venerdì 4 dicembre 2020

Does our “digital double” need constitutional rights?

di Enrico Nardelli

(versione in italiano qua)

Over the last seventy years, informatics, the science that has made the digital world possible, has caused a social revolution of unprecedented importance, whose effects have not yet been fully understood.

This was recently reiterated by Antonello Soro, President of the Italian Data Protection Authority (Garante per la Protezione dei Dati Personali), in the presentation speech of the Authority's 2019 annual report, describing digital innovation as «a “total social fact” capable of inscribing in new coordinates an entire construction of the world and its own anthropology» and recalling «the insidious vulnerability of our digital self».

I have therefore considered, as an ordinary citizen but also as an informatics scholar, whether this new “total social fact” is adequately considered at the constitutional level.

Other innovations (e.g., television and airplane) have dramatically changed our society over the same period. The human needs that are affected, however, are protected by the Italian Constitution not in reference to the technology with which they can be satisfied but in relation to the fundamental rights they express. Therefore the Charter has not needed any change, despite the advances in technology. For example, being able to communicate with someone or physically reach a place are essential requirements for a complete expression of social relations, but Articles 15 and 16 of the Italian Constitution keep intact their validity, even though we have today communication tools and transport systems that were difficult to predict by the constitutional fathers.

The advent of electronics and informatics has also profoundly transformed the world of media, but what is written in art. 21 has not needed any change. It is true that it has been debated over and over whether the social networks made possible by the Internet should receive a mention in our Constitutional Charter, but so far there is no definitive conclusion.

Therefore, to a first approximation it might seem that there is nothing new.

The inviolability of our personal freedom, as well as of our home and our communications, continues to remain guaranteed in the digital sphere by the same articles (articles 13, 14 and 15) that ensure it in the physical world.

However, I observe that the set of digital data referring to us, aggregated and correlated, constitutes what I call our “digital double”, that is the projection of ourselves into that new dimension of the world that has manifested itself in all its importance only with the development of digital technologies.

This element was emphasized in Soro's speech, when he recalled that «The translation, never so totalizing, of our individual and collective existence into the immaterial dimension of the web, in fact exposes each of us – first of all through our own data – to the subtle but pervasive threats of a reality, such as the digital one, as extraordinary as little safeguarded» and that «data protection, by regulating the conditions for the circulation of what, like data, represents the constituent element of digital technology, has proved to be an inescapable prerequisite for any possible balance between man and technology».

I ask, then: if this aspect is something that has enriched the kind of people we are, since we no longer live and exist just in physical space, but we have extensions and projections in the digital world, then who oversees such an important reality?

Of course, we have the GDPR (General Data Protection Regulation – the European regulation for the protection of personal data), a standard in Europe we can be proud of, for how it precisely and rigorously defines the limits of the use of the myriad of bytes that we leave behind by interacting with digital devices and systems, and the Italian legislation on the subject, the Authority chaired by Soro is the supreme guardian of.

I wonder, however, if there are some rights not protected by the current Italian Constitution. More precisely: the right to preserve our identity, which at this point no longer manifests itself only in the physical world but also in the digital one, has – maybe – remained somehow unguarded?

Art. 22 of our Charter protects some aspects relating to identity: citizenship, name, legal capacity. At the time it was written, these aspects were all that was needed. However, the explosion of the digital world has brought to light other aspects, those relating to the “digital projection of our identity”, which perhaps would require a protection of the same legislative rank. Not because they are “new”: humanity has been recording data about the world for thousands if not tens of thousands of years. But because from being a completely negligible component of our existence, they have become a relevant and important part of it and, as the health emergency of this period has unfortunately taught us, one we can no longer ignore.

Soro also observed the particularly delicate nature of this area, highlighting that «The devolution to the immaterial dimension of almost all of our activities is not a neutral process, but involves, if not supported by adequate guarantees, exposure to unexpected vulnerabilities in terms not only of information security but also of subjection to interference and controls that are often more insidious, because they are less perceptible than traditional ones».

In abstract, this data dimension has always existed, but in practice it has always had a negligible “thickness”. Nowadays, the explosion of digital systems has enormously increased it (and it will do so more and more in the future) and it has become an integral and constitutive component of our personal and social life.

This very strong and uncontrolled growth of the data dimension was remarked by Soro himself who, on a previous occasion, observed that «We need to promote a strong digital regulation both in Italy and in Europe, to protect the most relevant data, from the health ones to fiscal and national security ones, and build additional guarantees» and that therefore «the primacy of public regulation needs to be reaffirmed. Exchanged data are those referring to ourselves and the first and foremost issue is to protect the digital person».

Hasn’t the time come to provide adequate constitutional guarantees to our digital doubles?

The English version of the Italian Constitution can be found here. For ease of reading I report here below the most relevant parts of articles cited above.

Art. 13
Personal liberty shall be inviolable.
No one may be detained, inspected, or searched nor otherwise subjected to any restriction of personal liberty except by reasoned order of the Judiciary and only in such cases and in such manner as provided by the law.
Any act of physical and moral violence against a person subjected to restriction of personal liberty shall be punished.
The law shall establish the maximum duration of preventive detention.

Art. 14
Personal domicile shall be inviolable.
Home inspections, searches, or seizures shall not be admissible save in such cases and manners as shall be established by the law and in compliance with provisions safeguarding personal liberty.
Controls and inspections for reason of public health and safety, or for economic and fiscal purposes, shall be regulated by appropriate laws.

Art. 15
Freedom and confidentiality of correspondence and of every other form of communication shall be inviolable.
Limitations may only be imposed by reasoned judicial decision and in accordance with the safeguards provided by the law.

Art. 16
Every citizen has the right to reside and travel freely in any part of the country, except for such general limitations as may be established by law for reasons of health or security. No restrictions may be imposed for political reasons.
Every citizen shall be free to leave the territory of the Republic and return to it, notwithstanding any legal obligations.

Art. 21
Everyone has the right to freely express their thoughts in speech, writing, or any other form of communication.
The press may not be subjected to any authorisations or censorship.
Seizure may be permitted only by reasoned judicial order and only for offences expressly determined by the law on the press or in case of violation of the obligation to identify the persons responsible for such offences. ...
The law may introduce general provisions for the disclosure of financial sources of periodical publications.
Publications, performances, and other exhibits offensive to public morality shall be prohibited. Prevention and enforcement relating to such violations shall be established by law.

Art. 22
No-one may be deprived of their legal capacity, citizenship, or name for political reasons.

giovedì 26 novembre 2020

Il comitato “quantistico” sul voto elettronico

di Enrico Nardelli

Una recente inchiesta ha gettato uno squarcio di luce su una vicenda particolarmente importante per la democrazia. L’articolo illustra con dovizia di particolari l’esistenza di un comitato/non-comitato (da cui il titolo di questo post) del governo italiano che sta lavorando sul voto elettronico.

Tutto nasce – come racconta il giornalista – da una richiesta di accesso agli atti formulata da Fabio Pietrosanti, il presidente della Associazione Hermes, un centro no-profit per la trasparenza e i diritti umani digitali. La risposta del Ministero dell’Interno ricorda che ha ritenuto di «dare seguito agli impegni assunti dal Governo con l’approvazione di un ordine del giorno ai fini dell’adozione di Linee Guida per la sperimentazione del voto elettronico». Di conseguenza l’adozione è stata «affidata ad un organismo composto dai rappresentanti dei Ministeri della Giustizia, degli Affari Esteri e Cooperazione Internazionale, dell’Innovazione Tecnologica e Digitalizzazione, coordinato dal Direttore Centrale per i servizi elettorali del Ministero dell’Interno».

Qui comincia la mia confusione, perché il Ministero dell’Interno spiega che «non è stato adottato alcun provvedimento di costituzione dell’organismo di studio in questione». Il Ministero ne ha disposto l’istituzione e chiesto la collaborazione agli altri ministeri, l’organo si è già riunito quattro volte, ma lo si dichiara non costituito con formale provvedimento. Verrà fatto? Nella citazione sopra riportata si dice “non è stato adottato” e non “non è ancora stato adottato”. Lapsus calami? Ecco, non sono un giurista quindi persone più esperte di me sapranno certamente spiegare come sia possibile che una struttura, non formalmente costituita da una qualche istituzione ancorché formata da persone delle istituzioni, possa fornire pareri che il potere esecutivo usa come base di atti governativi. Per chi ha letto qualcosa della fisica quantistica, sembra la famosa situazione del “gatto di Schrödinger”, che era contemporaneamente vivo e morto.

