In un giorno qualunque, prima dell’arrivo dell’estate, mi capiterà forse di ricevere un alert sullo smartphone, da parte della azienda sanitaria della mia provincia, con l’avviso che nei giorni precedenti sono entrata in contatto con una persona positiva al Covid-19. Questo sarà possibile perché avrò scaricato l’app di contact tracing Immuni (sviluppata da Bending Spoons e scelta dal Governo italiano tra le 319 proposte pervenute) e avrò abilitato il collegamento Bluetooth, una tecnologia di trasmissione wireless che è vecchia di 30 anni, consuma poca energia, non geolocalizza le persone e ha un raggio di azione di molti metri.
Il contact tracing è oggi l’unico modo per sapere con certezza con chi siano venuti in contatto, e quindi, qual è il rischio di diffusione del contagio. In tutto il mondo, il lockdown è stato alleggerito con misure per mappare in real time i contatti delle persone. Quando Immuni sarà disponibile per tutti (si prevede a fine maggio) l’app potrà essere scaricata dagli app store Google e Apple: prima di allora, l’app sarà sperimentata in alcune casi pilota (nelle sedi di Maranello e Modena della Ferrari).
Contact tracing: cos’è, come funziona
Il contact tracing è da sempre uno dei migliori sistemi per prevenire il contagio da malattie infettive e quindi limitare la diffusione delle epidemie: è stato utilizzato in passato (con interviste dirette) per polio, HIV/AIDS, Ebola. La tecnologia cellulare, oggi disponibile in gran parte della popolazione, rende più efficace il tracciamento, in quanto alcuni contatti potrebbero sfuggire alla memoria di chi viene intervistato, specialmente se, come nel caso del Covid-19, i giorni da considerare sono numerosi. Inoltre, basandosi sul Bluetooth, che funziona in vicinanza di una persona, è perfetto per monitorare le possibilità di contagio tramite un virus che si propaga nell’aria proprio in prossimità di chi è infetto.
In sostanza, abilita il tracciamento di tutte persone con cui siamo entrati in contatto: avvisandoci se qualcuno di loro è risultato infetto, permette di arrestare la catena del contagio, tramite l’isolamento preventivo di tutti i potenziali contagiati. Il contact tracing è efficace se abbinato alla diagnosi (precoce) di contagi. Inoltre, serve che gran parte della popolazione (si dice normalmente almeno il 60%) faccia uso dell’app. Quello che l’app Immuni italiana misura, tramite una valutazione algoritmica, è un “contatto che dura un tempo sufficiente per il contagio, di qualche secondo, alla distanza di un metro”, evitando quindi che si creino “falsi positivi” con contatti che hanno avuto un rischio contagio trascurabile.
Contact tracing con le app: come è stato pensato nel mondo
Da quanto l’epidemia da coronavirus è partita in Cina, oltre un miliardo di cinesi ha scaricato sul proprio smartphone le app realizzate da Alibaba e Tencent per tenere sotto controllo la diffusione del virus. In questo caso, si è trattato di app che utilizzavano la geolocalizzazione GPS e condividevano i dati delle persone con la polizia. L’adozione di questi strumenti è stata spesso imposta (o comunque connessa alla possibilità di ricevere servizi), e quindi non risulta oggi è adeguata agli utilizzi che vogliamo farne nel mondo occidentale. In Cina, come anche a Hong Kong (dove è stato introdotto per chi entrava nel paese un braccialetto elettronico) sono state sperimentate anche soluzioni per monitorare il rispetto delle misure restrittive.
In Israele, dopo che a metà marzo il Governo ha approvato una legge d’emergenza (senza approvazione del Parlamento), una soluzione similare (basata su tracciamento Mobile) è stata sviluppata dalle telco insieme all’Agenzia di National Security. Gli organi per il rispetto delle libertà civili hanno avvisato la popolazione che un sistema del genere potrebbe costituire un pericolo e fornire poteri molto forti al governo.
For years, we have been warning that the declaration of a state of emergency, in effect since the establishment of the State, poses a serious danger to human rights and gives unlimited power to the government.
