Immuni, i dubbi e le speranze

«Installatela e fatela installare». «Non credo sia dannosa per la privacy e anche se fosse chissenefrega». «Non fate le scimmie». «Siete più a rischio con Candy Crush». «Dovrebbe essere resa obbligatoria». A poche ore dal suo rilascio, queste sono solo alcune delle recensioni pubblicate sulla pagina di Immuni, l’app italiana per il tracciamento dei contagi da Coronavirus. Approvata dal Garante della Privacy, l’applicazione è scaricabile dall’App Store degli iPhone e da Google Play sui dispositivi Android (presto dovrebbe apparire anche sulla App Gallery di Huawei), ma per una settimana a partire dal 3 giugno funzionerà in fase di test soltanto in Abruzzo, Liguria, Marche e Puglia.

Già, Immuni arriva senza essere stata sottoposta a collaudi su larga scala e con oltre un mese di ritardo. È una scommessa importante, anzi, necessaria, sulla quale alcuni nutrono grandi speranze e altri forti dubbi. «Aumenterà la sicurezza da contagi», twitta la ministra dell’Innovazione Paola Pisano, mentre il virologo Andrea Crisanti si dice «perplesso» ai microfoni di Rai Radio2, perché «se anche il 50 per cento della popolazione scaricasse l’app, sarebbe una montagna di soldi buttati». Inutile nascondercelo: le criticità sull’efficacia di Immuni non mancano nemmeno in fatto di privacy, checché ne dicano i recensori più entusiasti dell’app. Sullo sfondo dell’intricata vicenda italiana, poi, c’è una questione ancora più grande di cui, nel contesto della pandemia, pochi si sono preoccupati: quella del ruolo dei colossi hi-tech Apple e Google nell’attivazione del contact tracing. Ma partiamo da ciò che dopo tante ipotesi è ormai sicuro, ovvero il funzionamento dell’app.

Il funzionamento
Immuni non è obbligatoria ed è scaricabile gratuitamente (doveroso ribadirlo visto che sono già partite le prime truffe online). Per registrarsi basta avere una versione abbastanza aggiornata del sistema operativo (nel caso in cui non lo sia sarà l’app stessa a ricordarvelo) e inserire le proprie regione e provincia di domicilio. L’app di basa su una variante particolarmente efficace della tecnologia Bluetooth (Bluetooth Low Energy), che come noto permette a dispositivi vicini di entrare in contatto e trasmettersi dati. Nel caso di Immuni il Bluetooth consente a un telefono di inviare e ricevere costantemente codici anonimi generati dall’app, che vengono poi salvati sul telefono stesso e non su server esterni. In questo scambio e nella conseguente memorizzazione dei codici ricevuti da telefoni vicini per un intervallo di tempo sta appunto il tracciamento dei contatti e non degli spostamenti, cosa che solo il Gps avrebbe consentito. In realtà – cosa che ha già creato confusione – per i dispositivi Android Immuni richiede anche l’attivazione del Gps, non per conoscere la posizione esatta di un utente ma – dicono gli sviluppatori – per poter risalire al territorio in cui un contatto rischioso può essere avvenuto e quindi dare modo al servizio sanitario locale di prendere le misure necessarie.

Come si fa a capire se si è a rischio o meno? Un utente che in seguito ai dovuti esami scopre di essere positivo al Covid-19 riceve dal servizio sanitario un codice segreto e anonimo. Il codice va utilizzato nell’app e serve ad autorizzare la condivisione di questa informazione con tutti gli smartphone con i quali si è entrati in contatto in precedenza (e che hanno installato l’app). A questo punto, una volta ricevuta l’informazione, l’app di ciascun telefono controlla nel registro dei contatti avuti la presenza di un’identità corrispondente a quella del caso positivo. Nel caso in cui vi sia, manda un messaggio che notifica il rischio di contagio dovuto al contatto con un utente positivo e fornisce un relativo indice di rischio (da 1 a 8) sulla base della durata del contatto stesso, invitando a isolarsi e a contattare il servizio sanitario. Si noti bene che l’utilizzo del codice è facoltativo, dunque una persona positiva può sostanzialmente decidere di non far arrivare notifiche del genere a chi è gli è stato vicino.

