Immuni, l’app di Bending Spoons per iOS e Android scelta dal Governo italiano per il tracciamento automatico (contact tracing) dei soggetti risultati positivi al coronavirus, è disponibile dal primo giugno sugli store, quando è arrivato anche il via libera del Garante Privacy, e dal 15 giugno operativa su tutto il territorio nazionale fino al 31 dicembre 2021 (data prorogata di un anno con il decreto legge sull’emergenza covid, di ottobre).
Vediamo quindi come scaricare l’app – il download è gratis e su base volontaria, disponibile a tutti gli italiani (dopo qualche giorno di sperimentazione in Puglia, Marche, Abruzzo e Liguria) – e quali sono le caratteristiche della soluzione, anche con un confronto con i sistemi di tracciamento dei contatti adottati in altri Paesi.
App Covid-19 Immuni, cos’è, come funziona e dove trovarla
Ecco il link diretto di download di immuni su iOS e Android
L’app Immuni serve, su cellulari iPhone e Android, per sapere se si è stati a contatto rischioso (ossia per sufficiente tempo e a poca distanza) con un soggetto poi risultato positivo al coronavirus.
L’app ci avvisa in tal senso con una notifica. Ci dice di isolarci e poi ci chiede di contattare il medico curante; l’asl competente a quel punto di controllerà, monitorerà i sintomi ed eventualmente disporrà il tampone.
L’app insomma, con la collaborazione dell’utente, permette all’autorità sanitaria di monitorare questo possibile contagio.
La motivazione di fare un’app di questo tipo e la conseguente scelta di Bending Spoons e dell’app Immuni (sviluppata in partnership con Centro Medico Santagostino) poggia su tre considerazioni ufficiali, ovvero:
- le app, ossia il tracciamento automatico, come indicato dall’organizzazione mondiale della Sanità, possono contribuire tempestivamente all’azione di contrasto del virus;
- garanzie per il rispetto della privacy.
Come scaricare l’app Immuni (gratis) e quando
L’app può essere scaricata, su base volontaria e gratis, dal play store Android e dall’Apple store per dispositivi iOS (il download non sarà quindi disponibile, almeno inizialmente, su Windows Phone, su feature phone e su telefoni Android sprovvisti del play store e su iPhone precedenti al 6S del 2015); oppure sul sito ufficiale www.immuni.italia.it.
Dopo tanti rinvii – prima si parlava di maggio – l’app è disponibile dal primo giugno.
Nelle prime 24 ore l’app è stata scaricata da mezzo milione di utenti. Può sembrare un buon risultato in senso assoluto, ma relativamente agli obiettivi (alcune decine di milioni di utenti, per essere efficace) è solo l’inizio.
Su quali smartphone funziona e su quali no (iPhone, Samsung, Huawei…)
L’app richiede la presenza almeno di Android 6 o iOs 13.5. Significa che sono esclusi i modelli come l’iPhone 6 e precedenti o Android precedenti al 2015. Niente Immuni quindi per esempio su Samsung Galaxy S4, S3 e LG G2, per citare alcuni modelli famosi.
In un primo momento inoltre sono stati esclusi i modelli Huawei, soprattutto quelli usciti dopo il 16 maggio 2019, data del bando americano contro l’azienda cinese (da cui è derivato l’assenza del Play Store Google su quei modelli); e poi è emerso un problema di funzionalità anche su precedenti modelli Huawei che ha reso non disponibile l’app per loro.
Da giugno questo secondo problema è risolto. È possibile quindi usare Immuni sui modelli Huawei non recenti (purché almeno Android 6). Per i modelli Huawei senza Google, quindi i più recenti, bisognerà aspettare ancora; forse l’azienda cinese darà la compatibilità Immuni sul proprio store.
Il numero verde numero verde gratuito 800-912491 per Immuni
Da fine luglio è attivo il numero verde da chiamare per ricevere assistenza o supporto: 800-912491. Con una diversa scelta iniziale (digitare 1 o 2) si rivolge a cittadini o operatori sanitari. Il servizio è attivo dal lunedì alla domenica e dalle 7:00 alle 22:00. A una nostra prova, la risposta è stata immediata, senza attese.
Che deve fare l’utente Immuni dopo aver scoperto di essere positivo
Dal 21 dicembre il call center consente anche, in alternativa al rivolgersi all’asl competente, agli utenti Immuni positivi al covid di far caricare il proprio codice per far partire l’alert ai contatti stretti.
L’utente deve fornire il CUN (Codice Unico Nazionale) che attesta la positività, il numero di Tessera Sanitaria, attraverso cui verrà verificata la sua identità, e infine, il codice monouso che si trova nella sezione della app “segnala positività.
Da aprile 2021 la nuova versione di Immuni permette all’utente di fare tutto questo direttamente nell’app.
App immuni, quanti download finora?
Ad aprile 2020 risultano circa 10 milioni di download fatti (dato statico da dicembre), dell’app Immuni (dalla dashboard del ministero della Salute sul sito Immuni), pari al 24% della popolazione che avrebbe potuto installarla (dotata degli smartphone adatti) e al 16 per cento della popolazione totale sopra i 14 anni.
È un balzo rispetto ai 5,4 milioni dei primi di settembre, dovuto alla riapertura delle scuole. La settimana del 3-10 ottobre sono stati 1,4 milioni i download. Dal 10 al 12 mezzo milione. 700mila quella successiva. Ora siamo calati sui 200 mila circa a settimana.
Solo nelle 48 ore del 3-4 ottobre, con il ritorno del picco di contagi, ci sono stati 350mila download. Nei mesi estivi l’aumento medio si teneva sui 100-200 mila a settimana.
Quanti utenti attivi effettivi su Immuni
Non si può sapere di preciso quanti l’abbiano ancora attiva e quanti l’abbiano disinstallata dopo il download. Il Governo dice ad Agendadigitale.eu di non avere questo dato; il ministero della Salute l’ha confermato a un Foia di Wired.it ma dato almeno il numero di utenti attivi su Android a metà ottobre; visto che i download di quelli iPhone sono circa un 30% del totale si può immaginare che a fine ottobre ci sono circa 7,5 milioni di utenti Immuni attivi.
Arcuri ha sottolineato a luglio che i numeri sono inferiori alle attese ma bisogna continuare a spingere, in vista dell’utilità dell’app in autunno.
Immuni flop o efficace? Ecco i numeri su notifiche e focolai bloccati
Dal 1 giugno al 30 ottobre ci sono stati 2263 utenti positivi che avevano Immuni e hanno caricato le loro chiavi nel backend per avvisare i propri contatti a rischio (21 a giugno, 38 a luglio e 96 in agosto; 168 in totale a settembre; erano 338 ancora al 2 ottobre e 477 al 10 ottobre; 899 al 18 ottobre, 1202 al 22 ottobre, 1637 al 27 ottobre).
Le notifiche le registrano solo dal 13 luglio e finora (al 30 ottobre) ce ne sono state 61mila (8300 al 10 ottobre, 5329 al 2 ottobre, 10mila al 12 ottobre, 25,5 mila al 22 ottobre, 41,4 mila al 30 ottobre), di cui 1109 nei primi 10 giorni di scuola.
Riporta il sito di Immuni che la rilevazione delle notifiche “è parziale poiché solamente un terzo dei devices Android utilizza la tecnologia di hardware attestation, condizione necessaria affinché i dati vengano registrati dal server”.
Al 22 ottobre erano 60 casi che si sono scoperti positivi dopo aver ricevuto la notifica di alert da Immuni, essendo stati contatti stretti di altro utente positivo che aveva Immuni. Si noti che ad oggi il dato non risulta nel grafico del sito ma solo nel suo codice sorgente (e dal 27 ottobre è nascosto anche qui).
Erano 60, al 22 ottobre (ultimo dato disponibile), insomma i potenziali focolai contenuti grazie a Immuni. Al 5 ottobre erano 13.
Utile vedere la progressione. Al 24 agosto erano quattro i casi positivi avevano già ricevuto la notifica di alert da Immuni essendo stati contatti stretti di altro utente positivo che aveva Immuni. Quattro focolai bloccati quindi grazie a Immuni da giugno al 24 agosto. Un numero raddoppiato rispetto al 3 agosto, quando i focolai erano solo 2. Erano otto al 10 settembre, 10 al 24 settembre.
Per un confronto: al 24 luglio, aveva detto la ministra dell’innovazione al Senato, erano invece 23 i cittadini che hanno ricevuto un alert di rischio contagio su Immuni e sono 46 gli utenti positivi che, avendo Immuni, hanno dato l’ok per diramare l’alert ad altri utenti con cui sono stati in contatto ravvicinato.
Ciò detto, si può dire che sia efficace o no l’app?
Qui ci sono due scuole di pensiero: da una parte chi – soprattutto fonti istituzionali – che dicono i numeri sono già prova di efficacia, per quanto ancora ridotta e che la validità dell’app si vedrà a pieno titolo quando e se avremo una recrudescenza della pandemia e di conseguenza un possibile picco dei download.
I detrattori (tra cui spicca il nome dell’avvocato Andrea Lisi), dall’altra, invece ritengono che l’app non decollerà mai perché i cittadini sono scettici sulla sua efficacia (soprattutto in rapporto alla gestione sanitaria post notifica) e sulle tutele complessive associate al sistema di tracking.
La letteratura scientifica al momento non è giunta a prove conclusive di efficacia, ma comincia a orientarsi sulla tesi che ci può essere una certa efficacia, anche se a certe condizioni (un coordinamento con il tracking manuale, testing, treatment).
Quanti devono usare l’app perché questa sia efficace?
Il target di utilizzo minimo non è chiaro; non ci sono evidenze sufficienti a riguardo. Gli studi (si veda Oxford University di aprile) dicono che sarebbe ideale almeno il 60% della popolazione; ma aggiungono che anche quote inferiori possono essere utili per limitare il contagio e salvare vite umane.
Soprattutto ci sarà efficacia se si riuscirà a raggiungere un buon livello concentrato nelle zone più a rischio e a maggiore densità della popolazione (come sostenuto dal professore dell’università di Pavia Stefano De Nicolai, anche membro della task force del ministero su Immuni).
Uno studio Oxford-Google di agosto (per ora in pre-print quindi meno rilevante) sostiene che anche a bassi livelli di adozione l’app è efficace. Stima che con un’adozione del 15% sulla popolazione c’è un calo fino al 15% dei contagi e fino all’11.8% dei decessi. Se l’adozione sale al 75% della popolazione la riduzione è rispettivamente dell’81% e del 75%.