D’altro canto è comprensibile che un governo voglia capire qual è la situazione relativa al voto elettronico. Solo che mettere in piedi un comitato/non-comitato non sembra la strada più brillante. Abbiamo appunto un Ministero per l’Innovazione Tecnologica e Digitalizzazione, che – come enti analoghi in altri Paesi – per tale questione tecnologica è certamente in grado di produrre un rapporto tecnico-scientifico con tutte le informazioni del caso. L’autore dell’inchiesta ne ha raccolte un po’, ricordando che Germania, Svizzera, Norvegia e Olanda lo hanno tassativamente escluso, che anche l’ente europeo per la sicurezza informatica (ENISA) ne ha sottolineato gli elevatissimi rischi, e che un recente rapporto del mitico MIT (il Massachussets Institute of Technology) ha nuovamente sconsigliato l’uso del voto elettronico perché neanche la “catena di blocchi” (la moda del momento più conosciuta come blockchain) è in grado di fornire i livelli di sicurezza ed affidabilità che sono indispensabili per un sistema così critico per la democrazia quale quello delle votazioni. Riporto qui un’utile tabellina che caratterizza le quattro macro-categorie di modalità di votazione con la loro codifica di pericolosità (dal più verde=più sicuro al più rosso=più pericoloso – mia elaborazione dall’articolo del MIT).

Aggiungo poi, per completezza di informazione, qualche ulteriore elemento di valutazione che viene dagli USA. Ad aprile di quest’anno è stata pubblicata una lettera aperta indirizzata a Governatori, Segretari di Stato, Direttori degli Uffici Elettorali, di tutti e 50 gli stati americani, dove si conclude che «la votazione via Internet non è una soluzione sicura per votare negli Stati Uniti, né lo sarà in un prevedibile futuro». La lettera è stata preparata dal Centro per l’Evidenza Scientifica nelle Questioni Pubbliche, un centro studi della Associazione Americana per l’Avanzamento delle Scienze. Tra le organizzazioni che hanno firmato la lettera appaiono quelle della comunità scientifica e tecnologica dell’informatica (ACM e CRA). Tra gli esperti che l’hanno validata basta ricordare i nomi di Vinton Cerf (il papà di Internet) e di Ronald Rivest (uno degli inventori di quella crittografia a chiave pubblica che è alla base della sicurezza delle transazioni sulla rete).

Ecco gli argomenti principali a sostegno della conclusione:

  • tutti i sistemi e le tecnologie per la votazione su Internet sono al momento attuale inerentemente insicuri;
  • non esiste alcuna evidenza tecnica che una qualunque tecnologia di votazione su Internet sia sicura o possa essere resa tale in un prevedibile futuro; al contrario, tutta la ricerca attualmente esistente dimostra il contrario;
  • nessuna tecnologia basata sulla catena di blocchi (blockchain) può ridurre i profondi pericoli inerenti nella votazione su Internet;
  • nessuna App per la votazione con dispositivo mobile è sufficientemente sicura da permetterne l’uso.

Si tratta di quattro argomentazioni che sono quattro macigni sufficientemente pesanti da affossare qualunque iniziativa, perché si tratta di elementi che derivano da vent’anni di un’analisi rigorosa e basata sull’evidenza scientifica condotta da molte organizzazioni, tra cui le tre Accademie Nazionali americane delle Scienze, dell’Ingegneria e della Medicina, il Ministero per la Sicurezza Nazionale, e l’Istituto Nazionale per gli Standard e la Tecnologia.

Ora, in linea puramente teorica, i punti sopra ricordati non sono un teorema matematico di impossibilità che, se non contiene errori nella sua dimostrazione, chiude per sempre ogni strada che non sia quella di cambiare le assunzioni di partenza (è il drogante potere che fa amare la matematica a chi la fa). Nulla vieta che comunque un ricercatore voglia provare ad ottenere un qualche risultato che nessuno è ancora riuscito a vedere.

Però si tratta di un’attività più adatta a chi fa della ricerca la sua professione, che a un comitato/non-comitato in cui appare esserci un solo esperto tecnico (che non è un ricercatore). Tale comitato/non-comitato non sembra essere la strada più efficace per esprimere un parere su di un tema sul quale abbiamo un apposito ministero.

Mentre aspettiamo sviluppi sulla vicenda riporto per il lettore interessato una tabella che classifica i vari rischi del voto a distanza in base alla tecnologia usata per ognuno dei tre passi fondamentali (invio della scheda elettorale elettronica in bianco, espressione del voto sulla scheda, restituzione della scheda votata), che ho elaborato da una bozza di linee guida preparata dall’Agenzia per la Sicurezza delle Infrastrutture e la Cibersicurezza del Ministero per la Sicurezza Nazionale USA di cui ha parlato The Guardian qualche mese fa (NA = caso non applicabile).

Versione originale pubblicata su "Key4Biz" il 23 novembre 2020.

sabato 7 novembre 2020

Una giornata nell'inferno della trasformazione digitale

di Enrico Nardelli

Ho fatto accesso stamattina al sito dedicato al buono mobilità alle 9:00 in punto per capire se questa volta, dopo i numerosi episodi di disservizio digitale che si erano verificati negli ultimi mesi, si fosse riusciti a far tesoro dell'esperienza.

Speranza delusa: questo ne è il fedele resoconto.

Il sito risponde lentamente e visualizza solo un testo che spiega che la distribuzione dei posti in coda avverrà a partire dalle 9:30.

Quando si fa la coda di persona in un qualunque posto, tutti sono in grado di "vedere" fisicamente la situazione della coda stessa, capire in che posto si è, magari decidere che non vale la pena attendere. Nel mondo digitale non abbiamo organi di senso che ci forniscono queste informazioni in modo nativo e, nonostante quarant'anni di ricerca e di esperienza nel settore della "interazione uomo-computer" ancora si continuano a realizzare sistemi digitali che non danno visibilità all'utente sullo stato del sistema digitale. Il feedback, come dicono gli anglofoni, è assente, ma a nessuno di quelli che ci raccontano che la “trasformazione digitale” è meravigliosa sembra importare alcunché.

Un po' prima delle 9:30 appare la domanda che chiede se si ha lo SPID. Rispondo positivamente, poi inserisco il comune di residenza. A questo punto una scritta rossa, quindi di allerta, distrae un po', perché intima di avere con sé la ricevuta dell'acquisto, ma il sito dovrebbe servire anche a chi non ha ancora acquistato niente... Passato lo smarrimento, ci si arrischia a cliccare comunque su “Accedi” solo per essere rimandati alla casella di partenza: sei in possesso dello SPID? Momento di straniamento, uno pensa “forse ho saltato un passaggio” e ricomincia. Al terzo giro è chiaro che non hai saltato niente. Allora si clicca sull'altro pulsante disponibile “area esercenti”. Qui c'è un messaggio di benvenuto nella coda degli esercenti che vogliono aderire come fornitori all'iniziativa. Sono circa 30mila, ma secondo me la stragrande maggioranza di questi di questi sono semplicemente utenti che stanno cercando di capirci qualcosa. Rimango lì e apro un altro browser per un altro tentativo.

Verso le 9:35 circa su questo secondo browser finalmente appare un messaggio che dice che sono in attesa e che la distribuzione dei numeri in coda avverrà in modo casuale entro le 10, e dopo si potrà avere l'accesso, con 20 minuti a disposizione per perfezionare la domanda.

Perbacco, mi dico, questa della distribuzione casuale dei numeri sarebbe stata un'ottima idea per evitare un “assalto alla diligenza” se solo uno l’avesse saputo in anticipo. Adesso sembra un po' una presa in giro, soprattutto considerando che tutti i media avevano parlato di una distribuzione basata sull'ordine di accesso al sito... Mentre faccio un giro su Twitter alla ricerca di novità scopro che però il messaggio è ancora cambiato e non si parla più di distribuzione casuale dei numeri: sarà perché hanno capito che era meglio evitare di irritare ancora di più chi è in attesa?

Il browser mi dice che ci sono circa 200mila persone davanti a me, e mi consolo pensando che in fin dei conti non va male visto che con le disponibilità complessive stanziate (215 milioni di euro ed un contributo massimo di 500 euro) si possono coprire 430mila richieste.

Però la coda non scorre, senza che il sistema segnali niente. Di nuovo, assenza completa di informazioni per l'utente finale, che non sa che pesci prendere. Ricaricare la pagina? E se poi si perde il posto in fila? Quando riusciranno a capire che gli esseri umani non vedono i bit ed hanno bisogno di informazioni di contesto?

Intorno alle 10:50 (vado a memoria) finalmente il contatore degli utenti in coda comincia a scorrere. Faccio una prima valutazione di velocità e il tutto sembra procedere bene. Smaltiscono circa 3.000 utenti al minuto, quindi 180mila l'ora, il che vuol dire per me poco più di un'ora di attesa. Fortunatamente sono via rete, quindi posso fare altro nel frattempo, diversamente da quando si è in coda fisicamente in un certo posto. Segno mentalmente un punto a vantaggio del digitale. Però, dopo una mezz'oretta, mi accorgo che la velocità è notevolmente diminuita. Adesso siamo a circa 30mila utenti l'ora, il tempo di attesa previsto ritorna quello di una giornata, e la trasformazione digitale perde tutti i suoi vantaggi.

Mi dedico ad altro, buttando di tanto in tanto l'occhio sul browser. Finalmente, circa alle 14:10, mi fanno entrare, ma me ne sono accorto un po' in ritardo ed ho solo una quarto d'ora a disposizione. Vabbé, penso, mi ero comunque dotato di SPID associato alla mia PEC, il tutto sarà veloce, perché i miei dati li hanno già tutti.