— ACRI (@acri_online) March 16, 2020
Singapore è stato il primo Paese a scegliere il Bluetooth per il contact tracing Covid-19, con l’app TraceTogether. La soluzione prevede la cifratura dei dati su server governativi, con assegnazione di ID temporaneo, che cambia spesso e viene trasmesso da un dispositivo all’altro via segnale Bluetooth. L’app era scaricata su base volontaria, ma per funzionare bene richiedeva (come sarà anche per l’app Immuni) un’elevata adozione e l’attivazione di azioni diverse (come contattare le persone e sottoporre a tampone chi ha avuto contatti con persone infette) per risultare efficace. Il caso del Singapore (anche se valido per una popolazione limitata) è risultato interessante sia perché meno invasivo rispetto alle soluzioni di altri paesi, sia anche per il fatto che l’app TraceTogether è stata rilasciata open source a tutta la community globale degli sviluppatori, facilitando così lo sviluppo di software simile.
Il Sud Corea, secondo paese più colpito dopo la Cina in Asia, è stato più volte citato come esempio virtuoso di lotta al virus: tra le misure adottate, il contact tracing, ovvero la ricostruzione della catena dei contatti a partire da un infetto, con successivo isolamento e quarantena mirata. Come ha riportato HBR, in un Paese che pone al primo post il Digitale, sviluppatori privati hanno creato numerose app in aggiunta agli sforzi del governo locale che metteva a disposizione numerosi dati sull’evoluzione dei contagi. Una di queste app, “Corona 100m”, ha raggiunto in poco tempo il milione di download.
Fonte: Corona 100m, l’app disponibile in Sud Corea (https://edition.cnn.com/2020/02/28/tech/korea-coronavirus-tracking-apps/index.html)
L’app permette di visualizzare con maggiore facilità dati resi pubblici, tipo alert se un infetto da Covid19 era entro i 100 metri, oltre che sue informazioni, come nazionalità, età, genere, data in cui era stato diagnosticato il virus, spostamenti. Il sistema della Corea del Sud è stato anche criticato per essere fin troppo invasivo, arrivando a intercettare tutti gli spostamenti delle persone (infette o entrate in contatto con infetti) con informazioni rese pubbliche sui siti governativi e mappe (come quella sotto), mettendo in piedi un sistema di sorveglianza che prendeva dati anche da transazioni con carte di credito, telecamere a circuito chiuso e abbonamenti per i mezzi di trasporto. La cosa interessante però è che tutti questi dati non erano conservati dal governo ma resi immediatamente pubblici, contribuendo a creare uno “stigma sociale” per chi non stata attento a non diffondere il virus.
Fonte: Mappa Coronavirus Corea del Sud https://coronamap.site/
Il Sud Corea essendo già stato colpito da una precedente epidemia MERS del 2015 (Middle East Respiratory Syndrome, o sindrome respiratoria mediorientale da coronavirus, una patologia causata dal coronavirus MERS-CoV), che aveva allora infettato 186 persone e ucciso 36, avrebbe avuto un approccio da parte della popolazione molto più favorevole a una condivisione trasparente dei dati sui contagi, anche rinunciando in parte ai diritti di riservatezza dei singoli.
Allo stesso modo, Taiwan, essendo stato tra i paesi più colpiti dalla precedente epidemia SARS del 2003, e temendo il ripetersi dell’esperienza (visti gli stretti rapporti con la Cina: su 23 milioni di cittadini, 850mila sono residenti e 404mila operanti in Cina), aveva già a disposizione un sistema di gestione delle emergenze che è entrato prontamente in funzione con il Covid-19. Praticamente, fin dall’inizio dell’epidemia, le istituzioni sono state in grado di conoscere tutta la storia degli infettati, fino a 14 giorni prima, e hanno contenuto la diffusione del virus avvalendosi di un mix di misure, tecnologiche e di emergenza. Tra queste, QR code scanning e reporting online degli spostamenti e dei sintomi di chiunque avesse viaggiato nel paese (“Entry Quarantine System”): se una persona aveva un rischio basso di infezione, otteneva un pass con una “dichiarazione di salute” via SMS per entrare nel paese. Chi invece aveva un indice di rischio elevato, doveva rimanere in quarantena a casa e ogni suo spostamento era monitorato via mobile phone. Anche in questo caso, i dati sanitari delle persone sono stati condivisi tra un gran numero di attori: ospedali, cliniche, farmacie potevano accedere alla storia clinica e legata agli spostamenti di ogni persona.
