l'analisi

Tutti i problemi pratici delle app coronavirus: nessuno sa se funzionano davvero

Ecco tutti i fattori che rischiano di vanificare i possibili effetti positivi del contact tracing, dal bluetooth al testing all’adozione. L’elefante nella stanza è che non ci sono ancora prove che le app funzionino. Nemmeno in Corea del Sud e Singapore.

19 Mag 2020
Paolo Reale

presidente ONIF e commissione informatica dell'Ordine di Roma


Le app coronavirus, da noi Immuni, si preparano al test sul campo, previsto per le prossime settimane. Saranno efficaci abbastanza per combattere la pandemia?

Il problema è che non lo sappiamo ancora. Pochi l’hanno notato, ma non ci sono ancora evidenze della loro efficacia. Nemmeno in Corea del Sud e Singapore, dove semmai ad aver funzionato è il modello adottato; non l’app o la tecnologia in genere.

Il punto non è stato finora ben sottolineato nel dibattito, più concentrato sugli aspetti etici, di diritto e privacy. Pure importanti; ma è cruciale non perdere di vista l’obiettivo: un tracing che, affiancato al testing, aiuti in una fase 2 che voglia coniugare tutela della salute, del lavoro, dello studio e della nostra vita sociale.

Possiamo isolare – termine “iconico” in tempi di coronavirus – tre nodi fondamentali per la questione dell’efficacia dell’app (e di tutto il sistema che c’è dietro). La sua adozione, l’interazione con il mondo sanitario (il testing dopo la notifica, eventuali mappe epidemiologiche…), e la qualità del sistema tecnico utilizzato nei cellulari.

I problemi del bluetooth

Cominciamo da quest’ultimo, forse il meno compreso finora. Riassumibile così: l’uso del bluetooth per i contatti sarà abbastanza affidabile? O genererà troppi falsi positivi, falsi negativi?

Per limitare la diffusione della pandemia di covid-19, il mondo intero si è attivato sul fronte “informatico” nella speranza che anche un approccio di questo tipo possa contribuire a risolvere un problema al momento ancora senza soluzione: come uscire velocemente dall’isolamento per tornare alla vita “normale”. Sotto questo profilo, pressoché ovunque si nota una significativa propensione a sopravvalutare i benefici che si possano realmente conseguire con una soluzione di automatizzazione del ‘contact tracing’ o “tracciamento dei contatti”.

Si tratta di un sistema, come ormai noto, che registra i segnali bluetooth -opportunamente codificati e anonimizzati- dei cellulari che incrociamo nelle nostre vicinanze durante la giornata, e registrati in modo anonimo dall’applicativo per un certo periodo. Se uno di questi contatti dovesse contrarre il contagio, verrebbe poi notificata sul cellulare l’esposizione rilevata, senza indicazioni in merito a chi, dove e quando.

Apple e Google, concordando una soluzione tecnica comune, hanno di fatto ‘forzato’ su questa strada quasi tutte le app di contact tracing in sviluppo nel resto del mondo. Del resto, senza l’adozione del loro sistema di ‘exposure notification’, ovvero sistema per la notifica dell’esposizione, ogni app è a rischio di non poter funzionare correttamente.

Perché stiamo parlando di utilizzare un segnale radioelettrico allo scopo di rilevare una prossimità fisica. Il segnale bluetooth è un protocollo radio progettato per offrire un’alternativa -a basso costo e basso consumo- al Wi-Fi, a discapito del raggio di trasmissione. Un motivo del successo del Bluetooth è quello di poter personalizzare il funzionamento, in base al dispositivo, creando dei “profili”: protocolli specifici che, assieme a quelli standard, permettono l’aggiunta di nuove funzioni, come ad esempio la ricezione di dati da strumentazione mediche (Health Device Profile) oppure collegare il cellulare all’auto per ascoltare della musica (Hands-Free Profile).

Nel 2010 lo standard Bluetooth ha introdotto il “Low Energy” (Bluetooth LE) consentendo di ridurre i consumi di potenza fino a 0.01 mW (-20dBm), particolarmente efficace per le applicazioni che non richiedono un flusso di dati continuo, ma la raggiungibilità del dispositivo 24/24 h, come ad esempio le strumentazioni mediche.