A Chieti il primo caso italiano di efficacia dimostrata anti covid-19
Il 19 luglio una persona di Chieti contagiata dal coronavirus, avendo Immuni, ha reso possibile che arrivasse l’avviso di rischio contagio, via notifica app, a tutte le persone con cui era stato a contatto stretto.
Si tratta del primo caso ufficialmente riconosciuto, in Italia, in cui l’app ha permesso di lanciare un allarme utile a limitare il contagio.
Immuni e il sistema sanitario, un rapporto difficile
Diversi elementi dimostrano che il problema principale di Immuni non è né la bassa adozione né la funzionalità tecnica, ma la scarsa integrazione con il mondo sanitario. Ossia con tutto ciò che c’è intorno all’app.
Regioni, asl e ats che penalizzano Immuni
A metà ottobre è scoppiato il caso: la Regione Veneto che ancora non aveva la piattaforma attiva e quindi positivi che in Veneto hanno immuni non potevano caricare i propri codici temporanei per consentire l’allerta dei contatti stretti tramite notifica app. Vari dirigenti sanitari che dicono di non credere all’app. Il numero troppo basso registrato di positivi con app, rispetto ai download, fa inoltre pensare che in effetti alcuni degli utenti positivi non si “registra”, ossia non comunica i propri codici. Per resistenza propria o dell’asl competente.
Accuse certificate dal sottosegretario alla Salute Sandra Zampa, che ha parlato a La7 di “delitto politico” contro l’app, imputandolo a leader del centrodestra, governatori anche di sinistra.
Ancora a ottobre ci sono stati casi in cui un utente positivo con Immuni si è visto rispondere dall’Asl che questa non sapeva che farne (lo riporta il politico ligure Ferruccio Sansa). O utenti che hanno avuto dalle asl informazioni contraddittorie sui tempi di quarantena o per i tamponi.
Le linee guida del ministero della Salute, non sono seguite in modo uniforme, quindi.
Restano ancora valide insomma le conclusioni a quest’articolo, scritte (nella sua versione originaria) a marzo 2020: il punto debole del sistema, e che rischia di indebolirne l’efficacia, è nelle attività sanitarie a corredo della tecnologia di tracking.
Per rispondere a questi problemi, il decreto ha istituito un call center nazionale con il decreto Ristori di ottobre, a cui gli utenti Immuni potranno rivolgersi dopo la notifica, per avere assistenza, e dopo la notizia di positività, per il caricamento dati.
Immuni penalizzata da Asl e Regioni, spia di un male profondo delle nostre democrazie
Decreto 18 ottobre: Immuni obbligatoria per le Asl/Ats/Usl
Come detto, il Governo con il Dpcm 18 ottobre obbliga l’operatore «sanitario del Dipartimento di prevenzione della azienda sanitaria locale, accedendo al sistema centrale di Immuni», a «caricare il codice chiave in presenza di un caso di positività». Insomma, come già previsto dal ministero della Salute del 29 maggio, il decreto impone il caricamento nel sistema di tutti i codici temporanei generati dall’app di chi scopre di essere positivo. La norma chiarisce che deve occuparsene l’operatore sanitario del Dipartimento di prevenzione delle Asl, Ats o Usl.
Istituito il call center nazionale covid 19 e per Immuni
Inoltre, con il decreto Ristori di ottobre, “un servizio nazionale di supporto telefonico e telematico alle persone risultate positive al virus SARS-Cov-2, che hanno avuto contatti stretti o casuali con soggetti risultati positivi o che hanno ricevuto una notifica di allerta attraverso l’applicazione ‘Immuni’”, si legge in decreto. Soggetti “i cui dati sono resi accessibili per caricare il codice chiave in presenza di un caso di positività. A tal fine i dati relativi ai casi diagnosticati di positività al virus SARS-Cov-2 sono resi disponibili al predetto servizio nazionale, anche attraverso il Sistema Tessera Sanitaria ovvero tramite sistemi di interoperabilità”.
Il ministro può scegliere – si legge – se delegare la disciplina dell’organizzazione e del funzionamento del servizio al commissario straordinario per l’emergenza di cui all’art. 122 del decreto-legge 17 marzo 2020, n. 18 oppure provvedervi con proprio decreto.
Agli oneri derivanti dall’attuazione del presente articolo, nel limite massimo di 1.000.000 di euro per l’anno 2020 e 3.000.000 di euro per l’anno 2021 si provvede mediante utilizzo delle risorse assegnate per i medesimi anni al Commissario straordinario di cui all’articolo 122 del decreto-legge 17 marzo 2020, n. 18 con delibera del Consiglio dei Ministri a valere sul Fondo emergenze nazionali di cui all’articolo 44 del decreto legislativo 2 gennaio 2018, n. 1.
I bug di Immuni
Immuni è stata anche penalizzata da diversi bug.
Immuni non funziona su alcuni iPhone non permettendo di attivare le notifiche di esposizione
A ottobre scoperto un bug che non permette agli utenti di attivare le notifiche di esposizione su alcuni iPhone, dopo l’aggiornamento alla versione iOS 14.1. La relativa pagina nelle impostazioni appare vuota. L’app quindi non funziona, di fatto. Non è ancora chiaro in quali circostanze scatti il bug e su quanti iPhone. Apple sta investigando la materia per trovare una soluzione.
Il bug che blocca la notifica su iPhone
Un altro bug blocca invece l’arrivo della notifica su alcuni iPhone. Risultato, l’utente si accorge di averla ricevuta e quindi di essere stato a contatto a rischio solo se apre per caso l’app.
Apple sta cercando una soluzione anche a questo.
Su alcuni modelli Android Immuni si disattiva
Alcuni modelli Android – tendenzialmente i nuovi – disabilitano applicazioni poco usate. Motivo per cui il team di Immuni coniglia di aprire l’app una volta al giorno (pena il rischio di non riceverne le notifiche).
Non è un bug, è una feature; ma i tecnici lavorano con Google per trovare un modo per aggirare questa caratteristica del sistema.
Il bug Android che impedisce all’app Immuni di fare i controlli di esposizione
A settembre è stato scoperto un bug – che viene risolto dalla versione 1.4.0 – a causa del quale su alcuni modelli e versioni Android l’app non fa più regolari controlli di esposizione. Nel caso di un modello usato dalla redazione di Agendadigitale.eu, ci sono stati 11 giorni di buco dal 31 agosto.
Gli utenti dovrebbero controllare nelle impostazioni, alla voce “Controlli di esposizione” per vedere se ci sono stati giorni di buco. E accertarsi di aggiornare alla versione 1.4.0 non appena possibile.
Le protezioni privacy di Immuni impediscono ai gestori di sapere quanti e quali modelli sono impattati.
Anche i medici di famiglia consigliano l’app immuni
Da luglio scendono in campo anche i medici di famiglia, come annunciato dalla Federazione dei Medici di Medicina Generale: consiglieranno l’app Immuni ai propri pazienti, anche con manifesti illustrativi nelle sale d’aspetto.
Così la federazione riconosce pubblicamente il valore di Immuni come strumento di contrasto all’epidemia e utile per la salvaguardia dei pazienti degli stessi medici. È la prima volta che i medici ufficialmente consigliano un’app per la salute.
Le caratteristiche tecnico-pratiche dell’app Immuni
Venendo alle caratteristiche dell’app Immuni, questa si fonda, come le soluzioni di Singapore, Apple e Google, sulla tecnologia Bluetooth Low Energy (BLE) e mantiene i dati dell’utente sul proprio dispositivo, assegnandogli un ID temporaneo, che varia spesso e viene scambiato tramite Bluetooth con i dispositivi vicini. Il Governo per ora ha espunto la parte dell’app destinata ad ospitare una sorta di “diario clinico” in cui l’utente avrebbe potuto annotare tempo per tempo dati relativi alle proprie condizioni di salute, come la presenza di sintomi compatibili con il virus.
Come avviene il tracciamento coronavirus e le tutele privacy con l’attuale app Immuni
- I cellulari conservano in memoria i dati di altri cellulari con cui sono entrati in contatto via bluetooth (in forma di codici anonimi crittografati). Associati a questi codici ci sono dei metadati (durata dell'”incontro” tra i dispositivi, forza del segnale percepito) che entrano in gioco nella valutazione (valutazione che viene fatta direttamente in locale sul singolo device) del “rischio contagio”.
- Quando uno dei soggetti che ha scaricato l’app risulta positivo al virus, gli operatori sanitari gli forniscono un codice di autorizzazione con il quale questi può scaricare su un server ministeriale il proprio codice anonimo (questo avviene nel modello decentralizzato che sarà la versione definitiva di Immuni. In quello precedente, usato finora nelle beta dell’app, il paziente carica la lista dei codici con cui è stato in contatto nei giorni precedenti).
- I cellulari con l’app prendono a intervalli regolari dal server i codici dei contagiati (nel modello precedente ricevono direttamente dal server la eventuale notifica di essere un “soggetto a rischio”).
- Se l’app riconosce tra i codici nella propria memoria un codice di un contagiato, visualizza la notifica all’utente (nel modello precedente, visualizza la notifica su impulso del server, come sopra accennato).
La trasmissione dei dati è cifrata e firmata digitalmente per garantire la massima sicurezza e riservatezza in questa fase di “uscita” del dato dallo smartphone del singolo utente. Questo avviene stando allo standard del progetto PEPP-PT e anche di altri utilizzabili da queste app in Occidente, compreso il DP-3T.
Il Governo ha fatto sapere che il nostro server è un’infrastruttura pubblica italiana, gestita da Sogei, con una piattaforma software gestita dal ministero della Salute.
L’indice di rischio, durata e distanza del contatto
Nel modello decentralizzato il livello di rischio è calcolato dal dispositivo (dal framework Apple-Google, per l’esattezza); nell’altro modello, dal server. In entrambi i casi, a ogni contatto viene associato un indice di rischio calcolato in base a parametri come la distanza (che è sempre approssimativa e dipende statisticamente dalla potenza del segnale rilevato) e dal tempo di contatto.
Ogni Paese stabilisce i parametri da cui derivare se il contatto è stato a rischio oppure no; l’Italia (ministero della Salute) ha stabilito i parametri di rischio, per fare scattare l’avviso, di:
- oltre 15 minuti di contatto
- a meno di due metri
La notifica all’utente dell’app Immuni
Se l’indice di rischio supera una soglia predefinita e il contatto è avvenuto con un soggetto poi risultato positivo al virus, l’app mostrerà all’utente un messaggio di allerta “sulla possibile esposizione al contagio”.
Si tratta della “notifica di esposizione” e compare in questo formato: “Il giorno TOT sei stato vicino a un caso COVID-19 positivo”.