Interessante anche l’esperienza dell’app COVIDSafe in Australia: l’app è sempre in esecuzione durante il giorno e quando si entra in contatto con altre persone. Le informazioni sono crittografate e l’identificatore crittografato viene archiviato in modo sicuro sul telefono (neanche l’utente vi può accedere). Le informazioni di contatto memorizzate nei cellulari delle persone vengono eliminate (tenendo conto del periodo di incubazione Covid-19 e del tempo necessario per il test) in un ciclo continuo di 21 giorni. Quando alle persone viene diagnosticata la positività al virus, i funzionari sanitari chiedono a loro o ai loro genitori / tutori con chi sono stati in contatto. Se questi soggetti dispongono dell’app COVIDSafe e forniscono l’autorizzazione, le informazioni di contatto crittografate dall’app verranno caricate su un sistema di archiviazione delle informazioni sicuro. A questo punto i funzionari sanitari utilizzano i contatti acquisiti dall’app per supportare la normale traccia dei contatti, chiamare le persone da informare, offrire consigli sui passi successivi, senza mai nominare la persona risultata infetta, ad esempio, come e dove sottoporsi al tampone, fino a quali precauzioni adottare per proteggere amici e parenti da una eventuale esposizione. A dispetto di tanti che speculano sulla bassa diffusione di queste app, la COVIDsafe australiana, che è volontaria, in pochi giorni ha ottenuto 2 milioni di download.
(Fonte: CNN; The CovidSafe app was released by the Australian government on Sunday)
L’approccio europeo al contact tracing
Nei Paesi occidentali sta prevalendo un approccio più attento alle esigenze di privacy delle persone, e la preferenza per una tecnologia come il Bluetooth che risulta meno invasiva, decentralizzata e anonimizzante rispetto alla geolocalizzazione e alla raccolta di informazioni attuata dai Telco. Anche in Italia, si era parlato inizialmente di soluzioni blended per l’app nazionale di contact tracing (quindi, app che uniscono ai dati BLE – Bluetooth Low Energy – un tracciamento basato sulla geolocalizzazione). La stessa Bending Spoons, software house che ha sviluppato l’app Immuni, aveva inizialmente adottato in approccio “misto” salvo poi eliminare l’opzione per il GPS nel progetto presentato al Ministero, visto il clima sfavorevole che si stava delineando a livello europeo e in particolare nel consorzio PEPP-PT a cui Bending Spoons ha aderito.
Perché in Europa si propende per il Bluetooth? con questa tecnologia, i segnali generati dagli smartphone sono a corto raggio, vengono convertiti in stringhe di numeri casuali, e sono questi numeri (non i dati personali delle persone, come nome, indirizzo, posizione in un certo istante) ad essere memorizzati sul dispositivo o nel cloud. La riservatezza sarà fondamentale: non, insomma, come è successo di recente in Olanda, dove una delle app proposte al governo olandese (Covid19 Alert!), ha subito un’esposizione di dati, circa 100-200 nomi, email, password criptate rese pubbliche. La causa, un errore umano degli sviluppatori dell’app, che hanno invitato le persone che hanno usato il software ad eliminare i dati memorizzati (informando anche del fatto il Garante privacy olandese).
Anche il Gruppo dei Garanti europei (European Data Protection Board, con comunicazione del 14 aprile) ha censurato l’utilizzo di soluzioni (come il GPS) che possono accedere alla posizione dell’individuo, in quanto lo scopo delle app (da installare su base volontaria degli utenti) sarà quello di aiutare a scoprire eventi (contatti con contagiati), non quello di tracciare tutti i movimenti.
Il progetto PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) sta diventando quindi il punto di riferimento per i governi europei. A metà aprile, avevano aderito alla piattaforma che offre un approccio standard al tema del contact tracing 7 paesi europei. Il 20 aprile, gli enti di ricerca Inria e Fraunhofer hanno condiviso i dettagli del protocollo di contact tracing che sarà utilizzato in Francia e Germania, il sistema ROBERT (ROBust and privacy-presERving proximity Tracing protocol) basato appunto su standard PEPP-PT.
Le principali caratteristiche del Sistema saranno le seguenti:
- Open participation. I partecipanti sono liberi di accedere o lasciare il sistema in qualsiasi momento.
- Simple and transparent. Il Sistema è semplice da utilizzare e comprendere.
- Easy deployment. Lo schema di utilizzo è di semplice impiego, richiede minima infrastruttura.
- Anonymity. L’app per smartphone e il database di back-end server database non raccolgono o archiviano dati personali.
- Federated infrastructure. Il Sistema deve essere in grado di essere impiegato anche in più paesi, anche in tutto il mondo. Si mantiene la sovranità nazionale, ma viene se necessario realizzata una infrastruttura federativa e sicura.
