L’ultima falla di sicurezza rilevata nei giorni scorsi nei sistemi Google-Apple usati per le app nazionali contro il coronavirus – da noi Immuni – è emblematica di una situazione sempre più insostenibile.
La falla, che potenzialmente mette a rischio la nostra privacy perché consentirebbe un tracciamento degli utenti, è di per sé è di poco conto perché molto difficilmente sfruttabile. Ciò che mi interessa evidenziare è però che solo l’intervento di Google e Apple permetterà di correggere questa falla. E altre che sono comparse e compariranno su questi sistemi che di fatto hanno valenza pubblica, essendo i soli adottati dagli Stati per tracciare in automatico i contagi.
Le big tech hanno costruito un gigantesco lock-in tecnologico e metodologico che cattura crescenti sfere della nostra vita, ora persino anche ambiti pubblici e sanitari (si veda anche l’impiego delle tecnologie di intelligenza artificiale negli ospedali, Ndr.)
Il prodotto siamo noi
Il fenomeno viene da lontano. Da molti anni c’è un detto che descrive molto bene il modello di business dietro l’utilizzo dei servizi digitali gratuiti offerti da grandi aziende multinazionali: se il prodotto è gratuito allora il prodotto sei tu.
Pensiamoci un attimo: i social network, le mappe, la posta elettronica, lo spazio cloud per conservare le nostre foto, gli strumenti di messaggistica, la possibilità di condividere (anche con perfetti sconosciuti) porzioni sempre più importanti delle nostre vite, sono tutti servizi digitali che hanno costi di sviluppo, di manutenzione e di infrastruttura elevatissimi. Eppure dal consumatore finale sono percepiti come gratuiti.
Sono effettivamente “gratuiti”, nel senso che per pagarli non usiamo il tradizionale denaro a cui siamo culturalmente abituati ad assegnare un valore. Li paghiamo però con i nostri dati che, sbagliando clamorosamente, pensiamo non abbiano in realtà alcun valore reale. Frasi come “io non ho niente da nascondere, si prendano pure i miei dati”, “con tutti i VIP vuoi che si interessino a me?” oppure ancora “meglio dare i dati alle multinazionali che darli al governo” si sentono purtroppo sempre più spesso e sono il segnale inequivocabile che in gran parte della popolazione manca completamente la consapevolezza di cosa siano i dati personali, di quale sia il loro valore e di quale sia la dimensione del mercato abilitato dalla gestione dei nostri dati.
Per provare a dare una risposta a quest’ultima domanda si consideri che i ricavi per il segmento advertising di Google per il 2019 sono stati di 134,81 miliardi di dollari (fonte), mentre i ricavi complessivi di Facebook nello stesso periodo sono stati di 70,7 miliardi di dollari (fonte). Nel caso di Facebook la componente advertising si colloca intorno al 98%, quindi possiamo stimare indicativamente in 69,3 miliardi di dollari i ricavi provenienti da questo segmento.
Questi equilibri sono talmente delicati, e la dimensione del mercato è così interessante, che le grandi multinazionali del digitale fanno a gara anche sul piano della percezione da parte del consumatore, non soltanto sul piano tecnico.
Va detto che, salvo casi particolari, i dati che concediamo alle grandi multinazionali sono trattati nel rispetto delle norme e che in ogni caso è l’utente a scegliere liberamente di utilizzare queste piattaforme cedendo i suoi dati in cambio di servizi che oggi consideriamo commodity e senza i quali faremmo più fatica nella nostra quotidianità. Lo stesso discorso si può fare per quelle che vengono percepite come limitazioni e chiusure dell’ecosistema Apple, in gran parte giustificate con motivazioni legate alla sicurezza e all’inviolabilità dell’ecosistema stesso.
Il vero problema è però quando queste legittime scelte di business e tecnologiche diventano un ostacolo impossibile da scalfire persino per i governi dei paesi in cui queste aziende operano. Ostacoli che, per mantenere una supposta supremazia tecnologica o il monopolio sui dati che gli utenti concedono in cambio dell’utilizzo dei servizi digitali, arrivano addirittura a mettere a rischio la vita delle persone perché costituiscono sabbia in meccanismi già sufficientemente complessi e continue limitazioni tecnologiche cui doversi piegare, pena l’impossibilità per i governi di operare in totale libertà, con il rischio di diminuire l’efficacia di qualunque operazione di salvaguardia della salute pubblica.
