Nelle ultime settimane, da quando cioè l’incremento del numero di infezioni da coronavirus ha assunto dimensioni assai preoccupanti, sono aumentati i dubbi, e di conseguenza le polemiche sull’efficacia del sistema di contact tracing digitale incarnato, in Italia, nell’applicazione Immuni.
Accanto alle giuste critiche riguardanti la mancata o limitata collaborazione da parte di alcune regioni nell’invitare gli utenti testati positivi a caricare le chiavi personali dell’applicazione, si sono succedute una serie di critiche al sistema tout court. Critiche che non sempre sono sembrate giustificate o basate su un’analisi del contesto e su una conoscenza della tecnologia utilizzata.
Cercherò pertanto di rispondere in modo sereno e costruttivo, e con dati e considerazioni il più oggettive e neutre possibili a tali critiche.
Vorrei inoltre proporre alcuni spunti per tentare, se possibile, di migliorare il funzionamento del sistema. Tali idee nascono dal mio studio della tecnologia in uso, non pretendono di essere risolutive né completamente efficaci, ma ritengo questo esercizio sia utile almeno quanto additare agli errori o ai limiti. Se non altro, anche dovessero rivelarsi completamente inutili, potranno stimolare una discussione finalmente costruttiva.
I limiti di Immuni, le critiche e il contesto
Vent’anni di esperienza nell’attività di progettista di sistemi e software mi hanno insegnato che la soluzione a qualunque problema o sfida tecnologica o imprenditoriale deve passare attraverso un trade-off tra l’efficacia della stessa, ovvero le condizioni in cui la soluzione è perfettamente funzionale, e i limiti di quello che ci si può ragionevolmente aspettare dal contesto. Senza tenere conto di questi aspetti, una soluzione risulterà inapplicabile o non accettabile da parte degli utenti/clienti, o infattibile per costi o risorse non disponibili.
Partiamo pertanto dal primo aspetto, quello che cioè tutti gli epidemiologi si aspetterebbero: una conoscenza più possibile granulare e precisa dei dati, una copertura della popolazione perfetta e misure più possibile prive di rumore.
In secondo luogo, i cittadini vogliono sentirsi tutelati, possibilmente non sotto perenne osservazione.
In questo contesto è impensabile che essi accettino di cedere la totalità della propria privacy allo stato. Né è desiderabile. Fare paragoni con realtà straniere in cui è perfettamente accettabile il contrario, è inappropriato.
Al di là dei sentimenti personali (e ciascuno ha la propria idea di quanta privacy vuole cedere), resta il fatto che il sentimento occidentale per il valore dei dati personali è importante ed è stato più volte sottolineato dal Garante privacy, il quale ha definito i confini che ogni app di contact tracing deve rispettare.
Dati poco utili al sistema sanitario
La prima critica mossa a Immuni – ad esempio dal direttore dell’Ats Milano e in generale dal mondo sanitario – è proprio quella dell’esiguità o addirittura sostanziale inutilità dei dati raccolti a causa dei limiti imposti dal rispetto della privacy dei cittadini, rispetto ai requisiti di ordine epidemiologico e di analisi dei dati. Certo è che rispetto al contact tracing manuale Immuni dà meno dati, non dice al sanitario l’identità dei contatti e non permette così di ricostruire bene com’è avvenuto il contatto (cosa che permetterebbe di limitare i falsi positivi) e il grafo epidemiologico. Di contro Immuni è più rapido e meno dispendioso in termini di risorse umane rispetto al tracing manuale, che pure non arriva a tracciare i contatti casuali (in metro ad esempio).
Bluetooth poco affidabile
Un’ulteriore critica è l’uso del Bluetooth Low Energy per la comunicazione dei contatti di prossimità. Vi sono studi che confermano l’esperienza soggettiva, ossia che usare l’ampiezza del segnale RF come proxy per la distanza non fornisce un risultato sufficientemente preciso. È una critica fondata, che Google e Apple hanno però considerato nel design del sistema, inserendo due fattori di aggiustamento (TX Calibration Confidence e RSSI correction), che peraltro potrebbero essere tarati a misura in laboratorio dai produttori di dispositivi. Resta ovviamente il problema di fondo, ma del resto non vi sono alternative attuabili, e dunque dobbiamo fare buon viso a cattiva sorte.