Inserisco le credenziali di SPID e qui casco dalla sedia: il sistema mi chiede un OTP (che non è un parolaccia ma una password “usa e getta”: benedetti tecnici, ma volete imparare a parlare come le persone normali?) generato sulla mia app legata allo SPID. Oddio, ma non ho mai usato l'app per la PEC, la leggo sul PC! Sconsolato, guardo comunque sul mio smartphone e scopro che invece ho l'app del mio fornitore di PEC. Probabilmente l'avrò installata quando ho chiesto SPID, mi consolo, e penso che, meno male, il problema è risolto. Apro l'app e questa però mi chiede, per generare un OTP, di inserire il mio codice di sblocco. Di nuovo grandi punti interrogativi si annuvolano sulla mia testa. Che sarà mai? Faccio un po' di ricerca nella mia posta elettronica e sul sito della PEC per cercare questo codice di sblocco, ma nulla. A questo punto, interrogo la rete, mentre già penso che non farò mai in tempo. Capisco che il codice di sblocco viene generato all'atto dell'installazione della app, ma per qualche motivo non devo averlo annotato insieme alle altre credenziali.

Alla fine mi decido al gesto estremo: scollegare la app dall'identità elettronica legata alla mia PEC e riconnetterla. Hic terra incognita: non so quali possano essere le conseguenze e quanto tempo ci vorrà, ma non ho scelta e mi butto. Mi chiede di nuovo username e password della PEC (provate ad inserire una password molto robusta tipo D4HALs~RVepw.aV& - tranquilli, non è quella vera - con uno smartphone che dopo 2 secondi ti nasconde il simbolo digitato, poi parliamo di stress...), successivamente il codice di conferma inviato via SMS e poi posso finalmente generare questo codice di sblocco. Questa volta me lo annoto gelosamente, esco e rientro dall'app ed ho finalmente il mio OTP.

Di nuovo al browser, inserisco l'OTP sperando di essere ancora nei 20 minuti: ho tenuto d'occhio l'orologio e, come in un film, sono proprio agli sgoccioli. Clicco per entrare e come un pugno nello stomaco mi appare una schermata da sviluppatore, che in gergo inglese da programmatore mi comunica che un certo servizio non funziona. Ma porc... eppure sono ancora nei tempi... OK ormai è andata, ma provo comunque a ricaricare la pagina pensando che magari il sistema è stato un po' “duro d'orecchi” al primo tentativo. Il sistema, tornato in sé, mi avvisa gentilmente che “c'è stato un errore” (ah sì? ma guarda un po', non me n'ero accorto!) e mi intima di non cliccare né su ricarica né su avanti né su indietro. Sono un po' testardo e penso che peggio di così non può andare e quindi con i pulsanti di navigazione provo ad andare qualche passo indietro. Per un po' il sistema risponde sempre nello stesso modo, ma quando rientro nella schermata di accesso mediante SPID invece mi ripropone la scelta del fornitore di SPID con cui accedere. Timidamente speranzoso ci riprovo, username e password, ok, mi chiede l'OTP, lo genero sullo smartphone e lo digito, poi premo invio e resto in attesa del verdetto... un attimo di suspense.... sono entrato!

A questo punto la strada è abbastanza in discesa: mi chiedono di nuovo il mio comune di residenza. Non capisco bene perché dal momento che si tratta di un’informazione che dentro SPID posseggono e me l'hanno già chiesta all'inizio della procedura, ma a questo punto uno non sta tanto a sottilizzare. Poi – ma solo a fini statistici – per quale tipologia di bene/servizio voglio il buono e le caratteristiche del bene/servizio per cui intendo usarlo. Alla fine ce l'ho fatta.

È chiaro che così non può funzionare. Il mio livello di esperienza e conoscenza con questi servizi è assolutamente al di là di quanto gran parte della popolazione possiede.

La trasformazione digitale condotta in questo modo sarà la più grande emarginazione di massa della storia o la più grande manipolazione di massa della storia. O tutt'e due insieme. Cambiamo strada prima che sia troppo tardi.

Versione originale pubblicata su "Key4Biz" il 4 novembre 2020.

venerdì 23 ottobre 2020

Un’infrastruttura digitale pubblica per scuola e università

di Enrico Nardelli

In una società sempre più digitale le infrastrutture di base per la comunicazione, la condivisione e lo scambio dei dati assumono una rilevanza strategica sempre maggiore. In molti paesi industrializzati le infrastrutture digitali operanti nei settori di interesse centrale per la società sono fornite e controllate dallo Stato. Si è visto in modo abbastanza chiaro nel recente periodo di emergenza sanitaria. In Francia, ad esempio, il governo ha attivato per le teleconferenze dei suoi dipendenti un servizio proprio, ospitato su server statali, a maggior protezione della riservatezza delle comunicazioni. Lo stesso ha fatto per il settore scolastico.

In Italia il consorzio GARR è nato per fornire la rete ad alte prestazioni per docenti, ricercatori e studenti delle università e degli enti di ricerca italiani. Nel corso degli ultimi anni ha poi maturato approfondite competenze per la realizzazione ed il dispiegamento di soluzioni in tecnologia cloud, gestibili in modo efficiente ed efficace, grazie a quell’elevata automazione che solo un’informatica ben realizzata consente di ottenere. Possono così creare e gestire server virtuali in modo molto efficiente in termini di utilizzo di personale. In aggiunta a questo, è stato introdotto un servizio, denominato DaaS (Deployment as a Service), che consente a chi non è un sistemista o è digiuno di tecniche di virtualizzazione, di creare sulla stessa piattaforma cloud istanze di applicazioni utili per il lavoro collaborativo, scelte da un catalogo. Ad esempio, in pochi passi si può attivare una propria istanza di Moodle (un ambiente open source di tele-didattica) e poi gestirla in autonomia.

L’ISTAT e la Società Italiana di Statistica utilizzano tale infrastruttura per l’effettuazione delle Olimpiadi di Statistica. Durante il periodo di quarantena, mediante questa infrastruttura sono stati messi a disposizioni delle scuole servizi cloud che le hanno aiutate nella didattica a distanza sul sito Sono tutti servizi basati su software open source, con le conseguenti garanzie relative alla loro sicurezza ed al trattamento dei dati.

L’architettura tecnologica della piattaforma è di tipo federato, per cui è possibile estendere la disponibilità di risorse in modo modulare: istituzioni che vogliono supportare l'iniziativa possono contribuire creando una propria regione cloud con un certo numero di server, che vengono integrati, in modo automatico, nella federazione e gestiti in forma unitaria. Essa potrebbe essere la base sulla quale sviluppare servizi per le istituzioni italiane, a partire da quelle storicamente e culturalmente più vicine al consorzio, quelle dell'università e ricerca e della scuola.

Realizzare una tale infrastruttura per i settori della scuola e dell’università consentirebbe alle organizzazioni del mondo scolastico o accademico di poter avere e gestire una piattaforma controllata da loro stessi per tutte le attività di lavoro e didattica collaborativi a distanza, invece di doversi necessariamente affidare a soluzioni commerciali. Su tali macchine virtuali in cloud possono essere installate applicazioni open source di tele-conferenza (tipo quelle proprietarie offerte da,, Zoom o Skype), tele-didattica (tipo MS Teams), archiviazione e condivisione file (tipo DropBox), automazione d'ufficio (tipo Google Docs), distribuzione video (tipo YouTube), con un maggior controllo da parte del gestore sulla privacy e sui contenuti e senza essere sottoposti a scelte politiche e giurisdizionali altrui.

Per indicazioni su applicazioni open source da installare al posto delle più note soluzioni proprietarie sopra indicate si può consultare questo sito, oppure questo, o anche quest'altro.

Una comunità pubblica che non sviluppa e controlla una propria infrastruttura di gestione e scambio di dati e competenze pagherà un prezzo enorme in termini di possibilità di scegliere la sua direzione di sviluppo perché sarà sempre più dipendente da sistemi e conoscenze che non le appartengono, soggetta alla sorveglianza di chi controlla le infrastrutture usate.

Va inoltre considerato che la realizzazione di infrastrutture "in casa", al posto della loro acquisizione sotto forma di servizi "sul mercato", vuol dire costruire un patrimonio che non solo rimane a disposizione anche dopo la fine del periodo di ammortamento ma che supporta la crescita e la diffusione di conoscenze tecniche preziose per lo sviluppo dell'economia italiana, che si poggerà sempre di più sul digitale. Si ottiene così con un effetto moltiplicativo di enorme importanza, nel quale esperienze e servizi oltre a produrre benefici sulla comunità degli utenti incrementano il valore dell'infrastruttura stessa. In alternativa a tale scelta di investimento, l'acquisizione degli stessi servizi in conto spese correnti determina solo un incremento di consumi senza effetti sulla crescita del territorio.

