mercoledì 13 maggio 2020

Tracciamento digitale e app Immuni: la fiducia non è cosa da poco

di Isabella Corradini


Da settimane si dibatte sul tema del tracciamento digitale dei contatti, in particolare con riferimento alla app Immuni, vale a dire l’applicazione che, scaricata sui dispositivi di telefonia mobile, permetterebbe di allertare le persone di essere entrate in contatto con soggetti risultati positivi al Covid-19 (Decreto legge 30 aprile 2020 n. 28, articolo 6, sistema di allerta Covid-19).

Esperti di diritto e di informatica, giornalisti e non solo pongono quesiti: chi ha scelto cosa e perché, che tipo di valutazioni sono state fatte in termini di impatto complessivo, quale la percentuale necessaria a rendere l’applicazione efficace. Tante le richieste di chiarimento (si veda il documento ANORC che io stessa ho sottoscritto), ancora poche e poco chiare le risposte.
Nel frattempo, ad alimentare quella che ormai viene definita una saga, arriva la proposta di braccialetti anti Covid-19 per far tornare i bambini a scuola in sicurezza e l’indiscrezione riguardo il possibile utilizzo del Gps - oltre che del Bluetooth - per l’app Immuni, modalità non prevista dal decreto di cui sopra, che esclude invero la geo-localizzazione dei singoli utenti.
Sia ben chiaro, gli schieramenti aprioristici non sono utili a nessuno, esiste il dibattito (anche critico) come mezzo privilegiato per arrivare ad una soluzione che tenga conto di tutte le criticità del tracciamento digitale.

La questione che vorrei porre riguarda il lato sociale delle soluzioni tecnologiche: qualcuno si è chiesto quale impatto sulle relazioni sociali e relative dinamiche simili applicazioni possono avere, visto che stiamo parlando di registrare i contatti (anche se con tutte le dovute attenzioni e garanzie di privacy) di esseri umani in carne ed ossa?
La caratteristica della “non obbligatorietà” (sacrosanta!) pone, ad esempio, la questione relativa ad un possibile comportamento sociale discriminatorio tra chi usa la app e chi no.
Con riferimento all’app Immuni, si legge al punto 4 dell’articolo 6 del DL 30 aprile 2020 che “il mancato utilizzo dell’applicazione di cui al comma 1 non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento”. Se da un lato è vero che non è obbligatorio scaricarla e che in sua assenza viene comunque garantito il diritto a muoversi senza alcuna limitazione, rispondendo così ad una preoccupazione legittima, dall’altro non si può ignorare il fatto che il comportamento pregiudizievole può essere messo in atto da chiunque. Ad esempio, chi ha scaricato l’app potrebbe non vedere di buon occhio chi, per i più svariati motivi, ha preferito farne a meno, magari convincendosi che abbia qualcosa da nascondere o che il suo rifiuto al tracciamento metta a rischio la collettività.
Come ho scritto in un recente post https://link-and-think.blogspot.com/2020/04/i-pericoli-del-tracciamento-digitale.html la natura umana è curiosa, talvolta diabolica, capace di sviluppare abilmente una cultura del sospetto. Il bisogno di preservare la propria salute e quella delle persone care, affiancato al bombardamento quotidiano su regole e comportanti da seguire a tutela della salute, finisce per alimentare comportamenti di diffidenza nei confronti dell’altro, talvolta al limite della paranoia. Basta vedere come in questo periodo, camminando per strada, si tende ad aumentare le distanze dagli altri, arrivando persino a cambiare marciapiede. Un inciso: sarebbe più opportuno parlare di distanza fisica invece che di distanza sociale, dal momento che l’obiettivo è evitare il contatto fisico, non quello sociale!
Quello che vorrei evidenziare è come certe situazioni e scelte comportamentali possano indurre ad un clima di sospetto generalizzato - di cui le cronache quotidiane di vicini e runner denunciati ci hanno già fornito numerosi esempi – non funzionali al benessere sociale.
C’è poi la questione del divario digitale che andrebbe considerata. C’è infatti chi non possiede (per sua fortuna) uno smartphone e non deve essere messo nella condizione di doverlo acquistare, malgrado si trovi tra quei soggetti maggiormente a rischio infezione. Stando agli ultimi dati disponibili, sembra proprio che le persone over 60 siano quelle meno digitalizzate e, quindi, con minori possibilità di usufruire della app.

Un altro aspetto che andrebbe adeguatamente discusso riguarda la comunicazione. La mancanza di chiarezza e di trasparenza ed il rincorrersi di notizie contradditorie sulla app minano la fiducia delle persone: quella fiducia, peraltro, che dovrebbe indurle a scaricare “volontariamente” l’applicazione. Se, quindi, la fiducia del cittadino è ciò che serve per far sì che l’applicazione venga usata estensivamente, in modo da raggiungere la percentuale idonea a garantirne l’efficacia (anche sulla percentuale non è ancora chiarito quale sia da ritenersi idonea allo scopo, se il 60% o il 30%), non è con questa modalità comunicativa che si possono ottenere risultati soddisfacenti.
Inoltre, va da sé che le strategie comunicative con cui si avviseranno le persone sulla possibilità di contrarre l’infezione saranno essenziali per il suo successo: un conto è una voce umana e professionale che ti avvisa di essere entrato in contatto con soggetti risultati positivi, rassicurandoti e fornendo tutte le informazioni del caso; un’altra cosa è un sms inviato in modo asettico e indifferenziato a chiunque si trovi nella condizione di esposizione al contagio. Immaginiamo come possa sentirsi una persona che soffre di ansia nel ricevere sul suo smartphone un avviso di questo tipo. Certamente contenuti ed elementi emotivi connessi alla comunicazione non possono essere trascurati, soprattutto in una situazione del genere.

C’è da chiedersi se siamo finiti tutti in un esperimento sociale, dove vengono monitorate le reazioni delle persone a iniziative che, in fin dei conti, non nascondiamocelo, rischiano di diventare una vera e propria forma di controllo sociale.