Come dichiarato dai suoi stessi fautori, anche se in questo modo sono ridotti i rischi di sicurezza (in quanto i trattamenti dei dati sono centralizzati su un server, per cui rispetto ad un approccio completamente decentralizzato, diminuisce la superfice d’attacco), deve essere chiaro per tutti, che (anche se i dati che viaggiano sono crittografati e anonimizzati) l’intera sicurezza del sistema dipende fortemente da quanto sono sicuri i server centrali delle amministrazioni pubbliche che gestiscono l’infrastruttura.
A questo riguardo, il Commissario Arcuri ha garantito il 21 aprile, in conferenza stampa alla protezione civile, che i dati anagrafici e sanitari dei cittadini dovranno essere conservati su una «infrastruttura pubblica e italiana». «La privacy e la riservatezza dei dati – ha aggiunto Arcuri – è un diritto inalienabile ed irrinunciabile». Dunque «non sarà da parte mia possibile allocare queste informazioni in un luogo che non sia un’infrastruttura pubblica e italiana». Inoltre, secondo Arcuri l’app di contact tracing non sarà obbligatoria.
Sovranità digitale o sistema decentralizzato di Goggle e Apple?
La scelta dei governi nazionali di gestire a livello centralizzato tutti i dati delle app potrebbe però scontrarsi con il progetto portato avanti insieme (storicamente è la prima volta che avviene) da Google e Apple, che con Android e iOs governano buona parte del mercato degli smartphone.
Come specificato nel sito ufficiale, “Apple e Google hanno annunciato che lavoreranno insieme con l’obiettivo di rendere possibile l’utilizzo della tecnologia bluetooth per aiutare governi e autorità sanitarie a contenere i contagi, nel pieno rispetto della sicurezza e della privacy degli utenti”. Secondo i 2 big player, inizialmente saranno rilasciate agli sviluppatori delle terze parti le interfacce di programmazione (API) per l’interoperabilità con i sistemi operativi degli smartphone. Poi sarà invece realizzata una soluzione definitiva di contact tracing, integrata nei due sistemi operativi iOs e Android. Il tema sarà quindi verificare la compatibilità delle soluzioni nazionali (con server centralizzati per la raccolta e la gestione dei dati) con il sistema che stanno realizzando Apple e Google, che al momento prevede che i dati rimangano solo sui dispositivi.
Sembra quindi che ci sia una divergenza di approccio, e nel Regno Unito, ad esempio, il problema è già emerso: poichè Apple e Google spingono per app di contact tracing che funzionino in modo decentralizzato, non facilitano il disegno di soluzioni che aggregano tutti i dati a livello nazionale, come quella progettata dal sistema sanitario UK, NHS. Il risultato è che l’app del sistema sanitario nazionale, allo stato attuale delle cose, avrebbe notevoli limiti nel funzionamento. Ad esempio, non funzionerebbe in background (ma solo “accesa”, consumando quindi molta batteria).
Lo stesso problema è emerso anche in Francia, dove il governo sta chiedendo alla Apple di rimuove gli ostacoli tecnici che stanno ritardando l’avvio dell’app di contact tracing disegnata per ridurre la diffusione dei contagi. Da notare che anche Trump aveva definito “incostituzionale” l’approccio seguito dai 2 big player (anche se poi non era stato chiarito perché: piuttosto era emerso che molti erano preoccupati dell’eccessivo “potere” in mano ai due giganti high tech). Insomma, vedremo nelle prossime settimane se Google e Apple risolveranno alcuni aspetti “tecnici” permettendo di sviluppare soluzioni che chiaramente devono essere gestite a livello di singoli Paesi.
Intanto che i lavori procedono, il 23 aprile scorso (dopo un incontro in videoconferenza tra il commissario UE per il Mercato interno, Thierry Breton, e il CEO di Apple Tim Cook) è stato annunciato che il sistema di tracciamento messo a punto da Apple e Google sarà messo a disposizione degli sviluppatori il 28 aprile.
Thierry Breton ha sottolineato che la cooperazione tra Apple e Google “deve rispettare le linee guida Ue sull’uso dei soli dati anonimi, con il consenso dell’utente e per un periodo limitato”. Breton ha esortato Cook a collaborare con i governi nazionali sull’app per il tracciamento del coronavirus e a garantire il pieno rispetto della privacy. “È responsabilità di aziende come Apple fare del proprio meglio per sviluppare soluzioni tecniche adeguate a far funzionare le app nazionali. Il coordinamento con le autorità sanitarie degli Stati membri è fondamentale”, ha affermato.