Creato per connettere cuffie, microfoni, viva voce e altri accessori senza fili, con il proprio telefonino, dovrebbe diventare quindi lo strumento utile a misurare l’esposizione al contagio:

il sistema confronta l’intensità del segnale Bluetooth tra i due dispositivi in contatto, e da questo calcola una stima di distanza. Più i dispositivi sono vicini, maggiore è la potenza del segnale registrato, ma questa può variare in modo significativo in base ad una serie piuttosto nutrita di fattori di disturbo, come spiegano i docenti del MIT:

  • il modo in cui il dispositivo viene tenuto (orientamento dell’antenna, può incidere per circa 5dB)
  • assorbimento del corpo umano (circa -15dB, quindi paradossalmente -per fare un esempio- due persone in contatto schiena contro schiena possono assorbire così tanto il segnale da farlo rilevare come distante)
  • analogamente, gli oggetti ed elementi circostanti possono assorbire o riflettere il segnale, in base alla natura del materiale interposto, e alle sue caratteristiche quali forma e dimensione (circa 10dB)
  • ambiente outdoor o indoor
  • differenze specifiche dipendenti dal peculiare modello di cellulare (circa 15 dB)
  • variazioni della potenza di segnale in funzione della temperatura e dello stato della batteria.
WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Con questi disturbi non è improbabile far rilevare un dispositivo come se fosse distante 20 metri, ma in realtà si trova a 2, e viceversa.

A screenshot of text Description automatically generated

La correzione delle letture anomale

Certo, altri sensori a bordo dei nostri cellulari possono contribuire a far ‘correggere’ le letture anomale: per esempio verificando tramite il sensore di luminosità se il cellulare si trovi all’interno di una tasca o in mano; grazie alla bussola elettronica e accelerometro dedurre l’orientamento spaziale; effettuare attente calibrazioni per uniformare le letture anche tra dispositivi differenti tra loro, e così via. Altre migliorie destinate a rendere più coerente la misurazione possono comprendere l’inclusione nei pacchetti radio del dato sulla potenza di segnale usata in trasmissione, e l’informazione sul fatto che dispositivo è collegato ad un veicolo, o è stazionario. Così come la rilevazione di più misure di intensità di segnale nel tempo può aiutare a valutare in modo statistico l’affidabilità della distanza stimata: ad esempio, fare una valutazione di “molto vicino per un certo tempo” sulla base del numero di volte che il segnale “forte” è stato ricevuto, con una numerosità di almeno un centinaio di rilevazioni indipendenti.

Non mancano anche tentativi di affinamento degli algoritmi sfruttando i meccanismi e le competenze dei ‘data scientist’ che si occupano di intelligenza artificiale, creando quindi raccolte di grandi quantità di dati raccolti dai vari sensori dei cellulari, con la precisa finalità di provare a rispondere al problema di identificazione del “too close for too long” (TC4TL), cercando di creare un ambiente comune di lavoro fra ricercatori, in modo da poter comparare i passi fatti e gli scenari di successo. In questo senso, sarebbe davvero auspicabile un approccio sovranazionale, sicuramente più efficace per conseguire in tempi brevi dei risultati utili a sciogliere i dubbi di fondo su questa tecnologia.

Anche perché gli inventori del bluetooth esprimono i loro dubbi sul fatto che questo possa essere efficace per il compito assegnato, evidenziando come prima preoccupazione proprio il fatto che gli sviluppatori di app “non sono specialisti dei segnali radio, e quindi non sono consapevoli della grande variabilità nella potenza del segnale rispetto alla distanza di contatto”. Per ottenere la necessaria precisione, occorrerebbe misurare la triangolazione tra terminali diversi, o i tempi (come un radar). Il primo metodo richiede la cooperazione di più terminali (ma il bluetooth non lo consente) e il secondo invece hardware dedicato. “Quindi sì, potrebbero esserci falsi negativi e falsi positivi e questi devono essere spiegati.”

Cosa può andare storto quindi?

Il punto cruciale è cosa si possa qualificare, attraverso una misura di intensità del segnale bluetooth, come reale contatto, e quindi averne il tracciamento. Ma se già quello che si è visto sulla tecnologia bluetooth lascia più di qualche ragionevole dubbio sul tasso di errore che queste app rischiano di avere, è anche interessante notare altri aspetti, caratteristici della realtà, che entrano in gioco senza che il cellulare possa tenerne conto o traccia: tanto per cominciare, l’app non può sapere se indossiamo un dispositivo di protezione, se siamo separati fisicamente dal nostro potenziale contatto da una barriera fisica, come un vetro, una superficie isolante, un muro, o altro ancora. Il contesto della rilevazione di prossimità è quindi un fattore essenziale, che tuttavia difficilmente potrà essere ‘automatizzato’ con un’App.