Pubblicato l'11 maggio 2020 su Key4biz


domenica 10 maggio 2020

Come il governo inglese ha scelto di attuare il tracciamento digitale dei contatti

di Enrico Nardelli

Il 4 maggio scorso il governo inglese ha annunciato il rilascio della sua applicazione per il tracciamento digitale dei contatti. Si tratta di un tema assai dibattuto in queste settimane in tutto il mondo, per la sua estrema delicatezza ed il suo potenziale impatto sulla democrazia.

Vediamo quali elementi positivi e quali elementi negativi presenta tale soluzione, sulla base di quello che ad oggi è stato dichiarato e pubblicato, anche sul piano tecnico, e alla luce dell'approccio generale che stiamo seguendo, descritto qua ed applicato per analizzare la situazione italiana qua.

Prima di tutto osserviamo come elemento sicuramente positivo il fatto che il governo inglese abbia deciso di effettuare una prima valutazione su un territorio limitato, quello dell'Isola di Wight. Sappiamo infatti che è estremamente difficile sviluppare un qualunque sistema informatico in modo tale che funzioni bene alla sua prima realizzazione. Considerando che in questo caso il sistema tratta dati estremamente sensibili si tratta di un'ottima scelta. Va anche applaudita la consapevolezza che ha il governo inglese riguardo al fatto che da questa prima valutazione potranno conseguire variazioni anche significative all'app: «nessuna decisione è irrevocabile».

In aggiunta, l'uso della app si inserisce in una strategia più generale, in cui l'app è solo uno dei tanti strumenti offerti dall'informatica per la gestione dell'emergenza, che prevede il forte potenziamento del personale dedicato al tracciamento manuale e il rafforzamento delle capacità di testing, senza le quali nessun'app è in grado di offrire un aiuto significativo. Anche questa dichiarazione, che fa emergere la consapevolezza che il digitale non ha e non può avere un ruolo salvifico, è certamente positiva.

L'app, una volta installata su uno smartphone, si registra presso il server centrale ricevendo un identificatore pseudonimo InstID, generato casualmente ma permanentemente associato a quel dispositivo. Il server non registra altre informazioni oltre alla prima metà del codice postale (che identifica una delle circa 3.000 zone in cui è suddiviso il Regno Unito dal servizio postale) e il modello del telefono (che serve per rendere le rilevazioni dei segnali Bluetooth più omogenee). Non è chiarissimo se in futuro verranno richiesti agli utenti anche i dati di geolocalizzazione. L'indirizzo Internet del dispositivo (cioè il suo IP) è visibile al sistema commerciale di front-end che consente la connessione al server centrale, ma non è da questi registrato. Viene però monitorato dagli apparati di cibersicurezza dell'intero sistema ed è visibile dal relativo team per poter gestire eventuali attacchi.

Ogni app usa il suo InstID per creare ogni giorno un nuovo identificatore casuale BValue scambiato con gli altri dispositivi per registrarne la vicinanza. L'elenco dei BValue che un dispositivo ha incontrato viene memorizzato localmente in versione crittografata per un periodo di 28 giorni al massimo. Se lo stato di salute dell'utente è critico, in base ad un'auto-diagnosi che l'utente effettua sotto la guida dalla stessa app, tale elenco viene inviato al server centrale (crittografato mediante un'ulteriore specifica chiave condivisa dall'utente e dal server) per le azioni conseguenti. Il server centrale è in grado di ricostruire dai BValue ricevuti i relativi InstID del dispositivo e quindi decidere se avvisarli o meno, una volta valutato il rischio reale di infezione in base alla distanza (stimata mediante la rilevazione Bluetooth), alla durata, allo scenario complessivo e ad un modello di rischio definito dalle autorità sanitarie.

Qui ravviso due elementi di perplessità: il primo (già sottolineato da molti commentatori) è relativo al fatto che vengono registrate in un unico server centrale tutte le informazioni dei dispositivi e dei contatti che, anche se pseudonime, finiscono così per costituire un bersaglio molto attraente per eventuali attacchi. Da questo punto di vista la disponibilità del codice sorgente per l'esame pubblico da parte di esperti indipendenti e l'istituzione di meccanismi di incentivazione a scoprirne difetti (misure standard per ottenere sistemi informatici più sicuri) sono azioni che speriamo vengano rapidamente adottate. Difficile che eventuali "cattivi" a caccia di dati sottopongano il sistema ad attacchi nelle fasi iniziali. Aspetteranno che sia andato in qualche modo a regime per massimizzare il valore dell'eventuale "bottino". L'andamento degli ultimi anni degli eventi di violazioni di dati (data breaches) evidenzia che "mettere tutte le uova nello stesso paniere" non è mai una scelta saggia.

Il secondo elemento di perplessità è legato al fatto che il caricamento di queste informazioni sul server centrale non è fatto a seguito di una diagnosi di positività risultante da un test, ma sulla base del monitoraggio, realizzato attraverso l'app stessa, dello stato di salute della persona. Sostanzialmente, se ha febbre e tosse persistenti da un po' di giorni. Ritengo che forse sarebbe stato meglio farlo soltanto a valle di un test positivo, dal momento che è proprio sulla base di queste informazioni che viene deciso se chiedere o meno ai contatti dell'utente di auto-isolarsi. Anche se sembra che tale decisione non venga presa automaticamente dal sistema, ma sia in qualche modo sotto il controllo umano, il suo essere basata sull'auto diagnosi mi suscita qualche perplessità.

Le motivazioni dichiarate sono che attuando l'isolamento subito dopo l'auto-diagnosi si ottiene più efficacia nella gestione delle potenziali infezioni . Tale isolamento iniziale può essere rimosso nel giro di pochi giorni (se, ad esempio, il test esclude di essere affetti dal COVID-19) oppure confermato (ad esempio, in caso di test positivo o se ulteriori contatti dichiarano sintomi ritenuti un possibile indizio di infezione). Questa procedura, scelta appositamente per basare il loro approccio sanitario sulla «reazione ai sintomi» invece che sulla «reazione ai test», ha secondo me il rischio di aumentare i falsi positivi e di minare quindi, potenzialmente, la fiducia degli utenti.