Sovranità digitale vs Google/Apple
L’altro limite importante è tecnico, e si innesta direttamente nel discorso relativo alla privacy.
Come sappiamo, tutti i sistemi di tracciamento in uso sui dispositivi smartphone personali si basano sul framework definito dai due maggiori player, Google ed Apple.
Google e Apple, a differenza di qualunque governo, devono considerare il contesto globale; contesto che è fatto di paesi democratici, talvolta solo temporaneamente, ma soprattutto da paesi che non lo sono e non rispettano i più elementari diritti umani; pertanto, essi hanno stabilito che se si vuol fare uso dei servizi dei loro sistemi operativi per fare contact tracing, è necessario rispettare alcuni limiti ferrei. Uno di questi è, per esempio, l’impossibilità di utilizzare in tali applicazioni, per qualsiasi motivo, i sistemi di geolocalizzazione (GPS e relative tecnologie ausiliarie). Inoltre, i dati raccolti tramite la tecnologia di prossimità basata sulle comunicazioni Bluetooth devono essere rigorosamente compartimentati, protetti e codificati con crittografia forte in modo da rendere estremamente difficile o impossibile il loro uso al di fuori delle finalità di sanità pubblica.
Poiché è tecnicamente e praticamente impossibile fare a meno dei sistemi Google e Apple per il contact tracing, e l’esperienza di chi ci ha provato ce lo dimostra, i paesi davvero democratici devono convivere con questi limiti.
Serve l’interazione degli utenti
L’ultimo paletto è la collaborazione necessaria da parte dell’utente. Per motivi giuridici – esposti anche dal gruppo dei garanti europei (EDPB) – e per scelte tecniche sopra spiegate, l’interazione umana è necessaria in molte aspetti. Ad esempio, la decisione di caricare i propri dati è demandata alla collaborazione tra l’utente e l’autorità sanitaria, ed è imprescindibile per motivi appunto di libertà personale e di sicurezza del sistema stesso.
Immuni funziona?
Ho studiato il sistema Apple e Google, denominato GAEN (Google Apple Exposure Notification), da quando sono state pubblicate le specifiche, ho analizzato i sorgenti di Immuni e ho giocato un po’ con i dati dei server al fine di estrarre alcune informazioni che al momento non sono state pubblicate; mi sento di dire di conoscere un po’ il sistema.
Mi sono convinto che sia Google ed Apple, sia Bending Spoons abbiano fatto un eccellente lavoro, nei limiti e nel contesto in cui i rispettivi progetti sono calati.
Immuni non è l’unica app che si basa sul sistema Google e Apple, pertanto possiamo fare un confronto: al momento il numero di chiavi, cioè approssimativamente il numero di utenti positivi che hanno caricato i propri dati sul sistema, in UK e in Germania surclassano tra le 5 e le 10 volte il numero in Italia.
Poiché le app sono sostanzialmente identiche con minime differenze riguardo il trattamento dei dati, si può facilmente trarre la conclusione che il problema non sia solo nella app o nel sistema di tracciamento in sé; bensì, e si è scoperto recentemente prima tramite aneddotica poi tramite vere e proprie ammissioni, che non c’è stata la dovuta collaborazione tra tutte le regioni e lo stato centrale.
Come ho spiegato, la volontarietà dell’utente nel caricare i dati di immuni era un requisito essenziale di tutto il sistema; sia per una questione giuridica, sia per evitare che il sistema potesse essere forzato ad accettare dati falsi allo scopo di danneggiarlo, con tutte le eventuali conseguenze del caso.
Immuni non è privo di limiti, così come non tutte le critiche sono infondate.
Alcune proposte costruttive
Lasciando da parte i problemi dovuti a bug, come quello (poi risolto qualche giorno fa) che ha fatto sì che molti utenti iPhone ricevessero le notifiche di contatto con estremo ritardo, credo che principalmente i limiti risolvibili siano due.
Il problema dei contatti secondari
In primo luogo, si imputa ad immuni l’impossibilità di tracciare i contatti secondari.