Quanto realizzato sinora dal GARR è la dimostrazione iniziale che questa strada può funzionare. Renderne la fruizione possibile a tutta la potenziale platea degli attori richiede ovviamente di dotare il GARR di adeguate risorse materiali (macchine, energia, condizionamento, manutenzione) e umane (tecnici, amministrativi, responsabili), che vanno reperite in aggiunta all'attuale budget del consorzio. È inoltre necessario coinvolgere sia il Ministero dell’Istruzione che quello dell’Università e Ricerca, come istituzioni di riferimento per questi settori.

Una prima stima quantitativa per il solo mondo scolastico porta ad una valutazione di circa 3,5 milioni di euro l'anno, di cui 2Meuro per materiale ed esercizio e 1,5Meuro per personale (circa 30 unità, per la gestione sistemistica dell'infrastruttura), ipotizzando di dotare circa 300.000 classi di 40GB di spazio storage ognuna, e servendole con un pool complessivo di circa 30.000 Macchine Virtuali. Nell'a.s. 2016-17 in Italia si contavano circa 331.000 classi. Maggiori risorse possono essere garantite con costi linearmente corrispondenti. Per il mondo dell'università vanno fatte analoghe stime.

In termini di modello organizzativo, va considerato che andrà fornita agli utenti interessati la disponibilità di persone in grado di gestire le applicazioni installate in cloud secondo le esigenze dell'organizzazione. Creare una macchina virtuale ed installarvi le app necessarie è solo il primo passo e viene garantito dal personale sistemistico sopra individuato. La gestione di tale "ambiente" accompagnando l'organizzazione nello sviluppo del suo uso richiede competenze che sono essenziali per l'efficacia dell'infrastruttura tecnologica ma che, soprattutto nel mondo della scuola, non sono facilmente disponibili. Possono però essere trovate abbastanza facilmente per la soluzione GARR, basata interamente su software open source, dal momento che abbiamo in Italia una vasta comunità di professionisti ed aziende esperti del settore. Qui bisognerebbe mettere a punto un catalogo standard di servizi che potrebbe essere concordato con le associazioni di settore ed a cui potrebbe contribuire il CINI (Consorzio Interuniversitario Nazionale per l’Informatica) per un supporto scientifico. Le risorse economiche per il pagamento di tali servizi dovrebbero essere oggetto di dotazioni aggiuntive ad-hoc nell'ambito degli investimenti sulla trasformazione digitale del Paese.

Un completo sviluppo di questa infrastruttura sarebbe probabilmente possibile con un centinaio di milioni di euro. Si sta parlando in queste settimane dei fondi europei che dovrebbero arrivare per rilanciare l’economia italiana, circa un centinaio di miliardi (non milioni!) di euro. Quale migliore opportunità allora per costruire soluzioni che affranchino il nostro Paese dallo strapotere delle big tech (sotto scrutinio anche da parte della politica americana) e diffondere una conoscenza preziosissima per il nostro futuro sviluppo?

Versione originale pubblicata su "Key4Biz" il 19 ottobre 2020.

venerdì 24 luglio 2020

La legge dell'impatto sociale della tecnologia digitale

di Enrico Nardelli

La legge dell’impatto sociale della tecnologia digitale – «L'impatto sociale della tecnologia digitale è imprevedibile, anche tenendo conto della Legge dell'impatto sociale della tecnologia digitale.»

Questa variazione della Legge di Hofstadter (l'indimenticabile autore di "Gödel, Escher, Bach") sulla pianificazione delle attività («Per fare una cosa ci vuole sempre più tempo di quanto si pensi, anche tenendo conto della Legge di Hofstadter») mi è venuta in mente qualche tempo fa, quando partecipavo al dibattito sulle applicazioni di tracciamento digitale dei contatti per la gestione della pandemia del Covid-19. Centralizzato o decentralizzato, anonimo o pseudonimo, volontario od obbligatorio, dalla libertà individuale più sfrenata al controllo sociale più orwelliano.

Ho partecipato ad alcune discussioni più tecniche e dato qualche contributo informativo sulle disposizioni legislative in merito, ma sempre più forte sta crescendo dentro di me la convinzione che la maggior parte delle persone non si rende conto fino in fondo di quanto sia delicata l'intersezione tra la tecnologia digitale e la società umana (e, quindi, di quanta prudenza andrebbe adoperata).

Personalmente tendo a giustificare tale incomprensione, perché il grosso dell'umanità convive con strumenti digitali da neanche un ventennio, nel quale molto poco è stato fatto dai governi per insegnare qualche concetto fondamentale. D’altro canto, si tratta di tecnologie più dirompenti di quella della stampa a caratteri mobili, più sconvolgenti della rivoluzione industriale.

Se guardiamo con un po' di distacco l'evoluzione dell'umanità negli ultimi cinquemila anni (grosso modo il periodo in cui sono nate civiltà un po' più socialmente evolute di una tribù) ci rendiamo conto che i progressi tecnologici hanno avuto modo di essere assorbiti e digeriti per generazioni e generazioni, nel corso delle quali le società avevano il tempo di adattare le loro strutture sociali a quanto stava accadendo.

Con la diffusione della tecnologia digitale è invece accaduto che in brevissimo tempo sono state sovvertite un paio di leggi della natura che, nel bene e nel male, hanno sempre regolato la nostra esistenza.

La più importante è quella che ci ricorda che ogni cosa, prima o poi, finisce. Ogni essere vivente prima o poi muore e con la sua morte spesso cadono nell'oblio le sue azioni e le sue relazioni. Nella nostra vita digitale ciò non succede, e man mano che le rappresentazioni digitali diventano sempre più sofisticate questo sovvertimento urta sempre più in conflitto con il senso comune. Certo, anche secoli fa avevamo statue che ricordavano ai posteri fattezze e gesta dei personaggi famosi, ma adesso l'eternità (digitale) è alla portata di tutti.

In secondo luogo – e connesso con il primo elemento "sovversivo" – vi è il superamento delle barriere spazio-temporali che rendono la replicazione di qualunque artefatto digitale pressoché istantanea e ubiqua. Il nostro "doppio digitale" può essere replicato quante volte si vuole, dove si vuole, senza fatica, obiettivo possibile solo agli dèi, prima d'ora.

A causa del superamento di queste due “colonne d'Ercole” un segreto digitale – una volta svelato – vivrà in eterno ed in tutto il mondo. Non è un caso che il fondamentale diritto naturale all'oblio ha avuto bisogno di un'esplicita normativa per poter essere riconosciuto dalla società digitale. E non è accaduto subito, e non è accaduto in modo incruento: esistenze sono state spezzate prima di arrivare a porvi rimedio.

L'aver scardinato questi limiti invalicabili nel rapido spazio di una sola generazione ci ha portati in un territorio del tutto inesplorato, in cui rischiamo di fare la fine di Ulisse nell'inferno dantesco:
Tre volte il fé girar con tutte l’acque
a la quarta levar la poppa in suso
e la prora ire in giù, com’altrui piacque,
infin che ’l mar fu sovra noi richiuso.
Il problema è espresso dalla Legge che ho sopra enunciato, cioè che non riusciamo a capire l'impatto di questa tecnologia perché troppo "aliena" rispetto a noi (riascoltate questa riflessioni su Internet di David Bowie di 10 anni fa) e perché la combinazione a crescita esponenziale delle interazioni tra tecnologie e situazioni va al di là delle nostre possibilità di comprensione.

Eppure dovremmo sapere, visto che da scimmie nude ci siamo trasformati nei (quasi) signori e padroni di questo pianeta, che tutto quello che è disponibile verrà sfruttato in tutti i modi possibili. E non siamo in grado di prevederne le conseguenze. Le possibili combinazioni ed interazioni richiederebbero quindi di procedere con piedi di piombo, mentre invece sembra che stiamo correndo bendati verso il precipizio.

Dunque, cerchiamo di essere molto, ma davvero molto, prudenti ogni volta che prendiamo in mano la "bacchetta" del digitale. Rischiamo di trovarci nella stessa situazione dell'apprendista stregone, ma senza un maestro in grado di rimettere le cose a posto.

Versione originale pubblicata su "Key4Biz" il 21 luglio 2020.

mercoledì 1 luglio 2020

Il nostro “doppio digitale” necessita di diritti costituzionali?

di Enrico Nardelli

(english version here)

Nel corso degli ultimi settant’anni l’informatica, la scienza che ha reso possibile la realizzazione del mondo digitale, ha causato una rivoluzione sociale di portata inaudita, i cui effetti non sono stati ancora compresi nella loro pienezza.

Lo ha ribadito di recente Antonello Soro, Presidente dell’Autorità Garante per la Protezione dei Dati Personali, nel discorso di presentazione della relazione annuale 2019 dell’Autorità, descrivendo l’innovazione digitale come «...“fatto sociale totale” capace di inscrivere in nuove coordinate un’intera costruzione del mondo e la sua stessa antropologia» e ricordando «l’insidiosa vulnerabilità del nostro io digitale».

Ho quindi riflettuto, da comune cittadino ma anche da esperto di informatica, se questo nuovo “fatto sociale totale” sia adeguatamente considerato a livello costituzionale.