Facciamo qualche esempio: se ci troviamo con i finestrini chiusi dentro la nostra autovettura e rimaniamo per diversi minuti fermi a un semaforo, oppure in coda, o in attesa in un parcheggio, è evidente che non vi sarà mai una situazione di rischio, ma il sistema potrà tracciare come contatto il segnale dell’auto al nostro fianco, oppure davanti o dietro.

E ancora, un ambiente in cui i presenti sono protetti da pareti, o da barriere in plexiglass, che impediscono materialmente la diffusione del virus, non presenta ostacoli invece per il segnale bluetooth, che verrebbe quindi tracciato come se si fosse realizzato un contatto.

Ma non solo, perché, in effetti, non si deve tener conto solamente dei ‘falsi positivi’ derivanti da presunti contatti con infetti che in realtà non si sono mai realizzati, ma vi sono anche i “falsi negativi”, ovvero i contatti che il bluetooth non può rilevare, e che in verità risultano anche essere più insidiosi: ad esempio, il contatto della persona con una superficie rimasta infetta! Mancate rilevazioni che possono illudere sullo stato di “immunità”, e sui conseguenti comportamenti meno ispirati alla prudenza.

Senza considerare, non meno importante, come la fascia di persone più vulnerabili al virus, ovvero gli anziani, presenti la più bassa propensione all’uso di strumenti informatici, specie l’uso di smartphone e di app.

La gestione notifiche, che succede dopo?

A Singapore l’App Trace Together è attiva da diverse settimane. Eppure, la conclusione che condivide uno dei responsabili del progetto è piuttosto negativa, invitando a lasciare la gestione umana come centrale nel processo. La direzione indicata è chiarissima, a valle delle numerose evidenze di falsi allarmi: “Ci sono vite in gioco. I falsi positivi e i falsi negativi hanno conseguenze sulla vita reale (e sulla morte). Utilizziamo TraceTogether per integrare la traccia dei contatti, non per sostituirla.”

Probabilmente per questo Singapore sta introducendo altre soluzioni: la popolazione avrà una nuova app, “SafeEntry”, un sistema centralizzato per la gestione degli accessi nei luoghi affollati, orientato a facilitare le operazioni pratiche di ingresso e uscita, tracciandone nel contempo i visitatori. Dal 12 maggio è diventata obbligatoria per un insieme di luoghi quali, ad esempio, scuole, uffici, supermarket, hotel, etc. Da qui possiamo immaginare che, verosimilmente, questo nuovo tentativo ‘informatico’ intenda rilevare possibili focolai negli ambienti a rischio, e non tutti i possibili contatti del singolo individuo: se fosse così, rappresenterebbe un netto cambiamento di rotta rispetto alle app di tracciamento contatti.

Effettivamente non esistono ancora studi accurati e condivisi tra esperti, e statistiche utili a comprendere l’efficacia o meno di questo approccio, l’incidenza effettiva dei falsi positivi e negativi, ma soprattutto la successiva valutazione di come potrebbero essere superate o migliorate le risposte di un sistema come questo, ammesso sia possibile. E non solo: non è neppure chiaro quali possano essere tutti gli scenari in cui utilizzi impropri, e azioni specifiche messe in atto con queste app, possano avere effetti addirittura dannosi, condizionando magari la vita delle persone che si affideranno a questi strumenti. Immaginiamo, per esempio, qualcuno che abbia interesse a far risultare come contagiati interi gruppi di persone, e per questo escogiti un utilizzo fraudolento del segnale bluetooth per ottenere questo risultato.

Qualcuno, come la Nuova Zelanda, pare che stia rinunciando a sviluppare la propria App. Molte voci di esperti, non necessariamente fuori dal coro, segnalano che queste soluzioni tecnologiche non potranno assumere carattere di centralità nel controllo dell’infezione, ricordando come non esista ad oggi una dimostrazione di efficacia ed affidabilità di questo tentativo informatico.