L'aspetto positivo di questa soluzione, cosiddetta "centralizzata", è che consente in teoria una migliore valutazione e gestione degli aspetti epidemiologici della diffusione dell'infezione ed offre una migliore protezione sia contro tentativi di manomissione dell'intero sistema sia per alcuni attacchi verso la privacy di coloro che sono infetti o potenzialmente infetti. Questi vengono infatti avvisati direttamente dal server centrale, mentre con gli approcci cosiddetti "decentralizzati" l'avviso viene effettuato mediante una trasmissione a tutti gli utenti del sistema, esponendo quindi le persone infette a quei meccanismi di "deduzione" del loro stato di salute descritti da questo documento (in francese). Va inoltre osservato che, essendo l'approccio decentralizzato più sensibile a false segnalazioni, dal momento che non c'è un'autorità centrale in grado di legare le varie segnalazioni ad uno stesso utente, è giocoforza in quello far partire l'allarme solo in "reazione ai test".

Sul versante negativo, va in aggiunta sottolineato che la soluzione scelta dagli inglesi consente all'autorità centrale di individuare, per le persone che riportano sintomi, i comportamenti e le relazioni. Inoltre, anche se il sistema di tracciamento è gestito su un'infrastruttura del Sistema Sanitario Nazionale completamente separata dalle altre, si tratta sempre dello stesso soggetto che possiede ulteriori dati sensibili. È quindi una situazione complessiva estremamente delicata dal punto di vista della privacy e sulla quale la Comitato Parlamentare Congiunto per i Diritti Umani ha chiesto chiarimenti.

Un ulteriore elemento di incertezza, e quindi di potenziale preoccupazione sul versante dei diritti, è quello relativo ai soggetti che avranno accesso a tali dati. Le informazioni riportate non sono chiare, dal momento che è stato dichiarato che «organizzazioni con un motivo appropriato di sanità pubblica» potranno avere accesso a questi dati. Non è stato, inoltre, ancora chiarito se anche i datori di lavoro potranno farvi accesso. Un ulteriore aspetto preoccupante è che, una volta caricati i dati sul server centrale, l'utente perde ogni diritto su di essi e non può più richiederne la cancellazione. In generale, al momento non è ancora stata realizzata una valutazione di impatto sulla protezione dei dati (DPIA) che è richiesta dal GDPR europeo (Regolamento Generale per la Protezione dei Dati). Sono tutti punti essenziali per costruire quel clima di fiducia necessario per far sì che un'app di questo genere possa essere usata da quella percentuale sufficientemente elevata di persone (tra il 60% e l'80%) di cui c'è bisogno affinché questi dati possano essere in qualche modo utili. D'altro canto il CEO dell'NHSX, la divisione tecnica del Sistema Sanitario Nazionale inglese che ha realizzato l'app ha dichiarato che «anche una diffusione solo del 20% può offrire dati utili per capire come l'infezione si diffonde» e che «una diffusione di almeno il 40% può essere utile per identificare i contatti». Non è chiaro però su quali basi sono state fatte tali affermazioni.

Al momento l'app inglese non prevede l'interoperabilità con quelle eventualmente sviluppate da altre nazioni, anche perché è l'unica ad aver al momento scelto una soluzione centralizzata. C'è però consapevolezza che si tratta di un requisito importante. Non del tutto chiare sono infine le reali prestazione che l'applicazione è in grado di fornire, dal momento che è sviluppata in modo independente da Apple e Google ma ha bisogno di essere sempre attiva, modalità che, consumando la batteria, viene per default disattivata periodicamente dai sistemi operativi realizzati dai due produttori. L'NHSX ha dichiarato di aver trovato una soluzione tecnica a questo problema che sembra funzionare, ma i dettagli non sono ancora noti.

Per finire l'analisi dei punti di attenzione osservo che il governo inglese non sembra ancora aver definito quella legislazione ordinaria che stabilisca precisamente le limitazioni dell'utilizzo di una misura straordinaria quale il tracciamento digitale dei contatti. Analogamente, gli aspetti relativi all'impatto sulla relazione sociale ed alla mitigazione del divario digitale sembrano ancora tutti da considerare. Il rapporto sopra citato del Comitato Parlamentare Congiunto per i Diritti Umani, rilasciato il 7 maggio, chiede proprio risposte su questi ed altri punti, che sono fondamentali per una democrazia.

domenica 3 maggio 2020

Il decreto-legge sul tracciamento digitale dei contatti: c'è ancora molto da fare

di Enrico Nardelli

È stato pubblicato nella Gazzetta Ufficiale il decreto-legge 30 aprile 2020 n.28 che contiene all'articolo 6 la norma per l'istituzione del sistema di allerta Covid-19, cioè di «una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un'apposita applicazione sui dispositivi di telefonia mobile». Si tratta del sistema per il tracciamento digitale dei contatti di cui molto si è parlato nelle scorse settimane.

Ravviso prima di tutto alcuni elementi di confusione sul reale stato della situazione. Nei giorni passati è stato dato ampio risalto al fatto che il Governo, sulla base delle valutazioni del "Gruppo di lavoro data-driven per l’emergenza COVID-19" nominato dal Ministro per l'Innovazione Tecnologica e la Digitalizzazione, aveva già scelto una soluzione per il tracciamento digitale dei contatti. Infatti, il Commissario Straordinario per l'attuazione e il coordinamento delle misure di contenimento e contrasto dell'emergenza epidemiologica Covid-19 con ordinanza n.10/2020 del 19 aprile 2020 aveva disposto «di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a.».

Adesso il decreto, senza far alcun riferimento alla suddetta ordinanza né agli esiti del gruppo di lavoro, parla di «istituzione». Questo termine, nella mia interpretazione, sembrerebbe indicare che, a valle del decreto stesso, si dovrebbe procedere alla valutazione ed alla scelta della soluzione tecnico-organizzativa più idonea, che però l'ordinanza ha già scelto. Non essendo un giurista, sarò lieto di apprendere da chi ne sa più di me in quest'ambito.

Ho analizzato il decreto-legge sulla base dei criteri che, descritti da più parti a livello nazionale ed internazionale, sono ritenuti necessari per poter adottare una soluzione di questo genere, che va ad incidere in modo particolarmente rilevante su diritti e libertà fondamentali.