Si dice quindi anche quando è avvenuto il contatto (elemento che, sebbene possa consentire in certa misura al soggetto notificato di “risalire” al contatto, è necessario per permettere al notificato di valutare i profili di rischio e per quanto tempo sarà opportuno prendere precauzioni).
Che contiene il messaggio di notifica? “Il messaggio invita quindi l’utente ad adottare alcune regole di comportamento, nonché a contattare il proprio medico di medicina generale/pediatra di libera scelta, che a sua volta provvederà a contattare il Dipartimento di prevenzione della Azienda sanitaria locale territorialmente competente”.
Che succede dopo la notifica di rischio contagio
Il numero verde di Immuni ci conferma che le procedure cambiano da regione a regione e a volte da asl ad asl. Ma ci sono alcuni elementi fissi. L’utente deve contattare il medico, che contatterà l’asl competente, e restare in isolamento per 14 giorni calcolati dal giorno di contatto segnato in notifica (oppure bastano 10 giorni e tampone).
Dovrebbe ricevere il tampone in caso di comparsa di sintomi.
Che succede se un utente positivo ha l’app Immuni
Secondo le linee guida del ministero e un decreto del Governo di ottobre, l’Asl/Ats/Usl dovrebbe chiedere a tutti i positivi rilevati se questi hanno Immuni e nel caso inserire i loro codici temporanei nel sistema.
Funziona così:
- Il paziente genera tramite la propria app un codice OTP (one time password) e lo comunica all’operatore sanitario
- L’operatore inserisce il codice OTP ricevuto nel sistema tessera sanitaria
- Terminata la procedura da parte dell’operatore, il paziente conferma sulla propria app il caricamento dei propri codici (quelli che rappresentano il suo smartphone nella connessione bluetooth con altri dispositivi) nel sistema di gestione di Immuni.
- In questo modo può partire la notifica a tutti gli utenti che ritrovano in memoria quei codici.
Dal 21 dicembre in un numero crescente di regioni è possibile fare tutto questo tramite il call center di Immuni.
La notifica “zero contatti”
Da agosto, per ora solo su iPhone ma a breve anche su Android, appare anche una notifica settimanale che dice “questa settimana il dispositivo ha identificato 0 potenziali esposizioni e le ha condivise con Immuni”. L’app prima avvisava solo se c’era stato un contatto a rischio, insomma. Se non si faceva viva significava semplicemente “tutto bene”.
Adesso invece avvisa anche se non c’è stato nessun contatto, tramite questo rapporto settimanale.
Una novità che ha soprattutto lo scopo di tranquillizzare l’utente, fidelizzandolo all’app, grazie a una maggiore trasparenza.
“Servizio non attivo”, quando Immuni non funziona: apriamo l’app ogni 24 ore
Immuni, nelle istruzioni presenti nella stessa app, consiglia di aprirla una volta al giorno. Può capitare, altrimenti, di trovare la scritta “servizio non attivo” all’apertura dell’app e dovremo cliccare per riattivarlo.
Il motivo è che alcuni modelli Android (non specificati) bloccano le notifiche se l’app resta chiusa per qualche giorno. L’app continuerà a tracciare i contatti ma non avviserà in caso di rischio contagio, quindi.
Il team di Immuni sta lavorando con i produttori per risolvere il problema.
Forse è questa la causa principale per cui alcuni utenti hanno riportato di non aver ricevuto alcuna notifica pur essendo stati a stretto contatto con un positivo. Le cronache riportano il caso di due amiche bresciane, ad agosto.
Un’altra spiegazione sono invece i limiti intrinseci della tecnologia bluetooth, che comporta un certo tasso di errore nello stimare la distanza tra i contatti (e sarà sempre più precisa più aumenta l’uso dell’app e il numero di utenti). Per i dettagli sul funzionamento si veda qui sotto.
Come si presenta l’interfaccia di Immuni
App Immuni funziona all’estero e con app estere? Sì in alcuni Paesi europei
Al momento il tracciamento funziona solo tra utenti che hanno la stessa app covid-19, diversa per i diversi Paesi europei. Se siamo stati in contatto con un paziente coronavirus dotato solo di un’app covid-19 di un altro Paese, non saremo avvisati. Ne risulta un “falso negativo” che facilita tra l’altro il contagio di ritorno tra Paesi.
All’estero non funzionano inoltre affatto le notifiche Immuni su iOS. I pazienti contagiati dal covid possono caricare le chiavi solo quando sono nel proprio Paese.
Dal 18 ottobre si avvia una prima interoperabilità, a cominciare dalle app dell’Italia, Germania e Irlanda del Nord.
A metà giugno gli Stati membri dell’UE e la Commissione ue hanno infatti raggiunto un accordo di interoperabilità, che permetterà il sistema all’estero e tra utenti di app di diversi Paesi. I tempi di completamento finale non sono ancora noti. Comunque funzionerà solo tra app che seguono lo stesso modello, Apple-Google.
Il tutto funziona grazie a un servizio di gateway della Commissione ue, ossia un’interfaccia per la ricezione e la trasmissione delle informazioni inviate dalle app di tracciamento nazionali. Questo servizio, nelle intenzioni della Commissione, permetterà di ridurre al minimo la quantità di dati scambiati.
Gli stati membri hanno inoltre concordato delle specifiche tecniche, basate appunto sul framework Apple-Google. I server che comunicheranno fra loro si interfacceranno sulla base di “codici nazione”, ma non è detto che il sistema, quando sarà a regime, comunicherà da quale paese è arrivata la notifica.
I paesi europei con app covid-19 come Immuni
I Paesi dotati con app tipo Immuni in Europa (basata ossia su framework Apple-Google) sono ad oggi Austria, Croazia, Danimarca, Estonia, Germania, Irlanda, Italia, Lettonia, Malta, Olanda, Spagna, Polonia, Portogallo, Repubblica ceca, Svizzera; Belgio, Cipro e Lituania sono in arrivo.
Al momento solo la Germania e il Regno Unito hanno avuto più download di noi.
Mettiamo qui anche Francia che continua a usare il modello centralizzato BERT, con un successo davvero limitato.
Paese | Nome App | Download |
Italia | Immuni | 7 milioni |
Regno Unito | Nhs Covid-19 | 12 milioni |
Germania | Corona Warn | 18,8 milioni |
Francia | StopCovid | 3 milioni |
Spagna | RadarCovid | 4,5 milioni |
Dati 4 ottobre. Fonte: dati governativi comunicati alla stampa.
Agendadigitale.eu
Dati epidemiologici e grafo sociale dei contatti
L’app Immuni può consentire anche un certo livello di analisi epidemiologica su big data aggregati. Al primo accesso chiederà all’utente di inserire la propria provincia, dato che poi potrebbe condividere con gli operatori sanitari una volta rilevatosi positivo. Il dato aggregato delle provincie e del numero di notifiche arrivate sui server potrà servire agli operatori sanitari di costruire mappe dei contagi e predisporre in modo più concertato le misure di testing e trattamento (ad esempio potenziamento delle terapie intensive nei luoghi dove c’è un boom di notifiche).
Il ministero scrive che l’utente potrà inviare al server “alcuni altri dati (oltre al codice temporaneo, ndr.) rilevanti per gli epidemiologi (quali la durata dei tuoi eventuali contatti con un utente contagioso) nel caso in cui un esame rivelasse che hai il COVID-19. In quel caso la scelta se inviare o meno questi dati sarà comunque tua”.
Ancora non è chiaro se il diario della salute (ovvero quella parte dell’app Immuni che non è stata ancora attivata e che dovrebbe raccogliere una sorta di diario clinico del soggetto che ha scaricato l’app) verrà in qualche modo usato per questi scopi in futuro.
Ancora non chiaro se il diario della salute verrà in qualche modo usato per questi scopi in futuro.
I sostenitori del modello centralizzato ne esaltano i vantaggi in termini di informazioni che dal server possono essere disponibili per epidemiologici e servizio sanitario, per ricostruire ad esempio un grafo sociale dei contagi. Ma come si vede anche il modello decentralizzato dichiara di abilitare questa funzione: le relative app – si legge nel documento di Dp-3T – dovrebbero dare la possibilità (volontaria) all’utente di condividere i dati in memoria del cellulare con epidemiologi e gruppi di ricerca, così da ricostruire il grafo delle interazioni tra i contagiati e gli utenti a rischio. L’informazione più importante è scoprire in quale fase dell’infezione è avvenuto il contatto. Ovviamente i dati sarebbero usati in forma anonima e aggregata.
App Immuni obbligatoria? No, per ora. Ma Il Governo ci sta pensando
A ottobre, con la seconda ondata del Covid, il premier Conte sta valutando se rendere l’app obbligatoria, ma il Garante Privacy ha di nuovo dato parere opposto.
Il ministero della Salute ad aprile aveva escluso che ci potessero essere forme di imposizione di fatto dell’app, obbligandone l’uso per poter superare le limitazioni di mobilità della fase 2.
Questo rispondendo a un’alzata di scudi di varie forze politiche alla notizia che la commissione tecnico-scientifica del governo sul coronavirus stava appunto per formalizzare una proposta per rendere l’app quasi obbligatoria, di fatto.
La leva ipotizzata all’epoca era renderla condizione necessaria per poter fruire dei vantaggi di mobilità della fase 2 e abbinandola all’autocertificazione coronavirus. Un’ipotesi – con la collaborazione di Domenico Arcuri e della task force di Vittorio Colao – che avrebbe potuto formalizzare nei prossimi giorni, ma poi smentita. In quella fase e ancora a ottobre, figure di spicco nell’emergenza sanitaria come Walter Ricciardi suggerivano di dare agli utenti Immuni un canale preferenziale per l’accesso ai tamponi.
Sono ancora possibili incentivi – suggeriti già ad aprile – al download dell’app, per esempio la partecipazione a una lotteria ad hoc.
La soluzione è in linea con le raccomandazioni del gruppo di lavoro che si è occupato di valutare i profili giuridici dell’applicativo di contact tracing, che ha caldamente sconsigliato sia di rendere obbligatoria la sua installazione, sia di attuare forme di incentivo che limitino l’accesso dei cittadini a servizi altrimenti fruibili secondo principi di parità di trattamento o che vincolino l’esercizio di diritti di libertà all’adozione dell’app (tali obblighi, dichiarati o mascherati da incentivi, sarebbero infatti incostituzionali).
Stessa opinione espressa nella raccomandazione del Parlamento Europeo di aprile.