Lo scontro sulla pubblicità
Recentemente Apple ha reso noto che a partire dalla versione 14 di iOS (il sistema operativo di iPhone e iPad) sarà l’utente a dover abilitare esplicitamente il tracking da parte delle app installate sul suo dispositivo, cosa che potenzialmente potrebbe aumentare la consapevolezza da parte dell’utente nell’utilizzo dei suoi dati. Questo serve ad Apple per giocare sempre più nel suo campo, quello del rispetto della privacy degli utenti. Sostanzialmente Apple dice “quello che fai sul tuo iPhone rimane sul tuo iPhone, noi i tuoi dati non li usiamo in nessun caso e con questa mossa costringiamo anche le app che installi sul tuo iPhone ad usarli un po’ meno e solo dopo la tua autorizzazione”.
Come contromossa Facebook ha dichiarato che questa nuova politica di attenzione alla privacy degli utenti da parte di Apple causerà un’efficacia dimezzata dei sistemi di tracking e di erogazione di contenuti pubblicitari, con un sostanziale dimezzamento del mercato, e se il mercato ha le dimensioni che dicevamo in precedenza si può comprendere che dal punto di vista di chi investe c’è poco da stare allegri. A seguire Apple è tornata sui suoi passi, comunicando che la possibilità per l’utente di attivare o disattivare esplicitamente la possibilità di essere tracciati da parte delle app ci sarà in iOS 14, ma non subito. Ci sarà un ritardo nell’adozione per dar modo agli sviluppatori di adattarsi a questo nuovo comportamento e questa nuova funzione verrà attivata all’inizio del 2021.
Le app exposure notification covid-19
Quando a inizio 2020 si è iniziato a ragionare su possibili strumenti di contenimento dell’epidemia e sui potenziali strumenti tecnologici da affiancare al contact tracing manuale, alcuni, come il sottoscritto, si sono domandati di chi siano i dati che costantemente cediamo alle multinazionali tecnologiche e se non fosse il caso di fare un passo avanti nella definizione di nuove modalità attraverso cui poter ottenere, rispettando le norme sulla privacy, queste informazioni da parte delle multinazionali tecnologiche per poterle usare contro la diffusione della pandemia. Passare quindi dalla tradizionale “data monetization”, legittima e che in parte contribuisce a rendere internet quella che conosciamo oggi, ad un nuovo modello di “data sustainability”, attraverso il quale quei dati, prodotti dagli utenti, potessero essere utilizzati per un fine nobile: contribuire a salvare la vita di quegli stessi utenti che quei dati li hanno prodotti.
Sono passati pochi giorni e Mark Zuckerberg, CEO di Facebook, ha dichiarato pubblicamente che Facebook non avrebbe mai accettato di concedere, agli stati che ne avessero fatto richiesta, nessun dato relativo ai suoi utenti. Una posizione di chiusura totale, persino di fronte ai governi eletti da quelle stesse popolazioni che utilizzano i servizi della galassia Facebook, che producono quei dati, e che forse avrebbero tratto qualche vantaggio sanitario se avessero potuto accedervi.
Nel frattempo molti Stati del mondo si erano orientati verso la realizzazione di applicazioni di ausilio al contact tracing ed avevano iniziato a lavorare sui migliori modelli di riferimento esistenti (PEPP-PT e DP-3T) senza sapere però che una pura implementazione di questi modelli non sarebbe mai stata possibile perché un’app realizzata seguendo queste linee guida avrebbe avuto problemi di funzionamento su molte categorie di dispositivi, vuoi per l’impossibilità tecnica per alcune app di utilizzare completamente alcune componenti hardware come il bluetooth, vuoi per alcune ottimizzazioni che, su alcuni dispositivi, si occupano di chiudere autonomamente le app in background per evitare che consumino la preziosissima corrente della batteria, vuoi per scelte più giustificate dall’eventuale utilizzo che le app possano fare dei dati raccolti..
Per evitare ulteriori pressioni Apple e Google hanno realizzato un apposito framework, una concessione al ribasso ai governi del mondo travestita da importante aiuto tecnologico. Hanno consentito, ad una sola app per ciascun paese, l’accesso alle loro preziosissime API in grado di implementare uno dei modelli di riferimento nell’ambito del contact tracing, il modello DP-3T.
Questa offerta, che da alcuni viene vista come encomiabile, in effetti ha rappresentato una scelta obbligata per qualunque paese del mondo volesse realizzare un’app di contact tracing in autonomia, perché senza utilizzare questo framework la realizzazione di tali app è nei fatti impossibile, tanto è vero che gran parte dei paesi che hanno provato ad operare in modo diverso sono stati costretti a tornare indietro sulle proprie scelte e quelli che ancora non lo hanno fatto hanno un piccolo non trascurabile problema: le loro app hanno enormi limitazioni e, per semplificare, quasi nessun effetto concreto sul contrasto alla pandemia. Apple e Google hanno scelto tutto, le modalità, la tecnologia, il modello di riferimento, la tipologia di accesso ai dati, la centralizzazione o decentralizzazione del modello e tutto il resto. I governi del mondo hanno legittimamente potuto scegliere: o dentro o fuori. Con il piccolo dettaglio che “fuori” significa non poter realizzare un’app di contact tracing che, dal punto di vista strategico ed inserita all’interno di un completo ecosistema 3T (Test, Track, Treat), può davvero contribuire a salvare delle vite umane.