Li avevo riportati sinteticamente in questo mio post e li userò come guida per analizzare il decreto in questione, richiamando in diversi punti l'ottima analisi già sviluppata da Andrea Lisi e Fulvio Sarzana.

  • Un approccio sistemico che tenga conto di tutti gli aspetti della gestione di un'emergenza sanitaria, che non sono solo medici, ma anche organizzativi, sociali e legali, per non parlare di quelli economici: il decreto non ne parla, probabilmente perché vuole essere strettamente tecnico, ma in un caso di questo genere considerare soluzioni tecniche senza un'analisi a 360 gradi rischia di essere miope. Tale punto è stato anche sollevato in modo chiaro e dettagliato nell'analisi sopra citata.
  • Una legislazione ordinaria che precede le misure straordinarie: criterio solo in parte soddisfatto, considerato che il decreto-legge dovrà essere convertito in legge e che in esso viene data un'ampia delega sui modi e tempi del trattamento dei dati raccolti al Ministero della Salute, che non mi pare (non sono un giurista e potrei sbagliarmi) sia fonte di legislazione ordinaria.
  • Un'analisi dell'efficacia della strategia considerata prima della sua effettiva adozione: questa non appare sia stata svolta. Non solo perché non viene descritto come la realizzazione di tale piattaforma e dell'applicazione si coordina con una visione complessiva della gestione dell'emergenza, ma anche perché «gli ulteriori adempimenti necessari alla gestione del sistema di allerta» non vengono dettagliati ma delegati al Ministero della Salute.
  • La valutazione dell'impatto complessivo, soprattutto in termini di relazioni sociali: come già osservato tale valutazione viene rinviata ad un momento successivo, mentre la considerazione dell'impatto sugli aspetti sociali, come analizzato qua, è un elemento assai importante da tener presente.
  • La valutazione dei rischi nel mantenimento della privacy: il decreto contiene la previsione di raccogliere «i dati personali ... esclusivamente ... necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi», precisando che «è esclusa in oni caso la geolocalizzazione dei singoli utenti» e che viene garantita «la riservatezza ... dei sistemi e servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati», conservando i dati «per il periodo strettamente necessario al trattamento», vietando che siano «trattati per finalità diverse» da quelle previste dal decreto stesso e facendo sì che siano «cancellati in modo automatico alla scadenza del termine». Però, per quanto riguarda il periodo di trattamento si dice (comma 2, sub e) che «la durata è stabilita del Ministero della Salute» quando ritengo che sarebbe stato più opportuno definire tale termine nel decreto stesso. Inoltre, ciò mi pare non sia del tutto coerente con quanto previsto al comma 6: «ogni trattamento dei dati personali effettuato ai sensi del presente articolo è interrotto alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020». Infine non vi è una valutazione del rischio che quanto stabilito del decreto possa essere invalidato sia da attacchi intenzionali che da eventi accidentali. Dobbiamo sperare tali rischi verranno analizzati dalla valutazione di impatto promessa.
  • La valutazione del rischio a cui vengono esposti i cittadini: il decreto impone al Ministero della Salute di adottare «misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà personali». Non è previsto alcun controllo su tali misure né da parte di organismi tecnico-scientifici indipendenti (al di là del Garante della Privacy) né da parte di rappresentanti della società civile. Riconoscere che ci sono «rischi elevati» e non prevedere misure per la loro mitigazione (che sono l'ABC della gestione dei rischi in ogni ambito) non sembra molto lungimirante. Non possiamo che sperare che nella definizione di tali misure sia presente una valutazione di tali rischi, dal momento che le tecnologie (non ancora specificate) che verrano utilizzate per rilevare i «contatti stretti» presentano un elevato grado di vulnerabilità, soprattutto se, come accade di solito, i dispositivi digitali personali non sono tenuti costantemente aggiornati.
  • La definizione di misure di mitigazione del divario digitale che rischia di emarginare le fasce sociali più deboli: non trovo traccia di questi aspetti, a meno che - come per altri punti - non siano demandati alla successiva valutazione di impatto.
  • La trasparenza sulle scelte tecnico-organizzative e sui processi decisionali: sostanzialmente viene tutto delegato al Ministero della Salute in coordinamento con gli altri soggetti rilevanti (sentito il Garante per la privacy), richiedendo solo di «informare periodicamente la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano sullo stato di avanzamento del progetto».
  • Il coinvolgimento dei cittadini a livello di comunicazione: spiegare adeguatamente alle persone cosa si sta facendo e perché, in un caso di questo genere in cui è in gioco la loro privacy è assolutamente necessario, data la volontarietà (giustissima!) dell'utilizzo dell'applicazione e la contemporanea necessità di raggiungere elevati livelli di diffusione nella popolazione per poter avere efficacia. A tal fine la semplice previsione che «gli utenti ricevano, prima dell'attivazione dell'applicazione, informazioni chiare e trasparenti» appare insufficiente, alla luce del comportamento tipico degli utenti all'atto dell'installazione delle applicazioni, che tendenzialmente accettano l'informativa iniziale senza leggerla in detaglio.
  • La necessità di interoperabilità a livello di Unione Europea: non trovo traccia nel decreto di questo requisito, esplicitamente auspicato prima dalla Commissione Europea nella Raccomandazione 2020/518 dell'8 aprile 2020 e poi dal Comitato Europeo per la protezione dei dati, al n.3 delle linee-guida 04/2020 del 21 aprile 2020.

Da un punto di vista più strettamente informatico, il problema fondamentale di tutto l'impianto del decreto-legge è che è stato scritto come se decenni di insuccessi più meno marcati nello sviluppo di sistemi informatici, nella Pubblica Amministrazione e nelle aziende, non fossero mai avvenuti e se fossimo all'anno zero della trasformazione digitale, senza aver capito che quella informatica è un’automazione radicalmente differente da ogni altra e che richiede un approccio diverso.