Pare però che questo non sia impossibile. Infatti le specifiche GAEN definiscono un dato “Report Type” all’interno delle strutture delle chiavi degli utenti positivi (TEK) che può assumere diversi valori, tra cui, ad esempio, Confirmed_Test per le diagnosi di positività per test PCR o similari, CONFIRMED_CLINICAL_DIAGNOSIS per le diagnosi da sintomi senza test oppure SELF_REPORT, per quei contatti a rischio che sono caricati spontaneamente dall’utente stesso, pur sempre con l’assistenza di un operatore sanitario.
Questi diversi tipi di report hanno pesi diversi sul calcolo del rischio, e pertanto si prestano molto bene allo scopo di “propagare” l’informazione di un contatto a rischio oltre il primo contatto segnalato dalla app: sarebbe forse sufficiente che chi riceve una notifica di un contatto a rischio fosse invitato a sua volta a caricare le proprie chiavi taggandole come “self reported”. In questo modo i contatti stretti successivi ai primi potrebbero essere allertati del contatto, magari specificando la natura “secondaria” dello stesso, e potrebbero autonomamente decidere come comportarsi, ad esempio monitorando la propria salute per l’insorgenza di sintomi o di autoisolarsi.
In questo modo, con gli opportuni adattamenti, si potrebbero tracciare i grafi di interazione in modo più approfondito.
Il problema della localizzazione
Altra critica importante è quella relativa al fatto che senza geolocalizzazione (o più correttamente, georeferenziazione) dei contatti si perderebbe un’importante dato epidemiologico, indispensabile per identificare tempestivamente i focolai e soprattutto la loro origine. E la critica prosegue accusando la privacy come l’ostacolo principale all’implementazione di questa importante azione di sanità pubblica.
In verità il problema, come descritto in queste critiche, mi sembra assai mal posto, mancando di considerare molti aspetti di natura giuridica e tecnologica.
Quando affermo che il problema è mal posto, intendo dire che si sta guardando a una delle soluzioni più che al problema stesso. Più che tracciare gli utenti, probabilmente sarebbe sufficiente identificare i luoghi dei contatti. Non è una differenza di natura semplicemente semantica.
Ora, nel cercare una soluzione è inevitabile considerare alcuni aspetti. Partiamo dall’assunto che a volte nessun dato è meglio di dati troppo rumorosi. Pescare a strascico dati confusi, in cui il rumore è molto più alto dell’informazione può portare a risultati disastrosi.
L’uso del GPS in questo senso sarebbe a mio avviso da escludersi per molti motivi; a partire dalla precisione (molto bassa senza l’ausilio di tecnologie come il Wifi, come fatto da Google, ma che richiederebbe il coinvolgimento di partner esterni), ma anche il consumo di energia (il GPS è una vera sanguisuga per la batteria), e dell’impatto psicologico per gli utenti; ed infine, la mole di dati da gestire richiederebbe un’enorme sforzo in termini di infrastrutture, senza il coinvolgimento di partner terzi commerciali, cosa che imporrebbe delle importanti valutazioni di carattere politico e della privacy.
Anziché rivoluzionare il sistema, invece, credo si potrebbe sfruttare quanto c’è già.
Alcune soluzioni non invasive e collaborative sono già in uso, ad esempio dalla fondazione zerobase.io (con cui collaborai come volontario a maggio nella scelta della tecnologia) o dal sistema di contact tracing britannico, i quali utilizzano dei QRCode esposti all’ingresso delle strutture, che gli utenti possono acquisire con la fotocamera della app e dunque georeferenziare i contatti.
Il vantaggio delle soluzioni collaborative è molteplice: da una parte è rispettoso dell’utente il quale è chiamato a cedere una parte della propria privacy attraverso un atto volontario; dall’altra psicologicamente lo sollecita a partecipare attivamente allo sforzo comune; inoltre essendo un’azione attiva e pubblicamente visibile, sollecita tutti i cittadini all’imitazione.
Esiste però forse una possibilità complementare, un po’ più delicata che fa uso direttamente della stessa tecnologia di Immuni.
L’idea è quella di predisporre in posizioni strategiche, ad esempio negli esercizi commerciali, nelle scuole e negli uffici pubblici, dei dispositivi dotati di antenne che raccolgano i segnali emessi dai dispositivi presenti attraverso il sistema GAEN, ed esattamente come immuni le raccolga in un database opportunamente protetto. Potrebbe, all’estremo, trattarsi anche di un semplice dispositivo smartphone, un PC o un tablet, con software opportuno e installato in modo fisso nel luogo prescelto.
