Sin dalle prime fasi di questa pandemia, con la comparsa delle prime tecnologie di tracciamento ci si è interrogati sulla possibilità di sviluppare sistemi di contact tracing in grado di tutelare al meglio la privacy delle persone.
Il NIST (National Institute of Standards and Technology) parrebbe essere riuscito in tale intento.
E’ proprio di questi giorni la pubblicazione del paper “Encounter Metrics and Exposure Notifcation” in cui si illustra il risultato di una ricerca portata avanti dal team capeggiato da Rene Peralta e da Angela Robinson al fine di individuare una soluzione capace di tracciare i contatti e, al contempo, di tutelare la privacy degli utenti.
Come funziona Encounter Metric technology
Ma come funziona questa Encounter Metric technology?
Tutto parte da un’idea tanto semplice quanto vincente: quando veniamo in contatto con qualcuno, per motivi di lavoro o, semplicemente, di piacere, facciamo un incontro (encounter). Se, anziché concentrarci sulla localizzazione dei device (come fatto sino a ora) assegnassimo un ID univoco a ogni incontro, indipendente quindi dalla identificazione delle persone che si sono incontrate, forse potremmo garantire la privacy e avere, al contempo, un soddisfacente sistema di tracciamento.
Quello che conta evidenziare sin d’ora è il totale cambio di paradigma operato dai ricercatori in questione. I device non vengono più tracciati, avendo rilevanza il solo incontro.
Secondo il team capeggiato da Peralta, l’utilizzo di questo sistema potrebbe anche rivelarsi utile per studiare l’effetto delle modifiche ambientali sui livelli di interazione all’interno di una popolazione. Gli esempi includono: limitare o consentire l’accesso all’ascensore; mettere un cartello “occupato / libero” su un bagno in modo che solo una persona alla volta lo utilizzi; mettere frecce direzionali nei corridoi come in alcuni corridoi dei supermercati. La conoscenza acquisita attraverso le metriche degli incontri diventerebbe così utile nella progettazione dei nostri ambienti di lavoro in modo da essere più resilienti alle future pandemie così consentendo risposte più rapide ed efficienti. Non solo, anche in una situazione ordinaria (in assenza quindi di pandemie) questi strumenti potrebbero essere utilizzati per promuovere l’interazione sociale in diversi ambienti. A un livello superiore, le metriche degli incontri potrebbero essere utilizzate per studiare le dinamiche di gruppo di un insieme di agenti autonomi nel campo (ad esempio, automobili, giocatori di calcio, truppe) fornendo le migliori soluzioni per la gestione di massa delle persone. Il tutto, occorre ricordarlo, in modo anonimo. A oggi questo non accade anche per non incidere ulteriormente sulla privacy delle persone, ma se il sistema fosse davvero anonimo questo problema non vi sarebbe.
La modalità più semplice (e più utilizzata sino a oggi) per etichettare un incontro tra due parti, A e B, prevede di partire dagli ID di due device e combinarli creando un ulteriore ID univoco per ogni incontro avvenuto.
In che modo il sistema NIST tutela la privacy
L’alternativa di NIST, si basa invece sull’etichettare ogni incontro con un singolo numero che non è collegabile alle identità dei device né a ciò che trasmettono. Questa è una scelta del tutto in linea con il principio di privacy by design che, peraltro, aiuterà a evitare la moltitudine di problemi di riservatezza e protezione dei dati sorti invece con l’utilizzo di sistemi basati sull’ID del dispositivo.
Per capirci meglio, immaginiamo due persone che camminano dalle estremità opposte di un corridoio e che, a un certo punto si incontrano nel mezzo. I sistemi utilizzati sino a ora, per registrare questo incontro, prevedono che ogni dispositivo invii il proprio ID e che, in base agli stessi, venga creata una “label” dell’incontro.
Il metodo del NIST prevede invece di etichettare l’incontro tra due persone attraverso un numero casuale che non è collegato al dispositivo che ciascuna persona porta. Ogni dispositivo invia poi costantemente una serie di numeri, alcuni del tutto randomici, a un server centrale. Il server acquisisce tutti questi dati e, nel momento in cui una persona dovesse risultare positiva al covid i suoi incontri verrebbero classificati come “a rischio”. L’invio di una moltitudine di informazioni al server consente, di fatto, una sorta di camuffamento del dato, inserendo un rumore di fondo che impedisce ad un primo sguardo di comprendere quali siano le informazioni rilevanti (proprio come avviene con la differential privacy) garantendo in questo modo l’anonimato.