Viene avviata la realizzazione di un sistema informatico estremamente delicato, sulla base di specifiche non definite (p.es.: quale tecnologia si usa per l'identificazione dei contatti stretti? la valutazione delle condizioni di allerta e la sua effettiva emissione vengono effettuate in modo centralizzato o decentralizzato?) e senza dire niente sul relativo processo di realizzazione. Sono previste fasi di sperimentazione, validazione e valutazione di efficacia? Con che tempi? Dove e come? Non si sa.

E sì che ormai l'ingegneria dei sistemi informatici, anche se non ha ancora raggiunto il livello di solidità dell'ingegneria tradizionale, almeno un paio di principi universalmente condivisi li ha messi a punto: l'approccio iterativo (o "agile", nella terminologia inglese) e il coinvolgimento di tutti i portatori di interessi sono colonne portanti di qualunque approccio alla realizzazione di sistemi informatici che voglia avere buone possibilità di successo. Qui sembrano del tutto ignorate.

Come finirà? I miracoli sono sempre possibili, soprattutto in Italia, ma, alla luce delle esperienze passate, il bene del Paese richiederebbe maggiore attenzione.

mercoledì 29 aprile 2020

Raccomandazioni sulla tecnologia di tracciamento digitale dei contatti nella visione sistemica degli esperti inglesi per uscire dall'emergenza COVID-19

di Enrico Nardelli

In precedenti post ho descritto sia la sintesi generale che le raccomandazioni trasversali presenti nel rapporto dell'Ada Lovelace Institute, che offre un'analisi a 360 gradi delle implicazioni dell'uso della tecnologia per gestire l'uscita dalla fase di emergenza del COVID-19.

In questo post presento più in dettaglio le raccomandazioni di natura tecnologica relative al tracciamento digitale dei contatti. Nel successivo discuterò le raccomandazioni relative agli aspetti tecnologici del controllo dei sintomi e della certificazione dell'immunita.

Osservazione n.1 : Attualmente non ci sono prove sufficienti per sostenere l'uso del tracciamento digitale dei contatti come tecnologia efficace di gestione della pandemia. Prima di utilizzare il tracciamento digitale dei contatti ne devono essere analizzati meglio limiti tecnici, ostacoli alla diffusione e impatto sociale.

Raccomandazione n.1 : Il governo deve istituire un gruppo indipendente di consulenti sulla tecnologia in situazioni di emergenza per supervisionare lo sviluppo e la sperimentazione di qualsiasi app di tracciamento digitale di contatti. Il gruppo di consulenti dovrebbe essere incaricato di decidere quando una tale app è pronta per essere usata, valutando:
  • l'evidenza che determina la necessità del tracciamento digitale dei contatti a supporto di quello manuale;
  • l'ampia disponibilità di test di coronavirus per tutta la popolazione;
  • la possibilità per l'app di ottenere un uso regolare e diffuso in più del 60% della popolazione;
  • la completezza della definizione dell'architettura dei dati su cui è basata l'app.
Il mandato di tale gruppo indipendente di consulenti deve includere la capacità di determinare:
  • i parametri rispetto ai quali l'algoritmo di valutazione del rischio integrato nell'app rileva i contatti e assegna un punteggio di rischio;
  • quali caratteristiche tecniche dovrebbe avere tale app per massimizzare l'utilità dei dati;
  • quali sono le caratteristiche progettuali di tale app per renderla accessibile e garantire il rispetto delle sue istruzioni;
  • quali misure di tutela della privacy tale app deve integrare.

Osservazione n.2 : Se viene approvato l'uso di un'app di tracciamento digitale dei contatti, questa sarà efficace solo se viene utilizzata per integrare e assistere il tracciamento manuale dei contatti (eseguito da professionisti del settore medico sulla base di colloqui con i pazienti) e se viene basata su test diagnostici confermati per il virus.

Raccomandazione n.2 : Non devono essere spostate risorse dal tracciamento manuale dei contatti o dai test diagnostici verso lo sviluppo tecnologico. L'implementazione di un'app di tracciamento digitale dei contatti dovrebbe essere ritardata fino a quando la capacità del sistema di svolgere un adeguato numero di test e di eseguire il tracciamento manuale non sarà stata aumentata in misura sufficiente a soddisfare l'aumento di domanda causato dall'introduzione dell'app. Le capacità di test e di tracciamento manuale devono essere sufficienti a coprire quelle fasce della popolazione che sono escluse dal tracciamento digitale per cause di età, disabilità, vulnerabilità, assenza del dispositivo o carente alfabetizzazione digitale.

Osservazione n.3 : L'efficacia di un'app di tracciamento digitale dei contatti dipenderà da una diffusa fiducia del pubblico, che si traduce in un'ampio utilizzo dell'app.

Raccomandazione n.3 : Al fine di aumentare la fiducia e la sicurezza del pubblico, e di proteggersi contro gli abusi e l'utilizzo per altri fini, è necessaria l'approvazione di una legislazione ordinaria mirante a:
  • definire gli scopi del trattamento dei dati ed i loro limiti;
  • limitare chi ha accesso ai dati e per quale scopo;
  • richiedere la cancellazione dei dati dopo un determinato periodo di tempo, indicando le condizioni di esenzione dalla cancellazione per i dati anonimizzati da utilizzare per la ricerca scientifica;
  • richiedere l'esecuzione, la pubblicazione e l'approvazione da parte del Garante per la protezione dei dati personali di una valutazione d'impatto sulla protezione dei dati per tutte le misure tecniche a sostegno della gestione della crisi;
  • assegnare al Garante per la protezione dei dati personali il compito di sviluppare un codice di condotta relativo al trattamento dei dati nel contesto della gestione della crisi.
La legislazione dovrebbe anche contenere garanzie che rendano illegale l'uso dei dati in violazione delle norme. Tali usi illegali dovrebbero includere:
  • l'uso come prova nella decisione o imposizione di sanzioni in ambito civile o penale;
  • l'uso in procedimenti o decisioni relative a visti e immigrazione;
  • l'uso in procedimenti relativi ai minori o al diritto di famiglia;
  • l'uso in qualsiasi altro tipo di procedimento legale;
  • l'uso per sostenere qualsiasi azione di negazione o revoca di qualunque beneficio pubblico o sociale;
  • la condivisione dei dati con i datori di lavoro o le assicurazioni senza il libero consenso dell'individuo;
  • l'uso da parte di un datore di lavoro per terminare o modificare le condizioni di lavoro o di servizio esistenti;
  • l'uso discriminazioni illegale ai sensi della giurisprudenza corrente.