L’ultima falla dei framework anti covid-19
E qui vediamo all’ultima vulnerabilità scoperta. Poiché i sistemi informativi perfetti non esistono, periodicamente vengono evidenziati limiti ed imperfezioni del framework, fino a vere e proprie falle di sicurezza come quella comparsa recentemente su Decrypt e secondo la quale sarebbe possibile effettuare un tracciamento continuo degli utenti attraverso l’utilizzo intensivo di apposite antenne BLE sparse sul territorio. Si tratta, in questo caso, di una vulnerabilità di poco conto e che non rappresenta un reale pericolo per nessuno, ma essendo il framework nelle mani esclusive di Apple a Google è necessario che siano loro a rilasciare una correzione, tutti i governi del mondo possono accomodarsi in sala d’attesa. Inutile dire che avere la disponibilità del codice sorgente potrebbe rappresentare un ulteriore strumento di miglioramento del framework stesso e l’occasione di individuare ulteriori limitazioni o vulnerabilità, ovviamente tutto questo non è possibile perché il codice sorgente del framework non è disponibile. I governi del mondo, mentre aspettano pazientemente in sala d’attesa, devono anche convincersi che fidarsi è bene ed è anche l’unica opzione praticabile.
Il mondo chiuso in un gigantesco lock-in delle big tech
Siamo di fronte ad una situazione piuttosto critica: l’intero mondo sta subendo un gigantesco lock-in metodologico e tecnologico da parte di alcune multinazionali, le cosiddette big tech, che hanno un potere enorme in tutti i paesi, basti pensare che il solo comparto tecnologico americano ha recentemente superato il valore di tutto il mercato complessivo europeo, sfondando quota 9,1 trilioni di dollari. Siamo al paradosso che i dati che produciamo e che vengono utilizzati per consigliarci cosa acquistare non possono essere utilizzati dal governo del nostro paese per salvarci la vita. Siamo al paradosso che gli smartphone che acquistiamo possono essere utilizzati soltanto in parte, alcune funzionalità ci sono vietate anche se potrebbero essere utilizzate dal governo del nostro paese per salvarci la vita.
Siamo al paradosso che le app di contact tracing, che in mancanza di un accesso diretto ai dati possono rappresentare uno strumento non trascurabile nel contrasto all’epidemia, vengono continuamente attaccate a causa di scelte fatte da altri ed imposte ai governi di tutto il mondo, causandone una bassa adozione, quando invece la loro efficacia è proporzionale al numero di persone che la utilizzano.
È tempo che ci sia quindi un cambio di passo nella sovranità tecnologica sia a livello italiano che in chiave europea, stabilendo limiti e confini nei quali le big tech possono muoversi perché i dati che oggi vengono raccolti per scopi commerciali sono gli stessi dati che, forniti ad algoritmi di intelligenza artificiale, potrebbero consentire tra non molto funzionalità ai limiti della legalità come il riconoscimento delle persone, la profilazione indiretta basata anche su quelli che oggi consideriamo dati riservati, la polizia predittiva e tante altre funzionalità discutibili. Tutte cose che, con un po’ di timidezza, in alcuni paesi del mondo si stanno già sperimentando.
Il dato quindi è la chiave attorno a cui ruota tutto, dobbiamo porci seriamente il problema di dove e come questi dati vengono raccolti, per farci cosa e quali siano i diritti di accesso agli stessi dati da parte dei governi dei paesi, nel pieno rispetto della privacy ed evitando che siano i governi stessi a fare di quei dati un utilizzo disinvolto.
La tecnologia è uno straordinario abilitatore di innovazione, ma va politicamente governata perché sia utilizzata nel modo giusto, senza favorire asimmetrie dal punto di vista economico e dei rischi dal punto di vista socio-politico.
Ma allora Immuni la usiamo o no?
Ciò detto, anche considerando tutto quanto sopra, la mia tesi resta la stessa. L’efficacia di Immuni – in base alle attuali per quanto provvisorie evidenze – è sempre maggiore a zero, ergo ci sono vite salvate se la installiamo (anche) noi.
Ergo, nonostante tutto, non usarla è follia.