Sempre il gruppo di lavoro che ha indagato sui profili giuridici del contact tracing suggeriva però di introdurre forme di “incentivazione dolce” all’installazione dell’app (ad esempio appunto una lotteria), unitamente ad una campagna di sensibilizzazione, caratterizzata da slogan del tipo: “Oggi salvo vite umane, oggi salvo la mia vita, installo Immuni”.
Un’app dal codice open source
Nota positiva dell’approccio italiano, che ci si augura verrà condivisa negli altri stati membri dell’Unione, è poi l’impegno da parte del Ministero per l’innovazione tecnologica e la digitalizzazione a rendere il codice dell’applicazione open source e quindi utilizzabile da altri governi nella lotta contro il virus e studiabile e revisionabile da chiunque vi abbia interesse, impegno che trova conferma nell’ordinanza del 16 aprile per la contrattualizzazione di Bending Spoons, dove si fa esplicito riferimento al fatto che la società, per spirito di solidarietà, si è resa disponibile a concedere licenza d’uso aperta, gratuita e perpetua al Commissario e alla Presidenza del Consiglio dei Ministri.
Ecco il codice di App Immuni su GitHub
Disponibile dal 25 maggio su GitHub il Codice di App Immuni. Il ministero sul proprio sito aveva promesso che il codice sorgente sarebbe stato pubblicato su GitHub e scaricabile dopo i test.
Il codice reso disponibile per primo è quello relativo alla parte “front-end” dell’applicazione, ovvero quella che potrà essere scaricata sui nostri smartphone, mentre qualche giorno dopo è arrivata anche la parte più corposa del codice ovvero quella che gestirà il “back-end” della piattaforma, su server SOGEI.
Licenza Agpl
La licenza scelta alla fine per il codice dell’app è la GNU Affero General Public License o GNU Agpl. Un cambio di rotta, a ulteriore garanzia del carattere pubblico del codice e apprezzato dagli esperti, rispetto alla prima scelta, che era Mpl 2.0 (Mozilla Public License).
L’app Immuni è cambiata adottando un modello decentralizzato – con le Api di Google e Apple
Gli sviluppatori di Immuni, d’accordo con il ministero dell’innovazione, hanno deciso di cambiare in corso d’opera il modello di funzionamento, per aumentare la privacy, la sicurezza dei dati e andare incontro alle richieste di Google-Apple (non soddisfarle avrebbe per altro messo a rischio il buon funzionamento complessivo dell’app). Si seguono le idee del progetto Decentralised Privacy-Preserving Proximity Tracing (DP-3T) che si è separato da Pepp-Pt perseguendo un modello più decentralizzato.
La differenza principale rispetto alla precedente Immuni e a Pepp-Pt è che la crittografia-generazione delle chiavi avviene direttamente sui dispositivi utente (invece che su server).
Così, ogni volta che due cellulari si “incontrano” (ovvero rimangono ad una certa distanza per un certo tempo, due parametri che dovranno definire le autorità sanitarie), si scambiano il proprio identificativo anonimo generato localmente con crittografia. Quindi il cellulare dotato di app porta con sé soltanto una lista di numeri (privi di qualsiasi elemento identificativo della persona).
Il server si limita a diramare la lista dei codici anonimi dei contagiati. Non c’è quindi più un server che contenga sia i codici dei cellulari sia le chiavi crittografiche. Viene così meno una possibilità di re-identificare i soggetti. Solo chi riceve la notifica sa di esserlo stato, di conseguenza.
Si noti che l’app seconda arrivata in Italia, Coronavirus Outbreak Control, segue al contrario un modello ancora più centralizzato su server (che in questo caso conterrebbe i dati dei contatti, dei contagiati, le chiavi), per consentire un più ampio e profondo tracciamento dei contagiati asintomatici con un grafo sociale.
Infine, per proteggere la privacy degli utenti da attacchi informatici, gli sviluppatori dell’app hanno previsto, come riportato nella documentazione tecnica dell’app Immuni, la produzione del cosiddetto “dummy traffic“, in altre parole l’app scambia, oltre ai codici anonimi crittografati degli utenti, anche una serie di dati fasulli (che verranno poi ignorati dal sistema) così da confondere i malintenzionati (e da scongiurare possibili attacchi informatici).
Apple e Google, lavori in corso sul bluetooth e l’aggiornamento dei sistemi
Come detto, non è solo una questione di privacy. Aderire al framework Apple-Google può ridurre anche il rischio di limiti nella funzionalità.
Il problema principale: i sistemi operativi mobili limitano le applicazioni in background, possono terminare forzatamente il processo e (soprattutto su iOS) impediscono che un’app abbia il completo controllo del modulo bluetooth. Di conseguenza non avverrebbe il tracciamento, a meno che l’app non sia sempre in primo piano (come hanno fatto a Singapore).
Il problema è aggravato quando a voler comunicare sono due cellulari di sistemi diversi (difetto di interoperabilità). Gli sviluppatori, nella prima versione dell’app (pre Apple-Google) avevano implementato un workaround per aggirare il problema (come gli sviluppatori di altre app simili).
Le API che sono state rilasciate da Google e Apple permettono però per la prima volta di risolvere a monte il problema. Le API sono interfacce di programmazione app che, in questo caso, consentono finalmente l’accesso alle funzioni bluetooth degli smartphone Android e iPhone.
Lo scopo è risolvere le citate criticità nel funzionamento delle app in background e l’attuale alto rischio di falsi negativi dovuti al fatto che mai prima d’ora il bluetooth era stato usato per un tracking (ma solo per una comunicazione fra due device).
Per lo stesso motivo, Apple, Google e gli sviluppatori di app ora lavorano per ridurre il rischio di falsi positivi. Sfruttando le api di Apple e Google, gli sviluppatori possono infatti calibrare meglio l’algoritmo di rilevazione della distanza intervenendo sulla potenza del segnale bluetooth e sui tempi di esposizione. Senza api non possono modificare questi parametri.
Le app che non seguono il modello decentralizzato – come ad oggi quelle di Francia e Australia – ma ancora il centralizzato non avendo accesso alle API non potrebbero fruire dei relativi vantaggi.
Questo sta creando dei seri grattacapi sia al NHS britannico, che dice di aver trovato una soluzione che funziona “abbastanza bene” per aggirare i limiti dei software dei nostri smartphone e rendere efficiente il modello centralizzato, sia al governo australiano che ha rilasciato l’app COVIDsafe ma questa spesso smette di inviare segnali bluetooth non appena va in background.
Al momento l’approccio di Immuni, condiviso da altre app europee (ad esempio quelle rilasciate in Svizzera e Lettonia) e che fa leva sul framework di Apple e Google, risulta sia il più garantista dal punto di vista privacy, sia il più funzionale in quanto consente di “aggirare” i limiti previsti dai due colossi per le applicazioni installabili sui dispositivi iOS e Android. Bending Spoons ha potuto lavorare sul codice di Apple e Google dal 29 aprile scorso, quando entrambe le case hanno fornito effettivo accesso alle api e pubblicando le relative librerie a cui le app possono agganciarsi.
Niente gps e altre regole per le app (come Immuni) su framework Google-Apple
Il codice del software rilasciato dai due big conferma alcuni principi. Sono vietati altri usi dei dati memorizzati nei cellulari. Vietata quindi la pubblicati. Le app non possono chiedere accesso al gps. La geolocalizzazione deve essere abilitata dall’utente di Immuni ma è usato solo per localizzare il segnale bluetooth; il dato di posizione non è memorizzato, il gps non è usato.
Inoltre l’accesso alle api sarà permesso a una sola app per Paese.
L’aggiornamento del framework Apple/Google 31 luglio 2020
Il 31 luglio scorso Google ha ripercorso in un annuncio le principali novità del framework costruito dalla casa di Mountain View insieme ad Apple.
I colossi USA hanno introdotto alcune innovazioni per rendere più semplice ed efficiente il sistema e, in particolare:
- Le autorità nazionali ora hanno più flessibilità nel determinare quando un contatto via bluetooth registrato dal framework sia significativo di una effettiva esposizione al virus (a seconda delle evidenze mediche e dei contesti nazionali è ora possibile “regolare” le soglie oltre le quali un contatto possa essere indice di contagio o meno);
- Google ha lavorato per affinare i settaggi Bluetooth di moltissimi smartphone per consentire una più efficace registrazione dei contatti;
- Il framework ora supporta l’interoperabilità fra le app di varie nazioni;
- Google e Apple hanno poi lavorato con le autorità sanitarie di vari paesi ed hanno messo a disposizione degli sviluppatori vari strumenti (ad esempio un tool per il debug dedicato).
Alcuni di questi aspetti (come i settaggi bluetooth calibrati per i singoli smartphone) hanno comportato un lavoro soprattutto dal lato del software Google, che a differenza di Apple è installato sugli hardware più disparati di moltissimi produttori.
Sempre per gli utenti Android l’aggiornamento, che verrà completato con il lancio di Android 11, consentirà finalmente il funzionamento dell’app senza necessità del consenso per conoscere la posizione del dispositivo, consenso che finora gli utenti dell’OS di Google dovevano fornire (per semplici ragioni tecniche, non perché il sistema di tracciamento davvero accedesse alla posizione) per far funzionare Immuni e le altre app basate di tracciamento, con comprensibili incomprensioni e qualche “sospetto” da parte degli utenti meno informati.
Lo scopo di queste innovazioni è probabilmente quello di vincere le resistenze di alcuni Stati USA nell’adozione del framework, motivate anche da preoccupazioni relative all’efficienza del sistema ed alla riservatezza dei dati dei cittadini.
Come dice il proverbio, nessuno è profeta in patria, e negli Stati Uniti finora le applicazioni adottate sono molto poche, con solo 20 stati che stanno “esplorando” soluzioni basate sul framework apple-google, mentre i restanti 30 stati sono orientati verso diverse soluzioni o non hanno nemmeno preso in considerazione l’adozione di una app di contact tracing.
I due giganti del tech hanno inoltre messo a disposizione una serie di informazioni sull’app per renderla più trasparente (ad esempio è stato diffuso un modello di server centrale, che potrà fare da riferimento per lo sviluppo da parte delle autorità nazionali, il codice sorgente e i dati di progettazione della telemetria).
Infine, dal punto di vista privacy, Google ha diffuso spiegazioni più chiare sui vari presidi di sicurezza dell’app, ricordando le garanzie “built-in” nel sistema:
- l’utente decide se utilizzare il sistema di contact tracing, può spegnerlo in qualsiasi momento;
- il sistema non utilizza dati di posizione (né gps né wifi);
- l’identità dell’utente non viene condivisa dal sistema;
- possono utilizzare il framework solamente le app sviluppate dalle autorità nazionali competenti.