Il cervellone centrale, una volta ricevuta la segnalazione di positività, modificherà quindi lo status di tutti gli incontri di quella persona, segnalandoli come rischiosi e consentendo di prendere ogni necessaria precauzione. Nessun dato personale viene inviato, nessun indirizzo IP o ID del device viene condiviso. Solo il numero identificativo dell’incontro.
In sostanza, secondo il NIST al fine di ottenere il risultato dei sistemi di contact tracing, mitigando i problemi di privacy degli stessi, è possibile utilizzare un protocollo che assicuri che ciascuna parte apprenda solo quanti dei loro incontri hanno coinvolto persone infette, senza rivelare gli incontri specifici con persone infette. Del resto, il fatto di sapere se è stato Tizio o Caio ad attaccarti il covid ha poco valore, anche a livello collettivo. Quello che conta davvero è sapere che una delle persone che hai visto è risultata infetta. Le altre informazioni sono superflue.
Non solo, i dati creati dall’utilizzo di questo sistema consentirebbero altresì di calcolare il “rischio demografico” di una certa località, consentendo di elaborare proiezioni su possibili sviluppi dei contagi in una certa area.
Un ulteriore elemento interessante deriva dal fatto che la metodologia elaborata da NIST non prevede il calcolo della durata degli incontri. Ogni incontro viene “spacchettato” in sessioni, ad esempio, da un minuto. Se A e B si parlano per 10 minuti, viene considerato come 10 incontri da un minuto. Tale circostanza, nel tutelare ulteriormente la privacy (evitando di identificare le persone in base al tempo trascorso a parlare con il soggetto infetto), consente di valutare adeguatamente il rischio di contagio.
In tal senso difatti, secondo i ricercatori, vedere una sola persona per molto tempo avrebbe lo stesso livello di rischio di vederne tante per tempi ridotti. Non avrebbe quindi alcun fondamento la convinzione di chi, incontrando un unico amico, pensa di essere meno a rischio di chi incontra molte persone. Sono difatti molti i fattori che potrebbero incidere e, tra questi, vi è sicuramente la durata dell’incontro come correttamente evidenziato dal NIST.
Come potrebbe essere gestito il sistema di notifica
Una volta che un individuo risulti positivo al covid (o ad altri patogeni), come dicevamo, potrà allertare in modo anonimo un server centrale. Ma come potrebbe essere gestito questo sistema di notifica? Il NIST suggerisce di procedere così:
- Segnalazione: un individuo a cui viene diagnosticato il COVID può inviare volontariamente e in modo anonimo la segnalazione al server centrale. Questa segnalazione comprende non il suo ID personale ma l’ID degli incontri.
- Archiviazione server: il server mantiene una finestra in esecuzione (ad esempio, per 14 giorni) di tutti gli ID incontro e, al momento della segnalazione, va a modificare lo status degli ID oggetto di segnalazione, i quali marcano csì gli incontri a rischio.
- Notifica di esposizione al rischio: ogni i dispositivi trasmettono numeri casuali che sono aggiornato ogni 60 secondi circa. Quando scansioni consecutive restituiscono lo stesso ID incontro, il sistema registra il dato attribuendogli il valore di incontro.
Possibili miglioramenti
È sempre il NIST a evidenziare che sono ancora possibili miglioramenti e variazioni al funzionamento di questo sistema ma, a grandi linee l’idea sembra funzionare.
Certo, fondando l’intero meccanismo sulla segnalazione, sarà necessario che i soggetti si comportino in modo onesto. Questo significa non solo che non devono agire con intenti malevoli ma anche che non devono agire di impeto segnalando, ad esempio, casi di covid prima ancora di aver avuto la certezza che ai sintomi corrisponda un effettivo caso di contagio.
Ancora una volta, possiamo osservare quindi come il principale problema potrebbe essere costituito dall’errore umano.
Tuttavia, l’approccio del NIST parrebbe vincente in quanto, non solo consentirebbe di raggiungere i medesimi risultati dei tipici sistemi di contact tracing, tutelando al meglio la privacy ma, proprio per questa sua predisposizione all’anonimato, si presterebbe a un utilizzo più massivo, consentendo analisi di comportamenti a oggi non analizzati proprio per minimizzare l’impatto sulla libertà e sulla riservatezza della collettività.