Osservazione n.4 : Data la mancanza di prove sull'efficacia di un'app di tracciamento digitale dei contatti, non vi è alcuna base per concludere che l'obbligatorietà dell'installazione di una tale app sia una misura necessaria o proporzionata alla situazione . Da un punto di vista pragmatico, è improbabile che imporre l'uso obbligatorio di una tale app sia efficace, realizzabile o goda di un sostegno pubblico.

Raccomandazione n.4 : Se il gruppo indipendente di consulenti raccomanda l'installazione di un'app di tracciamento digitale dei contatti, dovrebbe considerare quali passi il governo potrebbe intraprendere per aumentarne l'utilizzo volontario da parte dei cittadini, attraverso incentivi o aggiornamenti automatici dell'app sui dispositivi degli utenti.


(continuerà a breve con la presentazioni delle raccomandazioni relative agli aspetti tecnologici del controllo dei sintomi e della certificazione dell'immunita)

domenica 26 aprile 2020

Criticità relative al tracciamento digitale dei contatti: una sintesi

di Enrico Nardelli

Ci sono diversi elementi che, a mio giudizio, vengono trascurati in questa o quella discussione sul tracciamento digitale dei contatti in cui nelle ultime settimane tecnici di vari settori si sono lanciati, tra lettere aperte ed accorati appelli, ognuno elaborato dal proprio punto di vista.

Il primo, trasversale e generale, è la necessità di un approccio sistemico che tenga conto di tutti gli aspetti della gestione di un'emergenza sanitaria, che non sono solo medici, ma anche organizzativi, sociali e legali, per non parlare di quelli economici.

Da questo discendono una serie di punti specifici che richiedono attenzione, la cui assenza può far fallire qualsiasi misura si pensi di mettere in campo:
  • L'approvazione di una legislazione ordinaria che preceda le misure straordinarie che vanno ad intaccare diritti primari delle persone, definendone princìpi generali e limitazioni organizzative e temporali. Lo ha ricordato, da ultimo, il Comitato Europeo per la protezione dei dati, al n.31 delle linee-guida 04/2020.
  • L'analisi dell'efficacia della strategia considerata, prima della sua effettiva adozione, soprattutto in termini di costi-benefici. Al momento nessuno sembra averla realizzata. Giustamente qualche Paese, p.es. il Belgio, ha invece deciso che è meglio impiegare le risorse nel tracciamento manuale che in quello digitale automatico.
  • La valutazione dell'impatto complessivo, soprattutto in termini di relazioni sociali. Si veda ad esempio quanto ha scritto il Wall Street Journal sulle conseguenze sociali di una strategia molto aggressiva in Corea del Sud.
  • I tanti rischi nel mantenimento della privacy cui è intrinsecamente soggetto il tracciamento digitale dei contatti.
  • La definizione di misure di mitigazione del divario digitale che rischia di emarginare le fasce sociali più deboli da qualunque misura basata sulla tecnologia digitale o, peggio, rischia di produrre coercizione all'uso (p.es.: braccialetti elettronici)
  • La trasparenza sulle scelte in corso di analisi e sui processi decisionali, accoppiata ad una strategia di comunicazione che sia in grado di coinvolgere i cittadini, tanto più necessaria quanto più si intaccano diritti fondamentali.
  • L'attenzione all'attacco alla privacy, equivalente ad un attacco alla democrazia, che è fatalmente legato a ogni soluzione di tracciamento.
  • Il rischio a cui vengono esposti i cittadini richiedendo loro l'uso di soluzioni basate su tecnologie (tipo Bluetooth) la cui vulnerabilità è ben nota ed è legata in modo essenziale alla necessità di tenere costantemente aggiornati i propri dispositivi (questo è un esempio).
  • La necessità di interoperabilità tra le varie soluzioni tecniche, almeno a livello di Unione Europea, con le conseguenti complicazioni relative agli aggiornamenti delle versioni, esacerbate dall'eventualità di app distribuite.
E quindi?

Quindi, come ha dichiarato una fonte anonima che lavora all'interno del gruppo che si occupa di strategia digitale nel governo francese: «il governo sa che questa app ha bassissime probabilità di essere efficace, ma deve dimostrare che sta facendo qualcosa per metter fine alla quarantena».

Insomma, ci troviamo di fronte a quella "fatequalcosite" in cui si rifugia, in ogni paese, la politica quando è troppo debole per dialogare con i cittadini e riuscire a sintetizzare un bene comune.

sabato 25 aprile 2020

Raccomandazioni trasversali nella visione sistemica degli esperti inglesi per uscire dall'emergenza COVID-19

di Enrico Nardelli

In un precedente post ho presentato le raccomandazioni principali di un rapporto dell'Ada Lovelace Institute recentemente pubblicato nel Regno Unito. Esso offre un'eccellente analisi delle implicazioni dell'uso della tecnologia per gestire l'uscita dalla fase di emergenza del COVID-19, dal momento che considera tutte le dimensioni rilevanti per questo scopo.

In questo post presento più in dettaglio le raccomandazioni di natura trasversale. Nei successivi discuterò le raccomandazioni relative ai vari aspetti tecnologici.

Osservazione n.1 : Le tecnologie basate sui dati possono essere strumenti efficaci per supportare qualsiasi strategia per uscire dall'emergenza, ma non sostituiscono la politica. Tali tecnologie devono far parte di strategie sistemiche di gestione della sanità pubblica e di altre iniziative di risposta alle pandemie; in assenza di evidenze non possono e non devono sostituire altri metodi collaudati.

Raccomandazione n.1 : Il governo deve essere trasparente sulle soluzioni tecnologiche che sta sviluppando. Esse devono integrare, piuttosto che sostituire, le iniziative sanitarie di risposta alla pandemia in corso. Devono essere fondate su una strategia globale per uscire dalla crisi, che il governo dovrebbe sviluppare, pubblicare e invitare l'opinione pubblica ad esaminare.