Periodicamente, similmente al sistema GAEN, il sistema scarica le chiavi di esposizione TEK e ne effettua il matching. Fino a qui niente di diverso da immuni.
La differenza però è che essendo i dispositivi fissi, sono di per sé già geolocalizzati. Inoltre, i sistemi, se svincolati dalle librerie di Google ed Apple, potrebbero aggirare alcune delle limitazioni delle API GAEN, ad esempio, quella relativa al report dell’ultimo match e al calcolo delle esposizioni di rischio. Dunque, i sistemi fornirebbero data, ora, durata della presenza di tutti e solo gli utenti presenti e poi rivelatisi positivi. Usando il sistema GAEN, il sistema permetterebbe di identificare la presenza, la distanza la durata dei soli utenti positivi, in modo anonimo.
Tali dati potrebbero essere forniti alle autorità sanitarie le quali potrebbero ottenere una mole di dati assai importanti. Ad esempio, sapere quali utenti positivi hanno frequentato quei luoghi, sapere la sequenza degli spostamenti nelle varie zone sorvegliate, identificare le tipologie di luoghi ed esercizi commerciali con maggiore esposizione e dunque a maggior rischio, eccetera.
Ovviamente tutti i dati raccolti dovrebbero essere gestiti con estrema cautela. Ritengo non peregrina l’idea di considerarli alla stregua di dati di video sorveglianza, e dunque l’impiego di tale sistema andrebbe non solo protetto dal punto di vista informatico con crittografia, protezioni contro le intrusioni eccetera, ma l’utente andrebbe adeguatamente informato della loro presenza attraverso segnaletica simile a quella usata in video sorveglianza.
Un sistema così congegnato, potendo essere realizzato con PC fissi, tablet o dispositivi embedded disponibili “off the shelf”, sarebbe di relativamente semplice implementazione e non richiederebbe grandi spese di realizzazione; potrebbe essere adeguatamente incentivato nell’ottica anche della digitalizzazione del paese.
Viaggiando un po’ di fantasia, forzando leggermente il funzionamento del sistema e con le opportune modifiche alle librerie di base, potrebbe anche essere possibile estenderne l’utilità come sistema di alerting; qualora le antenne potessero emettere dei segnali speciali, l’utente avrebbe taggata la propria posizione spazio temporale con un codice univoco analogo alle TEK di immuni ed essere avvertito qualora i locali frequentati dovessero rivelarsi dei focolai d’infezione. Tuttavia non credo che al momento si possa contare su questo sviluppo in quanto si dovrebbe coinvolgere Google e Apple nella sua realizzazione; le implicazioni in termini di privacy e di sicurezza informatica sono completamente da studiare.
Conclusioni
Immuni non è perfetto, su questo non c’è dubbio. Come amo spesso dire, tutto si può fare finché non ci si scontra con i limiti della realtà.
Tuttavia, è chiaro che nel caso di Immuni, il problema non è stato l’app in sé, ma alcuni aspetti del contesto che non hanno funzionato, e purtroppo una grandissima responsabilità ricade sulle spalle della pubblica amministrazione che non si è rivelata all’altezza di assolvere al compito cui era stata chiamata. Purtroppo, anche immaginare automatismi o intelligenze artificiali per compensare questo fondamentale problema è negare a sé stessi e agli altri il fallimento delle istituzioni.
Nei limiti della app, qualcosa è probabilmente perfettibile; dico probabilmente perché come sempre nel mio campo, senza adeguata sperimentazione non è mai possibile mettere un punto fermo. Sfortunatamente, non c’è stata la possibilità per entità terze come aziende o anche semplici hacker e appassionati di studiare, sperimentare e tentare di migliorare il sistema. Di certo la comunicazione da parte degli enti preposti e la netta contrapposizione tra organi decisionali e cittadinanza attiva è stato, ed è tuttora, uno dei punti critici della vicenda.
Sarebbe bello se, come avvenuto in altri paesi, i cittadini fossero stati coinvolti nella discussione, invece che trattati come bambini con cui non è possibile confrontarsi.