La privacy
In linea con le raccomandazioni della Commissione Europea, Immuni è un’app “open source”, nel senso che i codici informatici su cui si basa sono visibili a chiunque. Nell’arco degli ultimi dieci giorni di maggio sono stati pubblicati su GitHub, una piattaforma apposita, i codici dell’interfaccia visibile agli utenti (frontend) e poi del sistema di gestione dei dati (backend). Questo ha dato modo a molti sviluppatori di esplorare il codice per proporre o segnalare errori. Non mancano i bug, gli errori di funzionamento, e secondo alcuni sono anche troppi, ma non si può sottovalutare il fatto che Bending Spoons, la stimata società a cui è stato affidato l’incarico di sviluppare l’app, ha dovuto ricominciare il lavoro svolto per assecondare le scelte e, forse, una certa indecisione da parte del governo.

I problemi sono altri e riguardano anche la privacy. Le uniche informazioni personali che Immuni chiede sono, come abbiamo visto, regione e provincia di domicilio per assicurare una pronta risposta da parte del servizio sanitario. Lo stesso vale per l’attivazione del Gps richiesta dai dispositivi Android, ma a ben vedere non è tutto. Nel codice dell’app esiste una variabile che, all’interno del messaggio che notifica di aver avuto contatto rischioso, mostra anche la data in cui è avvenuto il contatto e anche il Garante della Privacy nella sua valutazione fa riferimento alla data come elemento da comunicare agli utenti. In questo modo però, come segnalato da Mirko Cazzolla e Antonino Polimeni su agendadigitale.eu, per il destinatario del messaggio diventa semplicissimo risalire all’identità della persona che potrebbe averlo contagiato.

Non importa che l’app non abbia informazioni personali su di loro e che non ne conosca l’identità: conoscendo la durata del contatto (in base al quale, come abbiamo visto, viene attribuito l’indice di rischio) e la data in cui è avvenuto basta un po’ di memoria e una semplice deduzione. In attesa di vedere se Bending Spoons modificherà il codice o meno, possiamo però dire che la scelta di un cosiddetto modello “decentralizzato” (che salva i dati sui contatti avvenuti sul singolo smartphone) e non di un modello “centralizzato” (che salva gli stessi dati su un server centrale gestito da un unico titolare) ha sciolto i dubbi sul rischio di sorveglianza di massa che Immuni avrebbe potuto comportare. Il dubbio che resta invece riguarda l’efficacia di questo sistema.

I rischi
Agli estremi del dibattito pubblico su Immuni si sono arroccate due opinioni che ancora adesso – basta leggere le recensioni dell’app – sono più radicate di quanto si immagini. Una vede sostanzialmente l’app come l’arma sfoderata da uno Stato di polizia. L’altra ritiene che sia inutile perché non obbligatoria o addirittura perché non basata su Gps, bollando il problema della privacy come idiota perché magari, nel frattempo, le stesse persone che sono contrarie all’app lasciano che Tinder o il gioco “Che verdura sei” saccheggino i loro dati personali. Se può sembrar banale dire che sono entrambe posizioni oltranziste e poco fondate, meno lo è dire che una soluzione molto diversa da quella scelta non sarebbe stata praticabile. Non dotarsi di un’app sarebbe stato incosciente perché – ci dicono l’Organizzazione mondiale della Sanità e diversi medici – il tracciamento dei contatti può contribuire sensibilmente al contenimento del contagio. Rendere l’app obbligatoria sarebbe invece stato un precedente pesantissimo per un qualunque Paese europeo, se non addirittura un provvedimento illegale, e basarla su Gps avrebbe dato allo Stato il controllo degli spostamenti di tutti gli utenti attivi. Ecco allora che, fermo restando che avremmo potuto evitare ritardi e ribaltoni vari, ci troviamo nella scomoda condizione di dover fare quel che è possibile con tutti i problemi che ciò comporta. Basti pensare che il Bluetooth, proprio in virtù della sua precisione, può registrare dei falsi contatti, tra persone, cioè, che pur essendo molto vicine non interagiscono tra loro: è la differenza tra una coppia che pranza assieme e i conducenti di due auto appaiate nel traffico.