Exposure notification fase 2 Apple-Google: notifiche senza app installata
I due big prevedono poi anche una fase successiva in cui integrare le funzioni di tracciamento – ma loro le chiamano “exposure notification” direttamente nel sistema. Così funzionerebbe senz’app. Ma sarà certo sempre volontaria.
Per questo fine, bisognerà aspettare Apple rilasci un aggiornamento di sistema al pubblico e Google lo renda disponibile ai produttori di smartphone Android, che a loro volta devono implementarlo e distribuirlo.
La novità è una funzione integrata nel sistema già apparsa a fine agosto nella beta dell’iOS 13.7. A breve si vedrà anche con Google. In fase di aggiornamento di sistema, all’utente sarà chiesto il consenso per l’attivazione della funzione.
In sostanza, sarà direttamente il sistema a mandare le notifiche e a scaricare la lista dei codici di contatto periodicamente dal server sanitario.
In una prima fase questa funzione sarà disponibile solo nei Paesi privi di app covid-19, quindi non in Italia. Non è ancora stato previsto un lancio in Italia, ma il Governo non lo esclude, dato che la funzione potrebbe essere utile al sostegno di Immuni. Questo perché gli smartphone potrebbero raccogliere i codici di contatto senza bisogno di app; poi l’utente potrebbe installare Immuni subito dopo essere stato scoperto positivo e verrebbero comunque sfruttati quei codici per avvisare gli utenti con cui è stato in contatto (anche quelli privi di app).
In ogni caso ci vorrà tempo per quest’aggiornamento, soprattutto su Android (meno forse su quelli che hanno Android stock e quelli prodotti da Google).
Alcuni smartphone in uso non ricevono più aggiornamenti, inoltre. Infine, bisognerà che gli utenti installino gli aggiornamenti (non tutti lo fanno).
Bisognerà vedere se l’installazione dell’aggiornamento sarà più popolare rispetto al download dell’app e quindi favorire l’uso.
Immuni comunque necessaria, ecco perché
Anche con la funzione nuova di Exposure Notification attiva nel sistema, le app dedicate resteranno necessarie per poter caricare sui server sanitari la propria lista di codici se si è positivi al covid.
La privacy dell’app Immuni: una soluzione in linea con le linee guida Ue
La Commissione europea, nelle proprie linee guida sul contact tracing dell’8 aprile, oltre a precisare che la scelta tecnologica dell’Unione è quella di utilizzare soluzioni basate su Bluetooth, ha scandagliato la situazione nei vari stati membri (e membri EFTA) evidenziando che solo Cipro e Norvegia stanno vagliando soluzioni blended che sfruttano sia Bluetooth che GPS.
Essenziale, in questa fase, è appunto il coordinamento con le autorità europee, per arrivare ad una soluzione il più possibile omogenea che consentirà, quando sarà il momento, un più rapido ripristino dei movimenti di persone infra-comunitari.
L’Italia dal canto suo ha seguito le indicazioni diffuse il 9 aprile scorso dall’ECDPC (European Centre for Disease Prevention and Control) in un report tecnico dettagliato, di cui parleremo di seguito, che contiene anche una proposta di algoritmo per gestire le segnalazioni di soggetti positivi o potenziali positivi e che lo sviluppo confluisca in un progetto comune europeo.
Già nell’ordinanza firmata dal Commissario Straordinario Arcuri il 16 di aprile era contenuto il riferimento al fatto che Bending Spoons (lo sviluppatore dell’app Immuni) è stato scelto anche perché fa parte del menzionato progetto PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), il che lasciava intendere che fin da subito il governo italiano aveva preferito un approccio in linea con le istituzioni europee, anche se non va dimenticato che il progetto PEPP-PT non è un progetto istituzionale ma nasce dal raggruppamento di vari soggetti privati, sebbene la Commissione lo abbia esplicitamente menzionato tra le iniziative europee di interesse nelle proprie linee guida.
Come anticipato la scelta di un modello più decentralizzato (sul modello DP-3T) va ancora più incontro alle richieste della Commissione europea, che aveva indicato l’opportunità di seguire modelli che minimizzino l’utilizzo dei dati.
Bending Spoon non sarà titolare del trattamento dati, né potrà archiviarli o utilizzarli. Le informazioni circoleranno unicamente in Italia, e ogni procedura sarà gestita e supervisionata da soggetti pubblici.
E il Gps? Come si è arrivati a preferire Blending Spoon
All’inizio si parlava anche in Italia di soluzioni blended che uniscono ai dati BLE un tracciamento basato sulla geolocalizzazione.
Bending Spoons, lo sviluppatore della app “Immuni” scelta con ordinanza del 16 aprile dal Commissario Straordinario Arcuri, aveva inizialmente adottato proprio questo approccio “misto” salvo poi eliminare l’opzione per il GPS nel progetto presentato al Ministero, visto il clima sfavorevole verso queste soluzioni (scelta che poi si è rivelata vincente). In effetti, secondo alcune fonti di stampa, uno degli applicativi con cui l’app Immuni è stata fino all’ultimo in ballottaggio è Coronavirus Outbreak Control, una soluzione non troppo dissimile, basata su BLE ma che prevedeva (con scelta su base volontaria dell’utente) la possibilità di azionare un “secondo livello” di tracciamento basato su GPS (con un raggio molto ampio, 100 metri, per ostacolare la re-identificazione).
La notizia dell’utilizzo del GPS da parte di molte delle applicazioni proposte al Ministero aveva destato preoccupazioni perché rischiava di allontanare la soluzione italiana da quelle condivise a livello europeo, anche se c’è da dire che una soluzione che sfrutti sia Bluetooth che GPS sarebbe molto più efficace nella valutazione “qualitativa” dei contatti tracciati.
Con il Bluetooth è possibile tracciare un contatto a prescindere da dove questo sia avvenuto. Per gli applicativi basati unicamente su tale dato, quindi, un passante incrociato per strada ed un collega di lavoro con cui si condivide l’ufficio non fanno differenza.
Con la tecnologia GPS, che traccia non solo il contatto ma anche dove questo è avvenuto, è possibile qualificare il contatto e capire se si tratta di un contatto momentaneo, se il contatto è avvenuto in un luogo in cui la distanza di sicurezza e i presidi individuali sono rispettati o meno, se il contatto è stato o meno prolungato, etc.
Per lo stesso motivo (ovvero per la disponibilità di una maggior quantità di dati) è possibile anche che la persona contattata perché è stata esposta ad un soggetto positivo, sia in grado di riferire come e quando è stata a contatto con il soggetto infetto, permettendo così di escludere contatti “solo formali” e di concentrare le misure preventive su contatti con effettivo rischio di trasmissione del contagio.
In tal modo sarebbe, dunque, possibile meglio individuare e rintracciare la presenza di eventuali focolai con dati che sarebbero obiettivamente e qualitativamente più interessanti rispetto a quelli basati unicamente su tecnologie Bluetooth. Il beneficio però è ora orientativamente considerato inferiore ai rischi.
Questo genere di soluzioni ha come contraltare un approccio certamente più invasivo nei confronti del diritto alla riservatezza degli utenti, in quanto in grado di individuare tutti gli spostamenti effettuati da quest’ultimi, comportando così una presumibile violazione del principio di minimizzazione previsto dal GDPR.
Oltretutto, nel caso in cui la base giuridica venga individuata (come suggerito da più parti) nell’esigenza di tutelare la salute pubblica, l’utilizzo massiccio di dati riguardanti la geolocalizzazione dei fruitori dell’app potrebbe comportare altresì la violazione dei principi di proporzionalità e necessità previsti dalla Convenzione Europea sui diritti dell’uomo (art. 8 CEDU), nella Carta dei diritti fondamentali dell’UE (artt. 7 e 8 Carta di Nizza).
Nello scegliere quale soluzione tecnologica adottare per il contact tracing il Governo si è quindi trovato di fronte ad una scelta non solo tecnologica ma anche politica. Se la decisione fra BLE solo o accompagnato da dati GPS era una scelta meramente tecnica che ha pro e contro, si sarebbe trattato di una decisione di ben poco impatto se l’Italia fosse stata da sola ad adottarla.
L’ordinanza del 16 aprile e i successivi chiarimenti del Ministero hanno poi confermato che la possibilità di utilizzare il GPS è infine stata esclusa dal Governo. E lo stesso framework Apple e Google impedisce alle relative app nazionali di usare il gps. Che come detto deve essere attivato dall’utente dell’app Immuni ma serve solo per localizzare il segnale bluetooth; il dato di posizione non è memorizzato mai.
Chi è Bending Spoon, gli sviluppatori dell’app Immuni
Tutto questo considerato, al ministero dell’Innovazione – e di conseguenza ad Arcuri – la scelta dell’app di Immuni è sembrata quella preferibile. Perché rispettava le linee guida europee in fatto di privacy; ma anche per le caratteristiche dei soggetti che c’erano dietro.
Bending Spoons S.p.A. è un’azienda fondata nel 2013 a Copenaghen, attualmente con sede a Milano. È tra i più importanti sviluppatori di app in Europa, con oltre 200 milioni di download complessivi e 270 mila nuovi utenti al giorno.
I cinque fondatori di Bending Spoons, la cui età media si aggira intorno ai 35 anni, sono:
- Luca Ferrari, (1985), laureato in Ingegneria elettronica e Ingegneria delle telecomunicazioni. Ricopre il ruolo di CEO della società;
- Francesco Patarnello, (1985), laureato in Ingegneria Elettrica ed Elettronica e in Ingegneria delle Telecomunicazioni;
- Matteo Danieli, (1984), laureato in Ingegneria delle Telecomunicazioni;
- Luca Querella, laurea in Informatica e in Ingegneria Informatica;
- Tomasz Greber, (1984), polacco, digital designer con oltre 15 anni di esperienza, che pur conservando quote della società non lavora più nell’azienda
Attualmente Bending Spoons si avvale di un team composto da oltre 150 persone di provenienza internazionale. Tra realtà da cui provengono i membri della squadra ci sono aziende come Google e Facebook, società di consulenza come McKinsey e BCG, ma anche istituti di ricerca come il CERN di Ginevra.
Anno: Ricavi | EBITDA (tutto in USD e non contabile ma management account)
2017: $12.6M | $3.2M
2018: $58.4M | $15.4M
2019: $90.6M | $28.7M
Il controllo e la gestione della società sono completamente nelle mani dei quattro fondatori italiani, che siedono nel consiglio di amministrazione insieme al direttore finanziario Davide Scarpazza.