Come pubblicato da Il Sole 24 Ore, anche Bending Spoons avrebbe deciso di seguire il modello più protettivo della privacy (“decentralizzato”, Decentralised Privacy-Preserving Proximity Tracing (DP-3T)), voluto da Google e Apple. Una scelta obbligata, sia per tutelare con maggiore forza la privacy e la sicurezza dei dati; sia per avere un’app funzionante, rispettosa delle indicazioni fornite da Apple-Google. Sembrerebbe un colpo di scena (Immuni è stata scelta dal Governo perchè aderente al Consorzio Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), che propende per un approccio centralizzato). In realtà, come riporta Luigi Garofalo, anche sul sito del ministro per l’Innovazione è stato pubblicato un aggiornamento sull’applicazione: Il sistema di contact tracing dovrà essere finalizzato tenendo in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (PEPP-PT, DP-3T, ROBERT), e in particolare l’evoluzione del modello annunciato da Apple e Google.
Fase 2 e contact tracing: come funzionerà il sistema Apple-Google
Mentre si avvicina sempre di più la fine del lockdown, e da più parti arrivano domande di chiarimento sull’app nazionale di contact tracing, Apple e Google hanno dichiarato come funzionerà la loro soluzione, tra maggio e giugno. Come riportato in un nuovo documento (“Exposure Notification“), la funzionalità di contact tracing co-sviluppata dai 2 big tech sarà integrata nei rispetti sistema operativi per smartphone.
Dopo l’installazione dell’aggiornamento e il consenso fornito dall’utente, il sistema traccerà (in modo anonimo) i contatti con il Bluetooth senza richiedere inizialmente l’installazione di un’app. Saranno i device quindi a confrontare l’elenco dei contatti anonimi e se un codice di una persona positiva al Covid-19 è entrato in contatto con il proprio, allora l’utente verrà avvisato: a questo punto, se non avrà già scaricato un’app ufficiale, gli verrà chiesto di farlo, in modo che i passaggi successivi siano gestiti dal sistema sanitario nazionale.
Si seguiranno quindi le indicazioni fornite da Apple e Google, e presumibilmente l’infrastruttura su cui saranno custoditi i dati delle App (che anche in un sistema decentralizzato, con i dati personali custoditi sui singoli smartphone, dovrà necessariamente interfacciarsi con il sistema per gli aspetti sanitari, e farlo secondo precisi criteri di sicurezza e privacy) sarà nazionale, tanto che si sta pensando a realtà come Sogei o Sia.
Gli ultimi passaggi prima del DL che ufficializza l’app Immuni
E’ in via di definizione (dovrebbe essere approvato nella sera del 29 aprile) il decreto legge che rende ufficiale l’app nazionale di contact tracing Immuni di Bending Spoon, uno dei pilastri della Fase 2, insieme a una strategia sui tamponi e sulle analisi sierologiche. Le anticipazioni (come l’intervista a Colao sul Corriere) hanno confermato che l’app ha scelto il sistema decentralizzato voluto da Apple-Google.
“I contatti stanno solo sui telefonini delle persone. Quando scopro di essere contagiato, sono io che metto dentro un codice, che rilascia una serie di codici alle persone con cui sono entrato in contatto. Tutto avviene in modo anonimo: l’individuo viene informato dal sistema, ma il sistema non sa chi sono i due; la privacy dei due individui è mantenuta. Nessuno conosce l’altro. Il sistema sanitario locale — se vorrà — potrà disegnare l’App in modo da contattare i cittadini, ma in trasparenza” ha dichiarato Vittorio Colao.
Rimane l’incertezza se l’uso dell’app sarà abbastanza ampio da decretarne il successo. Secondo un sondaggio condotto in questi giorni da Ipsos, a dirsi disponibile a utilizzare Immuni è per ora solo un italiano su due: il 19% scaricherà l’app sicuramente, il 31% probabilmente lo farà. A essere contrario all’idea di installare il software invece il 27%. Attenzione quindi a come sarà presentato il sistema: devono essere ben chiari i benefici e le modalità di funzionamento.
“Non vedo perché gli italiani dovrebbero rinunciare a informazioni che non limitano ma rafforzano la loro libertà” ha aggiunto Vittorio Colao. Quando sarà disponibile l’app di contact tracing? “A maggio entrerà con le prime funzionalità – ha detto il Commissario per l’emergenza coronavirus, Domenico Arcuri – e progressivamente, in tempi ravvicinati, saranno attive anche quelle più vicine al diario clinico”, ossia la connessione con il Sistema sanitario nazionale.
A cura di:
Elena Vaciago
Associate Research Manager, The Innovation Group
(Articolo aggiornato al 29 aprile 2020)