Osservazione n.2 : Interventi efficaci basati sulla tecnologia tengono conto della dimensione sociale della tecnologia e del suo impatto sociale, sono progettati con il contributo e il coinvolgimento delle persone in tutta gli strati sociali e sono monitorati ed esaminati per valutare il loro impatto sociale sugli individui e sulle comunità.

Raccomandazione n.2 : Il governo deve ampliare la gamma di attori coinvolti nel processo decisionale relativo alla crisi COVID-19 al di là degli organi consultivi scientifici. Dovrebbe essere istituito un gruppo indipendente di consulenti sulla tecnologia in situazioni di emergenza per affiancare il gruppo di consulenza scientifica per le emergenze, con il compito di esaminare le evidenze su cui basare gli interventi tecnici, formulare raccomandazioni per il loro dispiegamento e supervisionare il loro impatto. Il gruppo di consulenti dovrebbe essere diversificato e rappresentativo, ed includere esperti in dati e tecnologia, scienze sociali e umanistiche, e rappresentanti dei gruppi vulnerabili, della società civile e delle autorità locali. Le sue delibere e i suoi risultati dovrebbero essere resi pubblici.

Osservazione n.3 : C'è un rischio reale che l'espansione dell'intrusione dello Stato nella vita degli individui che si verifica durante le emergenze perduri al di là del periodo iniziale di crisi. Le infrastrutture tecniche e legali costruite durante questa pandemia possono essere difficili da smantellare una volta superata la crisi, a meno che non siano state disposte in anticipo adeguate clausole di salvaguardia. Il settore tecnologico può aiutare a risolvere problemi difficili attraverso innovazioni di avanguardia, ma quando si delega la politica sanitaria pubblica a fornitori privati (da soli o in collaborazione col pubblico) ne risulta un deficit di democrazia.

Raccomandazione n.3 : Le clausole di decadenza legale e tecnica devono essere integrate nella progettazione degli strumenti tecnologici. È necessario definire preventivamente una legislazione ordinaria che regoli come gli attori del settore pubblico e privato usano la tecnologia digitale per gestire dati digitali. Va incoraggiata la protezione dei dati fin dalla progettazione delle soluzioni tecniche (privacy by design) e alla base di tali soluzioni devono essere scelti protocolli che tutelano la privacy.

Osservazione n.4 : Un efficace impiego della tecnologia per sostenere l'uscita dall'emergenza dipenderà da una diffusa fiducia dei cittadini negli interventi.

Raccomandazione n.4 : Il governo deve essere trasparente sulle misure tecniche che sta considerando prima del loro effettivo impiego. Gli interventi tecnici non dovrebbero essere attuati fino a quando il gruppo indipendente di consulenti per la tecnologia nelle emergenze non avrà esaminato le evidenze per il loro utilizzo, valutato il loro probabile impatto e raccomandato il loro dispiegamento. Occorre incoraggiare un dibattito aperto e un esame approfondito per aumentare la fiducia dell'opinione pubblica e sensibilizzarla sulla complessità delle questioni.

Osservazione n.5 : Mentre ci si muove verso l'uscita dalla crisi, il governo dovrebbe capire come mantenere il processo decisionale al passo con il suo controllo e la sua valutazione in tempo reale da parte dei gruppi di consulenti indipendenti.

Raccomandazione n.5 : Dovrebbe essere istituito un meccanismo di supervisione indipendente che guidi il controllo in tempo reale sulla formulazione delle politiche e sul processo decisionale del governo. C'è un'iniziativa di controllo in tempo reale in corso in Scozia, dove la polizia scozzese ha nominato John Scott QC per dirigere un comitato di controllo sull'uso da parte della polizia dei suoi poteri. Questo tipo di modello potrebbe essere applicato in altri settori, e potrebbe essere essenziale per avere responsabilità e supervisione sull'uso della tecnologia e dei dati.

(continuerà a breve con la presentazioni delle raccomandazioni relative agli aspetti tecnologici)

giovedì 23 aprile 2020

La visione sistemica degli esperti inglesi per uscire dall'emergenza COVID-19

di Enrico Nardelli

Nel Regno Unito è stato recentemente pubblicato un rapporto dell'Ada Lovelace Institute che ritengo (e non solo io) la migliore analisi delle implicazioni dell'uso della tecnologia per gestire l'uscita dalla fase di emergenza del COVID-19, dal momento che considera tutte le dimensioni rilevanti per questo scopo.

Ritengo utile al dibattito, che anche in Italia si sta svolgendo su questi temi, fornirne una presentazione in Italiano, iniziando da quanto riportato sul relativo sito.

Il rapporto contiene i risultati di un esame basato sulle evidenze degli aspetti tecnici e delle implicazioni sociali dell'uso della tecnologia digitale per gestire l'uscita dalla quarantena del COVID-19. L'intento è aiutare i governi nella scelta delle soluzioni da adottare in questa fase.

Il rapporto considera tre tecnologie:
  • tracciamento digitale dei contatti
  • app per il controllo dei sintomi
  • certificazione dell'immunità
e fornisce raccomandazioni pragmatiche per supportare politiche ben informate in risposta alla crisi. È il risultato del contributo di oltre venti esperti provenienti da una vasta gamma di settori, tra cui tecnologia, politica, diritti umani e protezione dei dati, sanità pubblica, medicina clinica, scienza comportamentale, informatica, filosofia, sociologia e antropologia.

L'obiettivo è favorire l'inizio di un dialogo informato e pubblico sulle considerazioni tecniche e sulle implicazioni sociali dell'uso della tecnologia per questa fase di transizione.