Attualmente l’azionariato è composto come segue:
- 80% detenuto dai 5 fondatori;
- 15% in stock options detenuto dai dipendenti e collaboratori della società;
- 5% diviso tra 3 piccoli azionisti, che non hanno influenza nella gestione societaria e non siedono nel CdA:
- Circa 2%, Tamburi Investment Partners, attraverso il veicolo StarTip;
- Circa 2%, NUO Capital, fondo del Lussemburgo gestito da italiani che opera con capitali principalmente cinesi;
- Circa 1%, H14, holding dei fratelli Luigi, Eleonora e Barbara Berlusconi.
I diritti di voto sono al 90% in mano ai fondatori, e i 4 fondatori italiani eleggono nella sua interezza il CdA della società.
Jakala e GeoUniq
“Né GeoUniq né Jakala hanno progettato o sviluppato l’app Immuni. Nessuna di queste società ha legami con Bending Spoons e non è coinvolta nello sviluppo, non ha e non avrà accesso a dati di nessun tipo”, si legge sul sito del ministero. Le due società sarebbero state coinvolte nel progetto in una fase iniziale soltanto.
Del resto, il coinvolgimento di GeoUniq (società che, come si intuisce dal nome, specializzata in tecnologie di localizzazione) era destinato a perdere significato nel momento stesso in cui la scelta del governo ha escluso l’impiego della tecnologia GPS in favore del solo tracciamento Bluetooth. La loro presenza nella compagine che ha sviluppato l’app aveva destato preoccupazioni per il fatto che si tratta di società partecipate da investitori di private equity e venture capital.
La necessità di una soluzione condivisa in Europa
Per quanto fosse auspicabile che l’Unione Europea sviluppasse una soluzione condivisa per il contrasto tecnologico del virus (soluzione che, in prospettiva, avrebbe aiutato ad attuare una più rapida ripresa dei movimenti di persone intra-comunitari) e per quanto una simile condivisione di intenti e strumenti sia stata fatta propria dal Garante Europeo della Protezione dei Dati e dalla Commissione Europea con raccomandazione del 08 aprile 2020, la “corsa” alla tecnologia per combattere il virus è in ogni caso da accogliere con favore. Almeno si è visto che i singoli paesi dell’U.E. hanno avuto la lungimiranza necessaria per garantire l’interoperabilità delle soluzioni (almeno in parte; non vale per tutti i Paesi); se non l’umiltà necessaria per adeguarsi al progetto più promettente sorto nell’ambito dell’Unione.
Al momento (vedi sopra) stanno lavorando per integrare una soluzione tecnica che consentirà una parziale interoperabilità, sotto il framework Apple-Google.
Come ha ricordato il Garante Privacy Europeo Wojciech Wiewiorowski, una applicazione europea con una forte sicurezza e che garantisca il rispetto della privacy degli individui è l’unica soluzione percorribile, perché “da grandi database derivano grandi responsabilità” e pensare di affrontarle da soli sarebbe una grave miopia da parte dei governi dell’Unione.
I vantaggi di una soluzione condivisa europea sarebbero almeno due. La possibilità di continuare a tracciare le persone anche oltre-confine, senza cambiare app (interoperabilità delle soluzioni). La possibilità di condividere dati di funzionamento degli algoritmi e approcci per affinarne l’efficienza.
Il 16 giugno la Commissione Europea ha annunciato che gli Stati Membri hanno raggiunto un’intesa per garantire l’interoperabilità fra le varie app di tracciamento, che dovrebbe essere implementata anche in vista della progressiva riapertura delle frontiere.
Le mosse che il Governo deve fare su app di contact tracing
Molti aspetti restano da sistemare e può farlo solo il Governo.
Incentivare l’adozione dell’app
Uno studio molto citato, nel mondo, Oxford University sembrava affermare che è necessario almeno un’adozione del 60% della popolazione perché l’app sia efficace. Di recente i ricercatori dello studio hanno chiarito che c’è stato un equivoco. Il 60% (il 56% in verità) serve per un’efficacia ottimale, con cui l’app basterebbe a controllare l’epidemia senza necessità di altri interventi governativi.
I ricercatori hanno chiarito che c’è un vantaggio però a qualsiasi livello di adozione, anche del 10% (in Italia 6 milioni di persone; nella prima decade di giugno siamo vicini a 2 milioni, a una settimana circa dal debutto).
Anche se secondo certi esperti del sistema sanitario nazionale inglese comunque il 40% o persino cifre inferiori darebbe vantaggi nel ridurre le vittime. La summa della letteratura scientifica ora disponibili sulle app porta a dire che non ci sono certezze, nemmeno sull’utilità in sé dell’app (non ci sono evidenze sufficienti); eppure bisogna provarci, data la posta in gioco.
E in ogni caso bisogna incentivare l’uso dell’app perché una percentuale superiore fa la differenza in termini di prevenzione; e promuoverla con campagne mirate, trattandosi di uno strumento del tutto volontario e visto il fatto che in Italia non tutte le fasce di popolazione hanno adeguata dimestichezza con gli smartphone.
Testing, treating, tracing: il problema è tutto ciò che c’è intorno all’app
Altro problema di cui tener conto è quello delle misure complementari a supporto dell’iniziativa di contact tracing.
Come dimostrato dai successi riscontrati dalla soluzione adottata della Corea del Sud e anche quanto si sta preparando nel Regno Unito, la soluzione tecnologica non può prescindere dagli ulteriori due elementi di cui è composto l’ormai noto assioma delle “tre T”, composto da Testing, Tracing, Treating.
Il che significa che la tecnologia deve trovare il proprio complemento in un sistema in grado di effettuare controlli, tramite tamponi, per individuare i positivi, nonché di isolare i casi meno gravi, per i quali l’assistenza sanitaria potrà avvenire anche a distanza. Il testing quindi dovrà essere potenziato e coordinato con il tracing, assicurando ad esempio un rapido tampone a chi ha ricevuto la notifica.
Utente abbandonato a sé stesso dopo la notifica
Non ci si può aspettare che la gente dopo la notifica si auto-isoli nell’attesa un tampone se questo potrebbe arrivare in un tempo indefinito o solo dopo svariati giorni.
Anche il fatto che l’utente debba comunicare di aver ricevuto la notifica al medico curante non è ottimale: denota che non c’è una integrazione tra Immuni e il sistema sanitario; sarebbe stato meglio permettere all’utente di mandare via app, volontariamente, la segnalazione alle autorità sanitarie (sarebbe stato uguale, a livello di privacy e volontarietà rispetto all’attuale possibilità di telefonare; ma molto più efficiente).
Utente Immuni non seguito dopo la positività
Da noi poi ci sono stati molti casi di Asl, Usl, Ats che non hanno caricato i codici degli utenti positivi con Immuni, bloccando così la possibilità di tracking automatico. Il decreto 18 ottobre ora impone loro di farlo.
Il call center nazionale
Per risolvere questi due problemi, il decreto Ristori di fine ottobre istituisce un call center dedicato, presso il ministero della Salute, che l’utente potrà chiamare per avere assistenza dopo la notifica e, se positivo, per caricare i codici.
Potenziare e coordinare
Ma non basta. Il treating anche andrà non solo potenziato – come già sta avvenendo in Italia – ma coordinato con l’attività dell’app e il tracing in generale. Un altro esempio di non integrazione tra Immuni e sistema sanitario, come dichiarato a giugno dalla Conferenza delle Regioni.
Lo stesso tracing non può essere limitato all’app: l’esperienza coreana (ma anche quanto viene predisposto in altri Paesi occidentali come Regno Unito, Stati Uniti) insegna che il tracing via app fa parte di un sistema più ampio, fatto anche di controlli manuali e di gestione dei big data epidemiologici (un modello applicato per ora solo in Veneto). Dubbio anche il valore per studi epidemiologici senza integrazione con il sistema sanitario e senza diario della salute.
Molte Asl si lamentano che l’app dà dati molto meno utili di quelli del tracciamento manuale.
Immuni penalizzata da Asl e Regioni, spia di un male profondo delle nostre democrazie
App Immuni: i chiarimenti del Ministero
Con nota del 21 aprile 2020 il Ministro per l’innovazione tecnologica e la digitalizzazione Paola Pisano ha fornito i primi chiarimenti riguardo all’app “Immuni”.
L’app è stata inoltre “vittima” di una serie di analisi più o meno fondate su dati reali (è difficile infatti dare giudizi attendibili su un software senza che questo sia stato nemmeno rilasciato).
Questa inondazione di notizie ha rischiato e tuttora rischia di minare la fiducia degli italiani in questa soluzione tecnologica che, essendo destinata all’adozione volontaria, necessita di un’immagine invece chiara e positiva per raggiungere il break-even point.
Il Ministero, nella sua nota, rimarca quindi che l’applicazione prescelta (tra 319 proposte) è orientata alla privacy e open source.
Con riguardo alla privacy queste le precisazioni del Ministero:
– L’applicazione non accede alla rubrica dei contatti, non chiede di conoscere il numero telefonico dell’utente e non invia SMS per la notifica dei soggetti a rischio (operazione che sarà gestita all’interno dell’app).
– L’applicazione non conserva i dati relativi alla geolocalizzazione degli utenti, ma registra esclusivamente i contatti pseudonimizzati (tramite ID) di prossimità, rilevati mediante la tecnologia Bluetooth LE.
– L’applicazione è gestita interamente da soggetti pubblici (questo uno dei paletti del sottogruppo “Profili giuridici della gestione dei dati connessa all’emergenza” in seno al Gruppo di lavoro ministeriale).
Secondo il ministero, il Codice sorgente doveva essere rilasciato con licenza Open Source MPL 2.0. La sigla “MPL”, che sta per Mozilla Public License, individua la licenza pubblica sviluppata dalla Mozilla Foundation e qui viene proposta nella sua ultima evoluzione, la 2.0. Si tratta di una licenza di tipo copyleft (“permesso dell’autore”) che consente la libera diffusione e sviluppo dell’opera e di suoi derivati a patto che il codice originario sia attribuito all’autore e che il nuovo software (c.d. “Opera Maggiore”) sia anch’esso rilasciato sotto licenza MPL.
Come scritto, però, la licenza scelta è stata Agpl in seguito.
Il sistema, inoltre, sarà sviluppato tenendo conto dei sistemi di contact tracing internazionali. Sul punto il Ministero menziona, oltre a PEPP-PT, di cui fa parte Bending Spoons, anche DP-3T, sigla che sta per “Decentralized Privacy-Preserving Proximity Tracing“, ovvero la soluzione di tracciamento proposta da un team di vari ricercatori, con base in Svizzera, e che è una delle soluzioni che rientrano tra quelle coinvolte nel progetto PEPP-PT (che è un “contenitore” di vari progetti ispirati da principi comuni come il rispetto della privacy e l’interoperabilità a livello europeo), e ROBERT, sigla che sta per “ROBust and privacy-presERving proximity Tracing protocol” e che è stata promossa dall’Istituto francese per la ricerca nell’informatica e nell’automazione e dal Fraunhofer AISEC.