Il problema più importante è che un’app facoltativa potrebbe essere scaricata o attivata da un numero esiguo di persone, ben lontano dal 60 per cento dei maggiori di 14 anni che il Ministero della Salute pone come soglia limite. A fare la differenza sarà la fiducia che Immuni e le istituzioni riusciranno a guadagnarsi per motivare le persone a utilizzarla. Buona parte di questa fiducia, al di là di spot pubblicitari e appelli al buonsenso, dipende dall’organizzazione di tutto ciò che succede dopo il fatidico messaggio inviato dall’app: il servizio sanitario deve essere pronto a dare risposte tempestive a chi si trova esposto al rischio di un contagio. Se non ci sarà in ogni provincia una rete di sostegno territoriale attiva con call center, operatori sanitari disponibili e tamponi, ovvero tutto ciò che finora è in buona parte mancato, Immuni sarà inutile. Differentemente dalla narrazione che molti ne hanno fatto, la tecnologia non è una bacchetta magica e non sarà certo un’app a sconfiggere da sola il Coronavirus.

Il paradosso
Il primissimo banco di prova sarà quello del numero di download iniziali di Immuni e della sperimentazione in Abruzzo, Liguria, Marche e Puglia, dove vedremo se è nato un sistema o soltanto un’app in più da scaricare. Quello che poi andrà verificato – e ci auguriamo ci sia trasparenza su questi dati – sarà il numero di utenti che, dopo aver scaricato l’app, la utilizzano effettivamente. È certo che, come abbiamo già visto per smart working e istruzione a distanza, anche in questo caso il divario digitale si farà sentire: se Immuni richiede le versioni più recenti di iOS e Android, chi ha uno smartphone datato non potrà utilizzarle. Ma questo ci porta alla questione che, come avevamo detto, finora è restata sullo sfondo. A inizio maggio si discuteva ancora di quale fosse il migliore tra approccio centralizzato e decentralizzato al tracciamento dei contagi, e in sede europea si scontravano due rispettive visioni: quella del consorzio PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) e quella del gruppo DP-3T (Decentralized Privacy-Preserving Proximity Tracing) nato da una scissione dal primo. In Italia, come in Francia e in Regno Unito, si era inizialmente optato per una soluzione centralizzata per poi cambiare improvvisamente idea, cosa che ha costretto Bending Spoons a rifare tutto il lavoro. A un certo punto, però, un terzo attore è entrato in gioco: il binomio Apple-Google. Le due aziende si sono messe al lavoro per dare vita a un protocollo globale per il tracciamento costruendo delle apposite Api (Application Programming Interface), sostanzialmente dei codici che fungono da base per la costruzione di determinati software, messi a disposizione degli sviluppatori esterni per facilitare il loro lavoro.

Da un lato vediamo Apple e Google, quelli che nella vulgata sono spesso i “cattivi”, creare un protocollo basato su un approccio decentralizzato, ovvero quello più rispettoso dei dati degli utenti, mentre molti Stati spingevano per quello centralizzato. Dall’altro vediamo Stati annunciare di aver scelto il protocollo di Apple e Google, come se davvero avessero effettivamente avuto scelta. La verità è che a determinare il funzionamento di un’app è il sistema operativo dello smartphone: o ti adegui o non esisti. Per esempio, con iOS le app che non sono attive sullo schermo dello smartphone vengono automaticamente disattivate. Con un’app di tracciamento questo sarebbe stato un problema, dunque nel nuovo protocollo Apple ha cambiato le regole. Vuoi evitare che la tua app sia spenta su tutti gli iPhone del Paese? Allora aderisci al protocollo. Lo stesso vale per i possibili problemi di scambio dei codici via Bluetooth tra dispositivi con sistemi operativi diversi: i due colossi hanno lavorato per evitarli, basta aderire al loro protocollo. Di fatto, uno Stato non può decidere perché non controlla i sistemi operativi. Apple e Google hanno scelto il tipo di approccio (fortunatamente decentralizzato) e addirittura a quante app concedere l’accesso alle Api: soltanto una per Paese selezionata dal rispettivo Stato, nel nostro caso Immuni.

Il paradosso è che, per ragioni filantropiche o più probabilmente reputazionali, le due aziende hanno imposto una modalità di contact tracing più soft di quella voluta dagli Stati, mentre questi ultimi, che in teoria sarebbero chiamati a prendere decisioni del genere, si sono ritrovati a subirle. I dati a cui certi Stati vorrebbero aggrapparsi aggiungono ben poco ai database di due aziende come Apple e Google. E così la pandemia ci ha dimostrato ancora una volta quanto gli Stati siano oggi indietro dal punto di vista tecnologico e quanto, probabilmente senza nemmeno accorgersene, abbiano perso terreno su questo fronte nell’ultimo ventennio.