di Corrado Aaron Visaggio
Fare contact tracing con un’app sembrava una buona idea, all’inizio.
Del resto, quasi tutti hanno uno smartphone e chi lo ha se lo porta quasi sempre con sé.
Poi, però, ci si è resi conto che le cose non erano così lisce: qualche problema c’era.
Innanzitutto la privacy: tracciare i contatti, cioè chi aveva incontrato chi e quando è una chiara invasione della privacy, anzi porta dritti dritti verso uno scenario piuttosto inquietante che, senza giri di parole, potremmo chiamare: “sorveglianza di massa”.
Le prime idee per mantenersi lontani dal rischio di instaurare un Grande Fratello Covid-based furono: tracciare i contatti, piuttosto che la posizione, ed evitare di far sapere al Governo chi aveva incontrato chi e dove. Per la prima questione si pensò al bluetooth (che dice chi incontra chi ma non dove), mentre la seconda questione riguarda un problema un poco più articolato e cioè la centralizzazione dei dati.
Centralizzare o meno i dati, vuol dire riporre in un server centrale tutte le informazioni sui contatti di chiunque. Attorno a questo tema si sono scontrati due approcci diversi. Inizialmente il Fraunhofer Heinrich Hertz Institute e l’ École Polytechnique Fédérale de Lausanne (EPFL), sotto l’ombrello del progetto Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), hanno sviluppato un protocollo basato su Bluetooth Low Eenrgy (BLE) finalizzato a proteggere gli utenti dal rischio della sorveglianza.
Siccome questo approccio manteneva comunque degli elementi di centralizzazione, il 17 Aprile del 2020, EPFL e l’ETH Zurich uscirono dal progetto, criticando il PEPP-PT per mancanza di trasparenza e per non salvaguardare la privacy fino in fondo. Quindi, KU Leuven, il CISPA Helmholz Center for Information Security, lo European Laboratory for Learning and Intelligent Systems e la Technical University of Denmark, abbandonarono il progetto per dare avvio al protocollo decentralizzato, basato su BLE, noto come DP-3T, che prevedeva l’anonimizzazione dei contatti.
Il D3-PT è stato adottato dall’Italia, dalla Svizzera, dalla Spagna e dalla Germania. Quest’ultima, che ha chiesto a Deutsche Telekom e SAP di sviluppare l’app, che ha poi utilizzato l’Exposure Notification APIs di Google ed Apple, rilasciando il codice in modalità open-source.
La questione dell’open source è un altro punto essenziale del nostro racconto. E, infatti, dare a tutti la possibilità di leggere il codice, vuol dire dare prova di trasparenza: rivelare al cittadino cosa fa l’app. Fino ad un certo, punto però, perché di cosa accade dopo che i dati sono finiti sul server centrale io, cittadino, non ne so niente.
L’approccio antagonista all’uso del Bluetooth è quello di raccogliere informazioni circa i luoghi dove uno è stato, attraverso il GPS, ed è questo il caso della Norvegia, Israele, Islanda e Nuova Zelanda.
L’idea sarebbe che così l’app diventerebbe un supporto al tracciamento dell’operatore (umano) che avrebbe così la lista delle persone che sono state in un determinato luogo. L’operatore potrebbe così rintracciare tutti quelli che in un determinato giorno sono stati in un luogo dove è stato un positivo.
Sebbene l’app Islandese, Rakning C-19, sia stata quella con una maggiore penetrazione del mercato, essendo usata dal 38% della popolazione, secondo un’analisi dell’MIT di Boston, le stesse autorità Islandesi hanno sollevato dubbi sulla sua efficacia. Gestur Palmason, coordinatore degli addetti al tracciamento dei contatti, ha spiegato che finora Rakning C-19 si è rivelata utile in un numero limitato di casi: “Per noi non è stata una svolta”.
Quello che sta accadendo in Norvegia, invece, dimostra che conciliare il contact tracing con la protezione della privacy non è affatto semplice. La Norvegia è stata tra le prime a sviluppare un’app per il contact tracing, Smittestopp, ma ora il Norwegian Institute of Public Health (FHI) è stato costretto dalla DPA, l’autorità Nazionale per la Privacy, ad interrompere la raccolta dei dati sui contatti. L’App ha avuto 6 milioni di download ed ha 600.000 di utenti attivi, ovvero il 10% della popolazione. I problemi riscontrati dal DPA sono l’uso del GPS e le procedure inadeguate a garantire l’anonimizzazione dei dati e la aggregazione degli stessi.
In alcuni Paesi, invece, l’app di contact tracing è stata effettivamente utilizzata per tracciare i cittadini. Amnesty International ha analizzato le app di contact tracing di diversi Paesi: Algeria, Bahrain, Francia, Islanda, Israele, Kuwait, Libano, Norvegia, Qatar, Tunisia e Emirati Arabi, riscontrando allarmanti problemi per tre di questi.
Le app del Bahrain e del Kuwait comunicano al governo in tempo reale la posizione dei loro cittadini.
Mentre“EHTERAZ”, l’app del Qatar, può attivare la localizzazione di cittadini specifici.
La Korea del Sud ha, invece, perseguito una strada molto più sfrontata. Innazitutto il governo ha incrociato i dati di molti strumenti di sorveglianza, quali sistemi di video-sorveglianza pubblici e privati, dispositivi mobili, carte di credito, pedaggi autostradali e bancomat. Per fare questo, il Governo ha sopeso la legge sulla privacy. Prima di scandalizzarsi, bisogna notare che questo Paese ha vivido il ricordo di un’altra epidemia: la MERS.
Per finire, un altro tema riguarda la reale efficacia di un’app di tracciamento dei contatti. Il timore è che disporre di un’app di contact tracing possa dare la sensazione di avere tutto ciò che serve per fare il tracciamento e quindi di non aver poi bisogno degli operatori, pratica che è invece fortemente raccomandata da molti epidemiologi.
In fin dei conti l’Italia con l’app Immuni ha:
- dato garanzia di trasparenza, rendendo il codice open source ;
- implementato il protocollo Dp-3T, che garantisce l’anonimato e la decentralizzazione dei dati di contatto
- rinunciato a rilevare la localizzazione dei contatti tramite GPS.
Rimane, certo, la questione sull’utilità dell’app nel tracciamento dei positivi ed il problema dei falsi positivi che possono essere generati dal BLE. Ma a queste domande potremo dare risposta solo tra un po’ di tempo.