Il Ministero ricorda poi che il sistema terrà conto anche dell’evoluzione dei modelli annunciati da Apple e Google.
Il Ministero precisa infine che la società Bending Spoons si è impegnata, sempre gratuitamente e pro bono, a completare gli sviluppi software necessari per la messa in esercizio del sistema di contact tracing (circostanza in grado di spiegare, pare, l'”appalto di servizi” cui fa cenno l’Ordinanza del Commissario Arcuri del 16 aprile scorso, che alcuni commentatori avevano inteso quale abdicazione della gestione del servizio al contraente privato).
Non resta che augurarsi che questi chiarimenti plachino il fiume di notizie (e di critiche) riguardo all’app Immuni, senza decretarne la fine prima ancora del suo rilascio e lasciando le (eventuali) censure, a quel momento e a ragion veduta.
I dubbi del COPASIR
Con relazione approvata il 13 maggio scorso e presentata in parlamento il 14 maggio il Comitato Parlamentare per la Sicurezza della Repubblica ha detto la sua riguardo all’app Immuni, esprimendo le sue perplessità.
La prima critica del COPASIR riguarda i contorni incerti del funzionamento del’applicativo, specie con riguardo ai criteri per identificare quei “contatti qualificati” che faranno scattare la notifica in caso di contatto (appunto “qualificato”) con un soggetto risultato poi positivo.
La soluzione di contact tracing dovrebbe poi, secondo il COPASIR, essere definita formalmente come una modalità integrativa del contact tracing tradizionale, per evitare che la strategia nazionale per il tracciamento dei contagi si concentri su questo strumento tecnologico, che invece deve necessariamente rimanere accessorio rispetto ad altre metodiche (anche “analogiche”).
Il COPASIR poi evidenzia i lati positivi di una scelta di un modello decentralizzato basato sulle API di Apple e Google, che garantisce maggiormente la privacy ma al contempo rende necessaria una imponente mole di connessioni, che deve essere regolata attraverso un Content Delivery Network (CDN), che impone di appoggiare il sistema su un fornitore estero (non essendo ad oggi disponibile presso aziende italiane).
Questa necessità, sembrerebbe poi in contrasto con l’articolo 6 co. 5 del D.L. 28/2020, in cui si esplicita che la piattaforma, di titolarità pubblica, è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla SOGEI.
Il Comitato poi prende in esame il caso di un eventuale errore umano nell’inserimento dei dati, errore che, per la struttura attuale dell’applicativo e viste le informazioni finora in nostro possesso, non è chiaro come possa essere portata a termine.
Legittima è poi la preoccupazione dei COPASIR circa la manutenzione nel tempo dell’applicazione, non è infatti chiaro chi dovrà occuparsi di rilasciare gli aggiornamenti all’app Immuni.
Fortunatamente l’orizzonte temporale estremamente breve (ci si augura) in cui l’applicazione dovrà essere utilizzata rende il problema secondario (in ogni caso Bending Spoons si è resa disponibile, nel contratto stipulato con il Commissario Straordinario, a curare la “manutenzione correttiva” dell’applicativo).
Altra interessante riflessione del COPASIR è quella che riguarda la volontarietà dell’applicazione, il fatto che questa sia volontaria non vuol dire infatti che altri soggetti (specie privati) possano cercare di conoscere (o pretendere di conoscere) se l’app restituisce notifiche di contatti con soggetti qualificati, non garantendo l’accesso o servizi a soggetti che hanno avuto contatti (certificati dall’applicativo) o che più semplicemente non hanno l’app.
Il Comitato infine, precisa una (sacrosanta) indicazione circa il fatto che il contact tracing tecnologico debba avvenire uniformemente a livello nazionale, senza alcuna possibilità di differenziazione a livello regionale o locale.
Circa la composizione della compagine sociale dello sviluppatore di Immuni, Bending Spoons, il COPASIR evidenzia come questa sia partecipata in massima parte da soggetti italiani, fatta salva per una frazione del capitale sociale in mano ad un fondo internazionale che fa capo ad una società di Hong Kong e a un uomo d’affari cinese. Con riguardo a ciò, il COPASIR ricorda che “la legge cinese sulla sicurezza nazionale, obbliga, in via generale, cittadini e organizzazioni a fornire supporto e assistenza alle autorità militari di pubblica sicurezza e alle agenzie di intelligence.”
Nonostante abbia evidenziato questi elementi, il COPASIR non ha comunque espresso parere negativo all’iniziativa, lasciando al Governo ogni valutazione sul punto ma evidenziando i rischi, in particolare in tema di sicurezza informatica (inclusi possibili attacchi hacker), sicurezza geopolitica, privacy e di dipendenza da un unico operatore (Bending Spoons).
Le soluzioni in Cina, Corea e Singapore
Per contestualizzare la soluzione italiana, è utile ricordare la “via orientale” al contact tracing, spesso vista come intrusiva e a volte coartata e quindi da scartare a priori.
In realtà molte delle idee che oggi si sperimentano in Europa discendono dalle sperimentazioni fatte in Asia, che hanno provato in molti casi la loro efficacia nel contrasto al virus, anche se a volte “dopate” da una mole di dati personali carpiti ai cittadini senza alcun bilanciamento fra diritto alla salute pubblica e diritto alla riservatezza.
Tra le toolbox più virtuose va senz’altro annoverata quella sviluppata a Singapore, dove una buona fetta della popolazione ha scaricato la app TraceTogether, sviluppata con dovizia da un’agenzia governativa, sfruttando la tecnologia Bluetooth Low Energy (BLE).
Il sistema cifra i dati dell’utente su server governativi e gli assegna un ID temporaneo, che varia spesso e viene trasmesso da un dispositivo all’altro quando questi si trovano a “portata” del segnale Bluetooth.
Il sistema ha però delle problematiche di implementazione, la prima delle quali è il fatto che ha necessità di una percentuale di adozione (ricordiamo, su base volontaria), sul totale della popolazione, molto elevata per poter funzionare e la seconda discende dalla natura stessa della tecnologia Bluetooth che, a seconda del modello di smartphone posseduto, può captare soggetti a distanza diversa (teoricamente fino a 100 metri) con i quali non necessariamente si è entrati in contatto con modalità tali da poter comportare un contagio.
La app è poi del tutto inutile se il governo non connette i dati raccolti ad azioni positive (es. contattare e sottoporre a tampone tutti i soggetti che hanno avuto contatti nelle due settimane), azioni che non possono essere particolarmente penalizzanti (altrimenti si otterrebbe, presumibilmente, un drastico calo delle adozioni)
Il codice sorgente dell’app sviluppata a Singapore è open source ed è stato pubblicato sul web con il nome di progetto OpenTrace (che comprende il protocollo BlueTrace per garantire la privacy dei cittadini) e potrà fare da base per applicazioni sviluppate in altri paesi.
La Cina, dal canto suo, ha invece sfruttato applicativi già presenti sugli smartphone dei propri cittadini (WeChat e Alipay) oltre a sperimentare numerose diverse soluzioni localmente.
Il “problema” cinese è che l’adozione di simili strumenti era spesso imposta o comunque connessa alla possibilità di ricevere servizi.
Altra soluzione sperimentata in Cina, e che è difficile pensare possa trovare applicazione in Europa, è quella dell’utilizzo di software per monitorare il rispetto delle misure restrittive, quasi fossero un “braccialetto elettronico” sui generis.
A prescindere dal fatto che una simile misura deve essere connessa ad una (difficilmente immaginabile) legge che imponga ai cittadini di muoversi tassativamente con il cellulare acceso (con livello di batteria sufficiente da garantire il ritorno a casa).
Ulteriore metodologia da considerare è quella di recente implementata ad Hong Kong, dove a tutti i soggetti in ingresso viene consegnato un braccialetto che ne monitora i movimenti per la durata della loro presenza.
La soluzione coreana, via mediana fra quella adottata a Singapore e il ventaglio di app cinesi, ha dalla sua un rigoroso approccio su base volontaria, ma non è molto rispettosa del dato personale dei cittadini sottoposti a tracciamento e non potrà quindi (ci si augura) essere presa a modello nel contesto europeo.
Le app covid-19 in Europa
Al momento, in Europa la tecnologia Google-Apple decentralizzata è adottata in Italia, Germania, Svizzera, Irlanda, Regno Unito, Spagna e Lettonia e altri Paesi.
Il Regno Unito aveva optato per quella centralizzata, in sperimentazione, poi ci ha ripensato (per i limiti di funzionamento con gli iPhone) ed è passato a quello decentralizzata.
Sospeso l’app norvegese, pure centralizzata, considerata troppo invasiva per la privacy.
Il solo grande Paese europeo dove l’app ha avuto un riscontro maggiore dell’Italia è la Germania, con 14milioni di download al 22 luglio.
Insiste con il modello centralizzato solo la Francia, con scarso successo.
Il parere del Garante privacy e dell’EDPB
Il Garante Privacy ha dato il via libera a Immuni il primo giugno con 12 punti di attenzione.
Dal punto di vista privacy il Garante italiano aveva già espresso una diffusa opinione nell’audizione informale dell’otto aprile scorso, in cui ha evidenziato varie criticità nell’utilizzo di simili strumenti.
Il Garante ha (giustamente) dato per scontato che l’applicazione venga adottata su base volontaria (di qui il problema del raggiungimento di una sufficiente “massa critica” di utenti affinché lo strumento sia davvero utile) e che l’applicazione non venga utilizzata per finalità repressive (sorveglianza del soggetto in quarantena obbligatoria), due elementi di base che sembrano in effetti orientare anche le proposte a livello nazionale ed europeo.
Per quanto riguarda la volontarietà, il Garante giunge a tale affermazione, in ragione dell’impossibilità di imporre l’utilizzo di dispositivi elettronici, riferendosi nello specifico alle fasce della popolazione a cui tali strumenti, ovvero il cui uso quotidiano degli strumenti in questione può dirsi tutt’altro che scontato.
Proprio per questa ragione, secondo il Garante, l’adesione volontaria non dovrebbe “abbinare” il download della app all’accesso a servizi o beni (come accade in Cina), che ne determinerebbe una specie di coercizione indiretta all’utilizzo.