Altre innovazioni (, la televisione e l'aeroplano) hanno cambiato la nostra società in modo incredibile nello stesso periodo. Le esigenze umane su cui esse hanno effetto, però, essendo state tutelate dalla nostra Costituzione non in riferimento alla tecnologia con cui possono essere soddisfatte ma in relazione ai diritti fondamentali che esprimono, non hanno avuto bisogno di nessun adattamento, nonostante gli avanzamenti della tecnica. Poter comunicare con qualcuno o raggiungere fisicamente un posto sono, ad esempio, esigenze imprescindibili per una compiuta espressione delle relazioni sociali, ma gli artt. 15 e 16 della Costituzione mantengono intatta tutta la loro validità, pur avendo noi oggi a disposizione strumenti di comunicazione e sistemi di trasporto difficilmente prevedibili dai padri costituzionali.

L’avvento prima dell’elettronica e poi dell’informatica ha trasformato profondamente anche il mondo dei media, ma quanto scritto nell’art. 21 non ha avuto bisogno di alcun cambiamento. Si è discusso e si discute, è vero, se le reti sociali rese possibili da Internet non debbano ricevere una menzione nella nostra carta fondativa, ma sinora non c’è alcuna definitiva conclusione.

In prima approssimazione potrebbe quindi sembrare che non ci sia niente di nuovo.

L’inviolabilità della nostra libertà personale, così come del nostro domicilio e delle nostre comunicazioni, continua a rimaner garantita nella sfera digitale dagli stessi articoli (artt. 13, 14 e 15) che la assicurano nel mondo fisico.

Osservo, però, che l’insieme dei nostri dati digitali, aggregati e correlati, costituisce ciò che chiamo il nostro “doppio digitale” ovvero la proiezione di noi stessi in quella nuova dimensione del mondo che si è manifestata in tutta la sua importanza solo con lo sviluppo della tecnologia digitale.

Questo elemento è stato enfatizzato nel discorso di Soro, quando ha ricordato che «La traslazione, mai così totalizzante, della nostra esistenza individuale e collettiva nella dimensione immateriale del web, espone infatti ciascuno di noi – in primo luogo attraverso i propri dati – alle sottili ma pervasive minacce di una realtà, quale quella digitale, tanto straordinaria quanto poco presidiata» e che «la protezione dati, regolando le condizioni per la circolazione di ciò che, come il dato, rappresenta l’elemento costitutivo del digitale, si è rivelata un presupposto ineludibile di ogni possibile equilibrio tra l’uomo e la tecnica».

Mi chiedo, allora: se questo aspetto è qualcosa che ha arricchito il tipo di persone che siamo, perché non viviamo e non esistiamo più soltanto nello spazio fisico, ma abbiamo delle estensioni, delle proiezioni, nel mondo digitale, chi presidia questa realtà così importante?

Certo, abbiamo il GDPR (General Data Protection Regulation – il regolamento europeo per la protezione dei dati personali), una norma di cui in Europa possiamo essere fieri per come definisce con precisione e rigore i limiti dell’utilizzo della miriade di byte che ci lasciamo dietro interagendo a piè sospinto con dispositivi e sistemi digitali, e la normativa italiana in materia, di cui l’Autorità presieduta da Soro è il sommo custode.

Mi interrogo, però, se non ci siano dei diritti non presidiati dall’attuale Costituzione. Non è, forse, rimasto sguarnito il diritto a preservare la nostra identità, che a questo punto non si estrinseca più soltanto nel mondo fisico ma anche in quello digitale?

L’art. 22 protegge alcuni aspetti relativi all’identità: cittadinanza, nome, capacità giuridica. Al momento in cui è stata scritta, questi aspetti erano tutto quello che serviva. L’esplosione del mondo digitale ne ha però messo in luce altri, quelli relativi alla “proiezione digitale della nostra identità”, che forse potrebbero richiedere una tutela dello stesso rango legislativo. Non perché siano “nuovi”: l’umanità registra dati sul mondo da migliaia se non decine di migliaia di anni. Ma perché dall’essere una componente del tutto trascurabile della nostra esistenza ne sono diventanti una parte rilevante ed importante e, come ci ha purtroppo insegnato l’emergenza sanitaria di questo periodo, di cui non si può più disinteressare.

Sempre Soro ha osservato la natura particolarmente delicata di quest’area, evidenziando che «La devoluzione alla dimensione immateriale di pressoché tutte le nostre attività non è un processo neutro, ma comporta, se non assistito da adeguate garanzie, l’esposizione a inattese vulnerabilità in termini non solo di sicurezza informatica ma anche di soggezione a ingerenze e controlli spesso più insidiosi, perché meno percettibili di quelli tradizionali.»

In astratto, la dimensione dei dati è sempre esistita, ma in concreto ha sempre avuto uno “spessore” trascurabile. L’esplosione dei sistemi digitali l’ha però enormemente accresciuta (e sempre di più lo farà in futuro) ed è ormai componente integrante e costitutiva della nostra vita personale e sociale.

Questa fortissima ed incontrollata crescita della dimensione dei dati è stata rimarcata dallo stesso Soro che, in una precedente occasione, ha sottolineato che «Bisogna promuovere una forte regolazione del digitale ... per proteggere i dati più rilevanti ... e costruire garanzie ulteriori» e che pertanto «il primo punto è proteggere la persona digitale».

Non sono quindi l’unico a pensare che sia giunto il momento di predisporre “adeguate garanzie”.

Versione originale pubblicata su "Key4Biz" il 26 giugno 2020.

giovedì 25 giugno 2020

Le promesse tradite dell'automazione digitale

di Enrico Nardelli

La storia dell'automazione nell'ambito dell'evoluzione delle società occidentali è interessante. Sono solo un amatore, in ambito storico, ma certamente abbiamo visto nel corso dei secoli passati cambiamenti sociali ed automazione avanzare insieme rendendo certi aspetti della vita più comodi e consentendo a molti di migliorare le loro condizioni di vita.

Consideriamo anche soltanto la vita domestica (ma ragionamenti analoghi si posso fare per quella lavorativa). Fino a metà del secolo scorso nella famiglia di un membro della classe professionale media c'erano comunque un certo numero di domestici, addetti a tutta una serie di attività che vanno comunque espletate in una famiglia. Fino alla diffusione del telefono (che inizia a cavallo tra l'800 e il 900) anche comunicare qualcosa ad un parente poco distante richiedeva una visita o l'invio di un messaggero. Il numero dei servitori variava ovviamente in funzione del reddito del capofamiglia (quasi sempre l'uomo) e tutti rispondevano a sua moglie, a tutti gli effetti un vero e proprio manager aziendale (sarà per questo che le start-up guidate da donne sono più redditizie di quando a guidarle sono gli uomini?).

Il Novecento è il secolo in cui l'automazione cresce in maniera sempre più esplosiva, con gli elettro-domestici che soppiantano quelli in carne ed ossa e consentono l'affrancamento della donna dalla cura della casa. Non tutto va bene fin da subito, dal momento che una lavatrice è solo un pezzo di ferro infinitamente più stupido di un domestico in grado di lavare i panni secondo le direttive della padrona di casa applicate in modo flessibile dalla sua intelligenza. Però, da un lato lo sforzo delle aziende nel produrre apparecchi comprensibili e facili da usare, dall'altro l'adattamento delle persone nell'usare tali dispositivi per quello che sono in grado di realizzare, fanno sì che effettivamente molte "diavolerie tecnologiche" rendono oggi la vita più comoda e hanno permesso a persone che un tempo sarebbero state servitori a vita di costruire per loro e per le loro famiglie una vita più gratificante.

Con l'avvento però dell'automazione elettronica, che diventa ben presto automazione digitale, la tendenza si inverte. Il problema è che le macchine iniziano ad operare in un contesto caratterizzato dalla percezione del mondo esterno e dalla decisione basata sulla sua interpretazione, situazione difficilmente governabile se non si ha l'intelligenza umana, a meno di operare in settori molto ristretti. L'automazione industriale, infatti, dagli anni '80 in avanti fa progressi da gigante: pensate soltanto a come molti processi produttivi vengono completamente robotizzati. Noi, invece, in quel periodo nelle nostre case lottiamo contro un video registratore che non ne vuol sapere di registrare il nostro programma preferito.

Poi arriva l'informatica personale, pian piano inserita in tutti i dispositivi, dagli elettrodomestici ai cellulari, e in tutti i servizi, dalle banche agli sportelli della Pubblica Amministrazione.

E qui si celebra il grande tradimento.

Le persone sono lasciate in balia di meccanismi mostruosamente complicati, che non mostrano alcun segno del loro stato interno e non offrono alcuna possibilità di capire cosa stia succedendo. Sono costrette a seguire come burattini liste di azioni incomprensibili, che attuano religiosamente sperando di non sbagliare, mentre i più superstiziosi le accompagnano con gesti apotropaici ("non si sa mai!"). Come risultato ci troviamo trasformati, noi che dovremmo essere i signori e padroni delle macchine, in schiavi senza via di fuga.