Perché i modelli epidemiologici sono basati su valutazioni statistiche, modelli che possono essere utili a fornire spiegazioni e a produrre simulazioni sul progresso della pandemia a livelli macroscopici, ma non sono in grado di discriminare le situazioni di contagio ‘uno-a-uno’, a livello individuale. L’app in uso a Singapore notifica le persone rimaste a una distanza entro i 2 metri per un tempo di almeno 30 minuti. Quella australiana considera invece una distanza di 1,5 metri per almeno 15 minuti. Come visto prima, in funzione delle problematiche del bluetooth nella misura delle distanze, queste scelte si fondano su una precisione del tutto illusoria. L’esperienza di chi ha l’applicativo in uso mostra che l’approccio statistico è difficilmente applicabile alla realtà dei casi individuali: “qualsiasi soluzione tecnologica alla pandemia di coronavirus deve essere fondata sulla realtà della trasmissione individuale, non sulle statistiche epidemiologiche”.

Insomma, che si tratti di un’app o di altro, occorre trovare una risposta a questa domanda: conoscendo esattamente (e anche su questo ancora dei dubbi sussistono) le modalità di diffusione del virus, queste possono essere “intercettate” da uno strumento tecnologico? L’alternativa può solo essere la definizione di un processo, evidentemente oneroso e a controllo umano, di gestione degli errori, ovvero i falsi positivi o negativi.

Tornando in particolare all’app “Immuni”, quando ‘scatta l’allarme’ quali azioni ne scaturiranno? Il commissario all’emergenza Arcuri, in una recente audizione presso la Camera, precisa che non esisterà alcun meccanismo a valle della notifica di esposizione. Ricevuto l’eventuale alert, il processo si interrompe. Non esiste quindi alcun percorso definito: nessun tampone, nessun esame sierologico, nessun contatto medico. Arcuri ha detto che se non ci sarà subito un tampone dopo la notifica, sarà un fallimento per il sistema sanitario e anche per tutto il sistema messo in campo per il tracing. Ciò vuol dire che è consapevole del problema, ma non implica che abbia individuato un modo per risolverlo.

Il rischio concreto è che i problemi tecnologici (incidenza dei falsi positivi e negativi), e di integrazione tra segnalazione e gestione sanitaria (azioni efficaci di gestione a valle della ricezione di una notifica di esposizione), uniti a una complessiva opacità dello sviluppo della soluzione informatica e a un arrivo tardivo della stessa, trasformino un possibile strumento di supporto in un’app che non assolve a nessun compito, e magari crea anche danni, e ulteriore entropia, in un processo oggi ancora molto confuso.

L’adozione

Ultimo problema pratico: rendere il sistema abbastanza diffuso. Finora le esperienze internazionali non hanno avuto una grande popolarità, ma vari sondaggi in Italia riportano che il 60-70 per cento degli italiani installerà Immuni. Serve circa il 60% di adozione per avere un’efficacia, secondo lo studio (Oxford University) più autorevole al momento. La ministra dell’innovazione dice che basterà il 25% ma non è chiara quale sia la sua fonte.

In ogni caso, il Governo prevede di fare una campagna di comunicazione sull’app ma non ci sono ancora dettagli in merito.

Conclusioni

Il rischio concreto è che i problemi tecnologici (incidenza dei falsi positivi e negativi, modelli di rilevazione del contatto, imprecisione delle misure), e di integrazione tra segnalazione e gestione sanitaria (azioni efficaci di gestione a valle della ricezione di una notifica di esposizione), uniti a una scarsa trasparenza dello sviluppo della soluzione informatica e a un arrivo tardivo della stessa, trasformino un possibile strumento di supporto in un’app che non assolverebbe a nessun compito, magari creando anche danni, e ulteriore entropia, in un processo oggi ancora molto confuso.

In conclusione

Molti articoli hanno già messo in evidenza luci ed ombre del progetto Immuni, a partire dalla scarsa trasparenza nel processo di selezione dell’app, le indicazioni contraddittorie sulle modalità di gestione dei dati e del funzionamento, gli aspetti relativi alla tutela della privacy e della sicurezza delle informazioni, tanto più sensibili in considerazione del fatto che toccano la sfera sanitaria, fino all’etica dell’App.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Ritengo che oltre a questi problemi sia opportuno anche mettere in luce le questioni pratiche di efficacia complessiva, con l’auspico che il Governo sia pronto ad affrontarle prontamente.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4