L’auspicio del Garante è, quindi, che il contact tracing, ove venga attuato in Italia, trovi un’adeguata cornice legislativa di rango primario fondata su esigenze di sanità pubblica, con adeguate garanzie per gli interessati (art. 9, p.2, lett.i) Reg. (Ue) 2016/679), anche in termini di temporaneità delle misure poste in essere.
In particolare, il sistema di norme dovrebbe possibilmente affidare la complessa filiera del contact tracing in mano pubblica, o comunque a soggetti privati i cui requisiti di affidabilità e trasparenza dovrebbero essere individuati legislativamente, oltre a prevedere espressamente la cancellazione di ogni informazione al termine del periodo di emergenza.
A presidio di eventuali abusi, il Garante suggerirebbe di prevedere specifici reati per coloro che utilizzino i dati per finalità diverse ed ulteriori rispetto a quella di garantire la salute pubblica (approccio, questo, discutibile essendo, si ritiene, adeguata la cornice penale per simili fattispecie, senza bisogno di innovazioni ad hoc).
Sotto il profilo delle soluzioni informatiche da adottare, Il Garante ha poi avallato l’utilizzo del Bluetooth per la raccolta dei dati, affermando che tale tecnologia: “restituendo dati su interazioni più strette di quelle individuabili in celle telefoniche assai più ampie, parrebbe migliore nel selezionare i possibili contagiati all’interno di un campione più attendibile perché, appunto, limitato ai contatti significativi (così parrebbero orientati Singapore e Germania).”
I dati pseudonimizzati riguardanti i “contatti” con altri soggetti dovrebbero rimanere salvati a livello locale su ogni singolo dispositivo, salvo poi finire in un server centrale nel caso il soggetto risultasse positivo, per consentire (tramite un calcolo algoritmico) di avvisare tutte le persone con cui lo stesso è venuto a contatto in un arco di tempo determinato.
Anche l’European Data Protection Board (EDPB) è intervenuto sulla questione, da ultimo con lettera del 14 aprile in risposta ad una consultazione del Gruppo Europeo dei Garanti da parte dalla Commissione Europea in relazione alla bozza della guida sullo sviluppo di applicazioni per il contrasto della pandemia COVID-19.
In quella sede l’EDPB ha avallato l’approccio “comunitario” promosso dalla Commissione, raccomandando però il confronto con le autorità garanti nazionali e lo sviluppo di una valutazione di impatto privacy prima di licenziare le soluzioni.
Il Gruppo dei Garanti ha inoltre ribadito che simili applicazioni dovrebbero essere installate su base volontaria dall’utente, precisando però che la base giuridica del trattamento non è quella del consenso dell’utente, ma piuttosto l’interesse pubblico rilevante e proporzionato alla finalità perseguita, come dettagliato da apposite normative nazionali che dovranno essere emanate sul punto.
Il Gruppo dei Garanti ha inoltre censurato l’utilizzo di soluzioni che possono accedere alla posizione dell’individuo, in quanto lo scopo delle applicazioni sarà quello di scoprire eventi (contatti con contagiati) e non quello di scoprire movimenti.
Quello che EDPB aggiunge rispetto a quanto emerso nel corso dell’audizione del Garante italiano è che l’utilizzo delle piattaforme di contact tracing non deve in nessun caso favorire la diffusione di un allarme sociale, ovvero comportare una stigmatizzazione dei soggetti risultati positivi (come avvenuto in certa misura in Corea del Sud).
L’unico fine deve essere espressamente quello di poter risalire la catena dei potenziali contagiati per prendere le misure appropriate al contenimento della pandemia.
Inoltre, il Gruppo dei Garanti indica come necessaria la presenza di un meccanismo che assicuri la correttezza del dato inserito nella app e la supervisione degli algoritmi utilizzati da parte di personale qualificato al fine di limitare il verificarsi di eventuali falsi positivi e negativi.
L’EDPB raccomanda, infine, il rispetto delle misure previste in materia GDPR ed ePrivacy e conclude anch’essa come il Garante italiano per la cancellazione o l’anonimizzazione dei dati raccolti con l’utilizzo dei sistemi in questione al termine dell’emergenza.
Le soluzioni di Google e Apple in USA
L’unica vera alternativa allo sviluppo di una applicazione a livello europeo è forse la soluzione globale proposta da Google ed Apple.
Questa soluzione è si sta diffondendo in varie app nazionali ma serve un lavoro ulteriore da parte dei Paesi per assicurare una interoperabilità. Si noti che questo sistema non è stato ancora adottato negli Stati Uniti a livello federale e nemmeno a livello di singoli Stati.
Il sistema pensato dai colossi americani si basa sulla tecnologia Bluetooth Low Energy (BLE) e cifra i dati dell’utente sul proprio dispositivo, assegnandogli un ID temporaneo, che varia spesso e viene scambiato tramite Bluetooth con i dispositivi vicini.
E’ evidente che dobbiamo molto alla sperimentazione singaporiana ed alle altre precedenti da cui questa ha preso a sua volta spunto, che hanno consentito di sviluppare un sistema efficace di tracciamento da cui il mondo può trarre insegnamento.
Apple e Google però stanno cercando di fare qualcosa di più. Oltre alla questione falsi negativi tenendo l’app attiva anche in background (vedi sopra), lavorano per evitare il rischio di falsi positivi con la registrazione di “contatti” Bluetooth non significativi di un potenziale contagio (per l’eccessiva distanza fra le parti).
Gli ingegneri dei due colossi tech contano infatti di riuscire ad inserire una “soglia” di potenza del segnale del Bluetooth per escludere contatti non rilevanti.
La “app” ha inoltre un potenziale di adozione inedito in quanto verrà resa disponibile su tutti gli smartphone dei due produttori e potrà condividere i dati fra gli stessi.
Il progetto si compone di un primo momento in cui il programma potrà essere inserito nel codice di applicazioni predisposte dalle autorità di pubblica sicurezza, e si occuperà di raccogliere il log dei “contatti” fra il proprio ID (che varia tempo per tempo per ragioni di privacy) e quelli dei vari smartphone che entrano nel range del dispositivo.
In un secondo momento il programma potrà diventare un’applicazione autonoma o, nelle intenzioni degli sviluppatori, un semplice toggle per permettere di decidere se registrare o meno i “contatti”.
Una volta che la stessa non sarà più necessaria, le due società garantiscono che dismetteranno il sistema.
Il sistema funziona registrando i contatti per 14 giorni e consente, nel caso in cui un soggetto risulti positivo al contagio, di condividere i dati relativi ai contatti delle due settimane precedenti e di inoltrare un messaggio automatico a tutti questi contatti.
Il successo dell’applicativo dipende quindi dalla decisione dei vari governi di adottare questo standard e di implementarlo nelle rispettive applicazioni.
Dal punto di vista della sicurezza del sistema, il modo in cui lo stesso è costruito rende difficile, anche in caso di data breach, che un aggressore esterno possa riuscire ad abbinare gli ID con i relativi “contatti” a soggetti specifici.
D’altro canto Google ed Apple si trovano così a custodire una mole di dati (di movimento e inevitabilmente sanitari) davvero incredibile quando una situazione simile a quella adottata a Singapore consentirebbe di limitare il trattamento dei dati in capo all’autorità senza coinvolgimento di soggetti terzi.
Il progetto di Google ed Apple sarà quindi non solo una soluzione utilizzabile negli Stati Uniti, ma rappresenta una proposta globale che potrebbe essere utilmente applicata anche in Italia, specie se non si arrivasse in tempi brevi ad una soluzione condivisa all’interno dell’Unione Europea.
Conclusioni
Tirando le somme, la soluzione italiana per il contact tracing ha seguito le direttive europee e, nonostante qualche incertezza, si è orientata verso un modello funzionale e soprattutto rispettoso della privacy degli utenti.
Sfruttando il framework di Apple e Google, che hanno sviluppato un sistema estremamente sofisticato di tracciamento al fine di garantire la sicurezza nello scambio dei dati ed evitare per quanto possibile la condivisione di dati personali, la nostra applicazione basata su Bluetooth Low Energy è rispettosa della privacy degli utenti ed è, dal punto di vista tecnologico, una soluzione efficiente per il contact tracing nel nostro Paese.
Il problema reale, però, è nell’efficacia complessiva dell’app. Come detto, sta passando in secondo piano la necessità di un’alta adozione, che comunque è utile. Ma ci sono molti altri punti aperti.
Resta da gestire al meglio la partita del collegamento tra app (e le sue notifiche) e gli aspetti sanitari. Al momento, come scritto, non c’è una forte integrazione tra i due mondi, anche se il Governo con il decreto 18 agosto (obbligo per le asl a caricare i codici Immuni) e Ristori (call center nazionale) prova a rispondere.
Se a Singapore è ipotizzabile che le persone scarichino in massa sul proprio smartphone un’applicazione che potrebbe cambiargli la vita (in peggio) costringendole a due settimane di quarantena prudenziale, è difficile pensare che altrettanto succeda in Italia (e in Europa).
Servirà quindi garantire al minimo una gestione dell’utente-paziente, assicurandogli un tampone tempestivo.
Bisogna evitare di chiedere alle persone di auto-isolarsi alla cieca, senza un contatto con le autorità sanitaria; troppo alto il rischio di falsi positivi o che la persona, pur entrata in contatto con il virus, non è più contagiosa. Tutte cose che solo l’autorità sanitaria, raccogliendo la staffetta dall’app, può accertare.
Il collegamento tra i due mondi serve anche per uno studio epidemiologico dei contatti, anche se secondo alcune Regioni le attualit restrizioni privacy impediscono di farlo efficacemente.
La sfida quindi non è più solo tecnologia – anzi adesso si può dire che la sfida è stata messa alle spalle; ma soprattutto di comunicazione e organizzazione medico-sanitaria.
Un ultimo augurio è quello relativo all’adozione di una sempre più estesa interoperabilità comune a livello europeo.
Positiva in questo senso la scelta di Bending Spoons, una società che ha sviluppato un’applicativo basato su Bluetooth Low Energy e quindi in linea con le indicazioni provenienti dall’UE.
Solo un’app efficace su tutti questi punti, accompagnata da una comunicazione altrettanto efficace delle soluzioni adottate, potrà accompagnare gli utenti verso un’adozione graduale ma massiccia di questo importante strumento per la lotta alla diffusione del COVID-19.
—
Nota: aggiornato rispetto alla pubblicazione originaria del 17 aprile per chiarire alcune questioni tecniche sulla centralizzazione-decentralizzazione, emerse nel dibattito successivamente, e con i successivi chiarimenti governativi
Successivi aggiornamenti, in particolare a maggio e ottobre, integrano (e integreranno) gli ulteriori chiarimenti che stanno arrivando dal governo sul funzionamento e le tutele