In parallelo a questo, aziende grandi e piccole (e tanto di più quanto maggiore è la loro dimensione) fanno scempio della nostra privacy, ficcando il naso in tutto ciò che facciamo ed ascoltando perfino tutto quello che diciamo (e tra un po' scopriremo che ci videoregistrano anche!).

L'automazione digitale, resa possibile dall'informatica, nella generale assenza di una politica industriale di settore, non viene applicata a rendere migliore la nostra vita ma la peggiora. Lavoriamo di più ed in modo più stressato, soprattutto coloro che fanno lavori di concetto. Un tempo avevamo personale per il disbrigo di aspetti più operativi, tipo scrivere fisicamente una lettera, protocollarla e spedirla. Adesso, meraviglia del digggitale (le tre 'g' sono volute!) dobbiamo farlo in prima persona, perdendo però tempo a cercare di capire se l'indirizzo del destinatario è quello giusto, se c'è la connessione di rete, se il sistema automatico di protocollazione della nostra organizzazione vuole che clicchiamo in questa o quella casella di spunta e così via.

Sia chiaro, non mi sto lamentando perché non ho più a disposizione personale di segreteria. Sto protestando perché l'automazione digitale non è stata realizzata come promesso, non ci ha liberato ma schiavizzato, distruggendo il nostro tempo libero. La "produttività" è aumentata, ma i benefici non sono stati equamente ripartiti (vedi grafico sotto).

del Duemila, ci si accorge che siamo nello stesso tipo di situazione. Continuano a farci lo stesso tipo di promesse, ma la realtà - che adesso abbiamo toccato con mano - è terribilmente diversa.

Non ho bisogno di servizi digitali intelligenti che con algoritmi sofisticati cercano di capire cosa io potrei volere, ho necessità di servizi che fanno poche cose - quelle che davvero mi servono, ma le fanno sempre bene, senza farmi perdere tempo, e - come avrebbe fatto un domestico del secolo scorso - proteggono me e la mia famiglia da intromissioni indebite.

Insomma, un automazione digitale “semplice, ma rispettosa e fidata”.

Ripartiamo da questo.

Versione originale pubblicata su "Key4Biz" il 22 giugno 2020.

mercoledì 13 maggio 2020

Tracciamento digitale e app Immuni: la fiducia non è cosa da poco

di Isabella Corradini

Da settimane si dibatte sul tema del tracciamento digitale dei contatti, in particolare con riferimento alla app Immuni, vale a dire l’applicazione che, scaricata sui dispositivi di telefonia mobile, permetterebbe di allertare le persone di essere entrate in contatto con soggetti risultati positivi al Covid-19 (Decreto legge 30 aprile 2020 n. 28, articolo 6, sistema di allerta Covid-19).

Esperti di diritto e di informatica, giornalisti e non solo pongono quesiti: chi ha scelto cosa e perché, che tipo di valutazioni sono state fatte in termini di impatto complessivo, quale la percentuale necessaria a rendere l’applicazione efficace. Tante le richieste di chiarimento (si veda il documento ANORC che io stessa ho sottoscritto), ancora poche e poco chiare le risposte.
Nel frattempo, ad alimentare quella che ormai viene definita una saga, arriva la proposta di braccialetti anti Covid-19 per far tornare i bambini a scuola in sicurezza e l’indiscrezione riguardo il possibile utilizzo del Gps - oltre che del Bluetooth - per l’app Immuni, modalità non prevista dal decreto di cui sopra, che esclude invero la geo-localizzazione dei singoli utenti.
Sia ben chiaro, gli schieramenti aprioristici non sono utili a nessuno, esiste il dibattito (anche critico) come mezzo privilegiato per arrivare ad una soluzione che tenga conto di tutte le criticità del tracciamento digitale.

La questione che vorrei porre riguarda il lato sociale delle soluzioni tecnologiche: qualcuno si è chiesto quale impatto sulle relazioni sociali e relative dinamiche simili applicazioni possono avere, visto che stiamo parlando di registrare i contatti (anche se con tutte le dovute attenzioni e garanzie di privacy) di esseri umani in carne ed ossa?
La caratteristica della “non obbligatorietà” (sacrosanta!) pone, ad esempio, la questione relativa ad un possibile comportamento sociale discriminatorio tra chi usa la app e chi no.

Con riferimento all’app Immuni, si legge al punto 4 dell’articolo 6 del DL 30 aprile 2020 che “il mancato utilizzo dell’applicazione di cui al comma 1 non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento”. Se da un lato è vero che non è obbligatorio scaricarla e che in sua assenza viene comunque garantito il diritto a muoversi senza alcuna limitazione, rispondendo così ad una preoccupazione legittima, dall’altro non si può ignorare il fatto che il comportamento pregiudizievole può essere messo in atto da chiunque. Ad esempio, chi ha scaricato l’app potrebbe non vedere di buon occhio chi, per i più svariati motivi, ha preferito farne a meno, magari convincendosi che abbia qualcosa da nascondere o che il suo rifiuto al tracciamento metta a rischio la collettività.

Come ho scritto in un recente post la natura umana è curiosa, talvolta diabolica, capace di sviluppare abilmente una cultura del sospetto. Il bisogno di preservare la propria salute e quella delle persone care, affiancato al bombardamento quotidiano su regole e comportanti da seguire a tutela della salute, finisce per alimentare comportamenti di diffidenza nei confronti dell’altro, talvolta al limite della paranoia. Basta vedere come in questo periodo, camminando per strada, si tende ad aumentare le distanze dagli altri, arrivando persino a cambiare marciapiede. Un inciso: sarebbe più opportuno parlare di distanza fisica invece che di distanza sociale, dal momento che l’obiettivo è evitare il contatto fisico, non quello sociale!

Quello che vorrei evidenziare è come certe situazioni e scelte comportamentali possano indurre ad un clima di sospetto generalizzato - di cui le cronache quotidiane di vicini e runner denunciati ci hanno già fornito numerosi esempi – non funzionali al benessere sociale.
C’è poi la questione del divario digitale che andrebbe considerata. C’è infatti chi non possiede (per sua fortuna) uno smartphone e non deve essere messo nella condizione di doverlo acquistare, malgrado si trovi tra quei soggetti maggiormente a rischio infezione. Stando agli ultimi dati disponibili, sembra proprio che le persone over 60 siano quelle meno digitalizzate e, quindi, con minori possibilità di usufruire della app.

Un altro aspetto che andrebbe adeguatamente discusso riguarda la comunicazione. La mancanza di chiarezza e di trasparenza ed il rincorrersi di notizie contradditorie sulla app minano la fiducia delle persone: quella fiducia, peraltro, che dovrebbe indurle a scaricare “volontariamente” l’applicazione. Se, quindi, la fiducia del cittadino è ciò che serve per far sì che l’applicazione venga usata estensivamente, in modo da raggiungere la percentuale idonea a garantirne l’efficacia (anche sulla percentuale non è ancora chiarito quale sia da ritenersi idonea allo scopo, se il 60% o il 30%), non è con questa modalità comunicativa che si possono ottenere risultati soddisfacenti.
Inoltre, va da sé che le strategie comunicative con cui si avviseranno le persone sulla possibilità di contrarre l’infezione saranno essenziali per il suo successo: un conto è una voce umana e professionale che ti avvisa di essere entrato in contatto con soggetti risultati positivi, rassicurandoti e fornendo tutte le informazioni del caso; un’altra cosa è un sms inviato in modo asettico e indifferenziato a chiunque si trovi nella condizione di esposizione al contagio. Immaginiamo come possa sentirsi una persona che soffre di ansia nel ricevere sul suo smartphone un avviso di questo tipo. Certamente contenuti ed elementi emotivi connessi alla comunicazione non possono essere trascurati, soprattutto in una situazione del genere.

C’è da chiedersi se siamo finiti tutti in un esperimento sociale, dove vengono monitorate le reazioni delle persone a iniziative che, in fin dei conti, non nascondiamocelo, rischiano di diventare una vera e propria forma di controllo sociale.

Pubblicato l'11 maggio 2020 su Key4biz

domenica 10 maggio 2020

Come il governo inglese ha scelto di attuare il tracciamento digitale dei contatti

di Enrico Nardelli

Il 4 maggio scorso il governo inglese ha annunciato il rilascio della sua applicazione per il tracciamento digitale dei contatti. Si tratta di un tema assai dibattuto in queste settimane in tutto il mondo, per la sua estrema delicatezza ed il suo potenziale impatto sulla democrazia.

Vediamo quali elementi positivi e quali elementi negativi presenta tale soluzione, sulla base di quello che ad oggi è stato dichiarato e pubblicato, anche sul piano tecnico, e alla luce dell'approccio generale che stiamo seguendo, descritto qua ed applicato per analizzare la situazione italiana qua.

Prima di tutto osserviamo come elemento sicuramente positivo il fatto che il governo inglese abbia deciso di effettuare una prima valutazione su un territorio limitato, quello dell'Isola di Wight. Sappiamo infatti che è estremamente difficile sviluppare un qualunque sistema informatico in modo tale che funzioni bene alla sua prima realizzazione. Considerando che in questo caso il sistema tratta dati estremamente sensibili si tratta di un'ottima scelta. Va anche applaudita la consapevolezza che ha il governo inglese riguardo al fatto che da questa prima valutazione potranno conseguire variazioni anche significative all'app: «nessuna decisione è irrevocabile».

