soluzione italiana per il contact tracing ha seguito le direttive europee e, nonostante qualche incertezza, si è orientata verso un modello funzionale e soprattutto rispettoso della privacy degli utenti.

Sfruttando il framework di Apple e Google, che hanno sviluppato un sistema estremamente sofisticato di tracciamento al fine di garantire la sicurezza nello scambio dei dati ed evitare per quanto possibile la condivisione di dati personali, la nostra applicazione basata su Bluetooth Low Energy è rispettosa della privacy degli utenti ed è, dal punto di vista tecnologico, una soluzione efficiente per il contact tracing nel nostro Paese.

Il problema reale, però, è nell’efficacia complessiva dell’app. Come detto, sta passando in secondo piano la necessità di un’alta adozione, che comunque è utile. Ma ci sono molti altri punti aperti.

Resta da gestire al meglio la partita del collegamento tra app (e le sue notifiche) e gli aspetti sanitari. Al momento, come scritto, non c’è alcuna integrazione tra i due mondi.

Se a Singapore è ipotizzabile che le persone scarichino in massa sul proprio smartphone un’applicazione che potrebbe cambiargli la vita (in peggio) costringendole a due settimane di quarantena prudenziale, è difficile pensare che altrettanto succeda in Italia (e in Europa). Servirà quindi garantire al minimo una gestione dell’utente-paziente, assicurandogli un tampone tempestivo. Bisogna evitare di chiedere alle persone di auto-isolarsi alla cieca, senza un contatto con le autorità sanitaria; troppo alto il rischio di falsi positivi o che la persona, pur entrata in contatto con il virus, non è più contagiosa. Tutte cose che solo l’autorità sanitaria, raccogliendo la staffetta dall’app, può accertare. 

Il collegamento tra i due mondi serve anche per uno studio epidemiologico dei contatti, anche se secondo alcune Regioni le attualit restrizioni privacy impediscono di farlo efficacemente.

La sfida quindi non è più solo tecnologia – anzi adesso si può dire che la sfida è stata messa alle spalle; ma soprattutto di comunicazione e organizzazione medico-sanitaria.

Un ultimo augurio è quello relativo all’adozione di una interoperabilità comune a livello europeo. Conforta in questo senso la scelta di Bending Spoons, una società che ha sviluppato un’applicativo basato su Bluetooth Low Energy e quindi in linea con le indicazioni provenienti dall’UE.

Solo un’app efficace su tutti questi punti, accompagnata da una comunicazione altrettanto efficace delle soluzioni adottate, potrà accompagnare gli utenti verso un’adozione graduale ma massiccia di questo importante strumento per la lotta alla diffusione del COVID-19.

Nota: aggiornato rispetto alla pubblicazione originaria del 17 aprile per chiarire alcune questioni tecniche sulla centralizzazione-decentralizzazione, emerse nel dibattito successivamente, e con i successivi chiarimenti governativi

Successivi aggiornamenti, in particolare a maggio, integrano (e integreranno) gli ulteriori chiarimenti che stanno arrivando dal governo sul funzionamento e le tutele

@RIPRODUZIONE RISERVATA

Articolo 1 di 4