In aggiunta, l'uso della app si inserisce in una strategia più generale, in cui l'app è solo uno dei tanti strumenti offerti dall'informatica per la gestione dell'emergenza, che prevede il forte potenziamento del personale dedicato al tracciamento manuale e il rafforzamento delle capacità di testing, senza le quali nessun'app è in grado di offrire un aiuto significativo. Anche questa dichiarazione, che fa emergere la consapevolezza che il digitale non ha e non può avere un ruolo salvifico, è certamente positiva.

L'app, una volta installata su uno smartphone, si registra presso il server centrale ricevendo un identificatore pseudonimo InstID, generato casualmente ma permanentemente associato a quel dispositivo. Il server non registra altre informazioni oltre alla prima metà del codice postale (che identifica una delle circa 3.000 zone in cui è suddiviso il Regno Unito dal servizio postale) e il modello del telefono (che serve per rendere le rilevazioni dei segnali Bluetooth più omogenee). Non è chiarissimo se in futuro verranno richiesti agli utenti anche i dati di geolocalizzazione. L'indirizzo Internet del dispositivo (cioè il suo IP) è visibile al sistema commerciale di front-end che consente la connessione al server centrale, ma non è da questi registrato. Viene però monitorato dagli apparati di cibersicurezza dell'intero sistema ed è visibile dal relativo team per poter gestire eventuali attacchi.

Ogni app usa il suo InstID per creare ogni giorno un nuovo identificatore casuale BValue scambiato con gli altri dispositivi per registrarne la vicinanza. L'elenco dei BValue che un dispositivo ha incontrato viene memorizzato localmente in versione crittografata per un periodo di 28 giorni al massimo. Se lo stato di salute dell'utente è critico, in base ad un'auto-diagnosi che l'utente effettua sotto la guida dalla stessa app, tale elenco viene inviato al server centrale (crittografato mediante un'ulteriore specifica chiave condivisa dall'utente e dal server) per le azioni conseguenti. Il server centrale è in grado di ricostruire dai BValue ricevuti i relativi InstID del dispositivo e quindi decidere se avvisarli o meno, una volta valutato il rischio reale di infezione in base alla distanza (stimata mediante la rilevazione Bluetooth), alla durata, allo scenario complessivo e ad un modello di rischio definito dalle autorità sanitarie.

Qui ravviso due elementi di perplessità: il primo (già sottolineato da molti commentatori) è relativo al fatto che vengono registrate in un unico server centrale tutte le informazioni dei dispositivi e dei contatti che, anche se pseudonime, finiscono così per costituire un bersaglio molto attraente per eventuali attacchi. Da questo punto di vista la disponibilità del codice sorgente per l'esame pubblico da parte di esperti indipendenti e l'istituzione di meccanismi di incentivazione a scoprirne difetti (misure standard per ottenere sistemi informatici più sicuri) sono azioni che speriamo vengano rapidamente adottate. Difficile che eventuali "cattivi" a caccia di dati sottopongano il sistema ad attacchi nelle fasi iniziali. Aspetteranno che sia andato in qualche modo a regime per massimizzare il valore dell'eventuale "bottino". L'andamento degli ultimi anni degli eventi di violazioni di dati (data breaches) evidenzia che "mettere tutte le uova nello stesso paniere" non è mai una scelta saggia.

Il secondo elemento di perplessità è legato al fatto che il caricamento di queste informazioni sul server centrale non è fatto a seguito di una diagnosi di positività risultante da un test, ma sulla base del monitoraggio, realizzato attraverso l'app stessa, dello stato di salute della persona. Sostanzialmente, se ha febbre e tosse persistenti da un po' di giorni. Ritengo che forse sarebbe stato meglio farlo soltanto a valle di un test positivo, dal momento che è proprio sulla base di queste informazioni che viene deciso se chiedere o meno ai contatti dell'utente di auto-isolarsi. Anche se sembra che tale decisione non venga presa automaticamente dal sistema, ma sia in qualche modo sotto il controllo umano, il suo essere basata sull'auto diagnosi mi suscita qualche perplessità.

Le motivazioni dichiarate sono che attuando l'isolamento subito dopo l'auto-diagnosi si ottiene più efficacia nella gestione delle potenziali infezioni . Tale isolamento iniziale può essere rimosso nel giro di pochi giorni (se, ad esempio, il test esclude di essere affetti dal COVID-19) oppure confermato (ad esempio, in caso di test positivo o se ulteriori contatti dichiarano sintomi ritenuti un possibile indizio di infezione). Questa procedura, scelta appositamente per basare il loro approccio sanitario sulla «reazione ai sintomi» invece che sulla «reazione ai test», ha secondo me il rischio di aumentare i falsi positivi e di minare quindi, potenzialmente, la fiducia degli utenti.

L'aspetto positivo di questa soluzione, cosiddetta "centralizzata", è che consente in teoria una migliore valutazione e gestione degli aspetti epidemiologici della diffusione dell'infezione ed offre una migliore protezione sia contro tentativi di manomissione dell'intero sistema sia per alcuni attacchi verso la privacy di coloro che sono infetti o potenzialmente infetti. Questi vengono infatti avvisati direttamente dal server centrale, mentre con gli approcci cosiddetti "decentralizzati" l'avviso viene effettuato mediante una trasmissione a tutti gli utenti del sistema, esponendo quindi le persone infette a quei meccanismi di "deduzione" del loro stato di salute descritti da questo documento (in francese). Va inoltre osservato che, essendo l'approccio decentralizzato più sensibile a false segnalazioni, dal momento che non c'è un'autorità centrale in grado di legare le varie segnalazioni ad uno stesso utente, è giocoforza in quello far partire l'allarme solo in "reazione ai test".

Sul versante negativo, va in aggiunta sottolineato che la soluzione scelta dagli inglesi consente all'autorità centrale di individuare, per le persone che riportano sintomi, i comportamenti e le relazioni. Inoltre, anche se il sistema di tracciamento è gestito su un'infrastruttura del Sistema Sanitario Nazionale completamente separata dalle altre, si tratta sempre dello stesso soggetto che possiede ulteriori dati sensibili. È quindi una situazione complessiva estremamente delicata dal punto di vista della privacy e sulla quale la Comitato Parlamentare Congiunto per i Diritti Umani ha chiesto chiarimenti.

Un ulteriore elemento di incertezza, e quindi di potenziale preoccupazione sul versante dei diritti, è quello relativo ai soggetti che avranno accesso a tali dati. Le informazioni riportate non sono chiare, dal momento che è stato dichiarato che «organizzazioni con un motivo appropriato di sanità pubblica» potranno avere accesso a questi dati. Non è stato, inoltre, ancora chiarito se anche i datori di lavoro potranno farvi accesso. Un ulteriore aspetto preoccupante è che, una volta caricati i dati sul server centrale, l'utente perde ogni diritto su di essi e non può più richiederne la cancellazione. In generale, al momento non è ancora stata realizzata una valutazione di impatto sulla protezione dei dati (DPIA) che è richiesta dal GDPR europeo (Regolamento Generale per la Protezione dei Dati). Sono tutti punti essenziali per costruire quel clima di fiducia necessario per far sì che un'app di questo genere possa essere usata da quella percentuale sufficientemente elevata di persone (tra il 60% e l'80%) di cui c'è bisogno affinché questi dati possano essere in qualche modo utili. D'altro canto il CEO dell'NHSX, la divisione tecnica del Sistema Sanitario Nazionale inglese che ha realizzato l'app ha dichiarato che «anche una diffusione solo del 20% può offrire dati utili per capire come l'infezione si diffonde» e che «una diffusione di almeno il 40% può essere utile per identificare i contatti». Non è chiaro però su quali basi sono state fatte tali affermazioni.

Al momento l'app inglese non prevede l'interoperabilità con quelle eventualmente sviluppate da altre nazioni, anche perché è l'unica ad aver al momento scelto una soluzione centralizzata. C'è però consapevolezza che si tratta di un requisito importante. Non del tutto chiare sono infine le reali prestazione che l'applicazione è in grado di fornire, dal momento che è sviluppata in modo independente da Apple e Google ma ha bisogno di essere sempre attiva, modalità che, consumando la batteria, viene per default disattivata periodicamente dai sistemi operativi realizzati dai due produttori. L'NHSX ha dichiarato di aver trovato una soluzione tecnica a questo problema che sembra funzionare, ma i dettagli non sono ancora noti.

Per finire l'analisi dei punti di attenzione osservo che il governo inglese non sembra ancora aver definito quella legislazione ordinaria che stabilisca precisamente le limitazioni dell'utilizzo di una misura straordinaria quale il tracciamento digitale dei contatti. Analogamente, gli aspetti relativi all'impatto sulla relazione sociale ed alla mitigazione del divario digitale sembrano ancora tutti da considerare. Il rapporto sopra citato del Comitato Parlamentare Congiunto per i Diritti Umani, rilasciato il 7 maggio, chiede proprio risposte su questi ed altri punti, che sono fondamentali per una democrazia.

domenica 3 maggio 2020

Il decreto-legge sul tracciamento digitale dei contatti: c'è ancora molto da fare

di Enrico Nardelli

È stato pubblicato nella Gazzetta Ufficiale il decreto-legge 30 aprile 2020 n.28 che contiene all'articolo 6 la norma per l'istituzione del sistema di allerta Covid-19, cioè di «una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un'apposita applicazione sui dispositivi di telefonia mobile». Si tratta del sistema per il tracciamento digitale dei contatti di cui molto si è parlato nelle scorse settimane.

Ravviso prima di tutto alcuni elementi di confusione sul reale stato della situazione. Nei giorni passati è stato dato ampio risalto al fatto che il Governo, sulla base delle valutazioni del "Gruppo di lavoro data-driven per l’emergenza COVID-19" nominato dal Ministro per l'Innovazione Tecnologica e la Digitalizzazione, aveva già scelto una soluzione per il tracciamento digitale dei contatti. Infatti, il Commissario Straordinario per l'attuazione e il coordinamento delle misure di contenimento e contrasto dell'emergenza epidemiologica Covid-19 con ordinanza n.10/2020 del 19 aprile 2020 aveva disposto «di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a.».

Adesso il decreto, senza far alcun riferimento alla suddetta ordinanza né agli esiti del gruppo di lavoro, parla di «istituzione». Questo termine, nella mia interpretazione, sembrerebbe indicare che, a valle del decreto stesso, si dovrebbe procedere alla valutazione ed alla scelta della soluzione tecnico-organizzativa più idonea, che però l'ordinanza ha già scelto. Non essendo un giurista, sarò lieto di apprendere da chi ne sa più di me in quest'ambito.

Ho analizzato il decreto-legge sulla base dei criteri che, descritti da più parti a livello nazionale ed internazionale, sono ritenuti necessari per poter adottare una soluzione di questo genere, che va ad incidere in modo particolarmente rilevante su diritti e libertà fondamentali.

Li avevo riportati sinteticamente in questo mio post e li userò come guida per analizzare il decreto in questione, richiamando in diversi punti l'ottima analisi già sviluppata da Andrea Lisi e Fulvio Sarzana.

  • Un approccio sistemico che tenga conto di tutti gli aspetti della gestione di un'emergenza sanitaria, che non sono solo medici, ma anche organizzativi, sociali e legali, per non parlare di quelli economici: il decreto non ne parla, probabilmente perché vuole essere strettamente tecnico, ma in un caso di questo genere considerare soluzioni tecniche senza un'analisi a 360 gradi rischia di essere miope. Tale punto è stato anche sollevato in modo chiaro e dettagliato nell'analisi sopra citata.
  • Una legislazione ordinaria che precede le misure straordinarie: criterio solo in parte soddisfatto, considerato che il decreto-legge dovrà essere convertito in legge e che in esso viene data un'ampia delega sui modi e tempi del trattamento dei dati raccolti al Ministero della Salute, che non mi pare (non sono un giurista e potrei sbagliarmi) sia fonte di legislazione ordinaria.
  • Un'analisi dell'efficacia della strategia considerata prima della sua effettiva adozione: questa non appare sia stata svolta. Non solo perché non viene descritto come la realizzazione di tale piattaforma e dell'applicazione si coordina con una visione complessiva della gestione dell'emergenza, ma anche perché «gli ulteriori adempimenti necessari alla gestione del sistema di allerta» non vengono dettagliati ma delegati al Ministero della Salute.
  • La valutazione dell'impatto complessivo, soprattutto in termini di relazioni sociali: come già osservato tale valutazione viene rinviata ad un momento successivo, mentre la considerazione dell'impatto sugli aspetti sociali, come analizzato qua, è un elemento assai importante da tener presente.
  • La valutazione dei rischi nel mantenimento della privacy: il decreto contiene la previsione di raccogliere «i dati personali ... esclusivamente ... necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi», precisando che «è esclusa in oni caso la geolocalizzazione dei singoli utenti» e che viene garantita «la riservatezza ... dei sistemi e servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati», conservando i dati «per il periodo strettamente necessario al trattamento», vietando che siano «trattati per finalità diverse» da quelle previste dal decreto stesso e facendo sì che siano «cancellati in modo automatico alla scadenza del termine». Però, per quanto riguarda il periodo di trattamento si dice (comma 2, sub e) che «la durata è stabilita del Ministero della Salute» quando ritengo che sarebbe stato più opportuno definire tale termine nel decreto stesso. Inoltre, ciò mi pare non sia del tutto coerente con quanto previsto al comma 6: «ogni trattamento dei dati personali effettuato ai sensi del presente articolo è interrotto alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020». Infine non vi è una valutazione del rischio che quanto stabilito del decreto possa essere invalidato sia da attacchi intenzionali che da eventi accidentali. Dobbiamo sperare tali rischi verranno analizzati dalla valutazione di impatto promessa.
  • La valutazione del rischio a cui vengono esposti i cittadini: il decreto impone al Ministero della Salute di adottare «misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà personali». Non è previsto alcun controllo su tali misure né da parte di organismi tecnico-scientifici indipendenti (al di là del Garante della Privacy) né da parte di rappresentanti della società civile. Riconoscere che ci sono «rischi elevati» e non prevedere misure per la loro mitigazione (che sono l'ABC della gestione dei rischi in ogni ambito) non sembra molto lungimirante. Non possiamo che sperare che nella definizione di tali misure sia presente una valutazione di tali rischi, dal momento che le tecnologie (non ancora specificate) che verrano utilizzate per rilevare i «contatti stretti» presentano un elevato grado di vulnerabilità, soprattutto se, come accade di solito, i dispositivi digitali personali non sono tenuti costantemente aggiornati.
  • La definizione di misure di mitigazione del divario digitale che rischia di emarginare le fasce sociali più deboli: non trovo traccia di questi aspetti, a meno che - come per altri punti - non siano demandati alla successiva valutazione di impatto.
  • La trasparenza sulle scelte tecnico-organizzative e sui processi decisionali: sostanzialmente viene tutto delegato al Ministero della Salute in coordinamento con gli altri soggetti rilevanti (sentito il Garante per la privacy), richiedendo solo di «informare periodicamente la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano sullo stato di avanzamento del progetto».
  • Il coinvolgimento dei cittadini a livello di comunicazione: spiegare adeguatamente alle persone cosa si sta facendo e perché, in un caso di questo genere in cui è in gioco la loro privacy è assolutamente necessario, data la volontarietà (giustissima!) dell'utilizzo dell'applicazione e la contemporanea necessità di raggiungere elevati livelli di diffusione nella popolazione per poter avere efficacia. A tal fine la semplice previsione che «gli utenti ricevano, prima dell'attivazione dell'applicazione, informazioni chiare e trasparenti» appare insufficiente, alla luce del comportamento tipico degli utenti all'atto dell'installazione delle applicazioni, che tendenzialmente accettano l'informativa iniziale senza leggerla in detaglio.
  • La necessità di interoperabilità a livello di Unione Europea: non trovo traccia nel decreto di questo requisito, esplicitamente auspicato prima dalla Commissione Europea nella Raccomandazione 2020/518 dell'8 aprile 2020 e poi dal Comitato Europeo per la protezione dei dati, al n.3 delle linee-guida 04/2020 del 21 aprile 2020.

Da un punto di vista più strettamente informatico, il problema fondamentale di tutto l'impianto del decreto-legge è che è stato scritto come se decenni di insuccessi più meno marcati nello sviluppo di sistemi informatici, nella Pubblica Amministrazione e nelle aziende, non fossero mai avvenuti e se fossimo all'anno zero della trasformazione digitale, senza aver capito che quella informatica è un’automazione radicalmente differente da ogni altra e che richiede un approccio diverso.

Viene avviata la realizzazione di un sistema informatico estremamente delicato, sulla base di specifiche non definite ( quale tecnologia si usa per l'identificazione dei contatti stretti? la valutazione delle condizioni di allerta e la sua effettiva emissione vengono effettuate in modo centralizzato o decentralizzato?) e senza dire niente sul relativo processo di realizzazione. Sono previste fasi di sperimentazione, validazione e valutazione di efficacia? Con che tempi? Dove e come? Non si sa.

E sì che ormai l'ingegneria dei sistemi informatici, anche se non ha ancora raggiunto il livello di solidità dell'ingegneria tradizionale, almeno un paio di principi universalmente condivisi li ha messi a punto: l'approccio iterativo (o "agile", nella terminologia inglese) e il coinvolgimento di tutti i portatori di interessi sono colonne portanti di qualunque approccio alla realizzazione di sistemi informatici che voglia avere buone possibilità di successo. Qui sembrano del tutto ignorate.

Come finirà? I miracoli sono sempre possibili, soprattutto in Italia, ma, alla luce delle esperienze passate, il bene del Paese richiederebbe maggiore attenzione.