I risultati chiave

Mancano prove a sostegno dell'immediata adozione a livello nazionale di applicazioni di tracciamento digitale dei contatti, di applicazioni di controllo dei sintomi e di certificati digitali di immunità. Il governo fa bene a esplorare misure non sanitarie per la fase di transizione, ma affinché la politica nazionale possa utilizzare queste app, esse dovrebbero essere in grado di:
  • rappresentare in modo accurato i dati sull'infezione e l'immunità
  • dimostrare la capacità tecnica di supportare le funzioni richieste
  • risolvere i vari problemi pratici legati al loro utilizzo, tra cui gli aspetti legali
  • mitigare i rischi sociali e proteggere i cittadini da discriminazioni e vulnerabilità
Al momento, manca l'evidenza a favore del fatto che gli strumenti sono in grado di affrontare adeguatamente questi quattro aspetti.

In particolare, si sottolinea quanto segue.
  • L'efficacia della tecnologia nel sostenere la transizione dipenderà dalla fiducia del pubblico, che può essere rafforzata attraverso l'istituzione di adeguati organi di controllo:
    • un gruppo di consiglieri tecnologici;
    • un gruppo di supervisione indipendente per il controllo delle politiche elaborate.
  • Sarà necessaria una legislazione ordinaria chiara e completa che regoli la gestione dei dati nelle applicazioni di tracciamento digitale dei contatti e controllo dei sintomi. La legislazione dovrebbe imporre rigide finalità di utilizzo e definire limiti di accesso e di durata temporale.

Fino a quando non sarà stato sviluppato un modo affidabile di verificare l'immunità, l'attenzione dovrà focalizzarsi sullo sviluppo di una strategia globale che consideri le profonde implicazioni sociali di qualsiasi regime di certificazione dell'immunità, piuttosto che lo sviluppo di certificati digitali di immunità. Un controllo completo e robusto da parte del Parlamento e un'adeguata legislazione saranno cruciali per qualsiasi futuro regime di test e certificazione di immunità.

Le scelte tecniche dovranno tener conto sin dalla fase progettuale dei requisiti di privacy e di accessibilità e dovranno essere previste misure non tecniche per superare il divario digitale.

La tecnologia e i dati possono essere fondamentali per consentire una rapida transizione, e la revoca della quarantena non ha solo una valenza economica, ma anche sociale e di sanità pubblica. Ma è importante ricordare che l'adozione prematura di app inefficaci può minare la fiducia a lungo termine del pubblico, ostacolando la diffusione di soluzioni tecnologiche che potrebbero rivelarsi molto utili.

(la presentazione del rapporto continua con le raccomandazioni trasversali)

mercoledì 22 aprile 2020

La lotta per la privacy è lotta per la democrazia (seconda parte)

di Enrico Nardelli

Proseguiamo con l'analisi delle posizioni dei tecno-entusiasti, iniziata nella prima parte di questo post, che, nella gestione di questa emergenza sanitaria, vedono soprattutto le opportunità da sfruttare per lo sviluppo digitale del Paese e ne minimizzano i pericoli.

Si dice, ancora, che "in questo momento difficile ci vuole solidarietà e dobbiamo tutti contribuire al bene comune facendoci tracciare". Prima di tutto osservo che quale sia questo "bene comune" non è stato ancora sufficientemente dibattuto, per lo meno in Italia dove abbiamo visto e continuiamo a vedere decisioni prese senza dibattito parlamentare sulla scia di provvedimenti governativi che sono, argomentano alcuni giuristi, al limite dell'incostituzionalità. Notate poi come un'affermazione di questo genere sia, di fatto, la messa la bando del "diverso", vale a dire di chi non vorrà farsi tracciare. La volontarietà che viene infatti ricordata come "salvagente" per chi non fosse d'accordo è in realtà una foglia di fico: se poi l'uso del sistema diventa un meccanismo per controllare l'accesso nei luoghi pubblici (uffici, negozi, ristoranti, cinema, scuole, etc. etc.) allora l'obbligatorietà diventa di fatto la norma e potenziale sorgente di discriminazione.

Non c'è un dilemma etico tra bene comune e posizione individuale, in questo caso, perché non si tratta di scegliere tra privacy e salute. Dobbiamo semplicemente rifiutare le scelte che svendono la privacy e che non sono davvero necessarie per sostenere l'azione sanitaria, che invece avrebbe in primo luogo bisogno di risorse che il mantra "meno Stato, più Mercato" le ha nel decennio passato sottratto.

La mia valutazione sulle motivazioni che stanno dietro l'intenzione espressa da molti governi europei di proseguire su questa strada coincide con quanto dichiarato da una fonte anonima che lavora all'interno del gruppo che si occupa di strategia digitale nel governo francese: «il governo sa che questa app ha bassissime probabilità di essere efficace, ma deve dimostrare che sta facendo qualcosa per metter fine alla quarantena». Inoltre, una tale scelta offre una comoda via di fuga: se non funzionerà, sarà colpa dei cittadini che non l'hanno usata (con conseguente spinta, di nuovo, verso l'emarginazione del "diverso"). È sorprendente che, invece di preservare la dignità della persona umana, già messa a dura prova dalla quarantena, si sposti la responsabilità della soluzione del problema sulle persone, rischiando di scatenare l'odio sociale. Bisognerebbe fornire medicine, assistenza medica, assistenza economica a chi è ridotto alla fame dalla crisi economica conseguente all'emergenza sanitaria.

Il punto è che "dopo", anche se del tutto inutile per lo scopo dichiarato, l'infrastruttura di sorveglianza rischia di rimanere presente in milioni di dispositivi, pronta per altri scopi. Il suo raggio d'azione può essere progressivamente esteso nel tempo, dal coronavirus ad altri virus, ad altre malattie, e pian piano allargato, mediante successivi aggiornamenti automatici, come avviene per le tante app sul nostro smartphone, per altri obiettivi (sempre nell'interesse del bene comune, sia chiaro!). Proprio il fatto che c'è poca consapevolezza di come ci aggiriamo ignari in un mondo digitale per il quale non abbiamo sensori, rende questo non uno scenario paranoico ma una realtà possibile. Per non parlare poi dei nostri dati, magari ceduti a scopo commerciale, visto il grande valore che hanno acquisito, soprattutto per i grandi gruppo industriali dell'Intelligenza Artificiale.


(da "Metropolis" di Fritz Lang, 1927)

E non è tutto. Si arriva ad argomentare: "un quinto della popolazione non ha o non sa usare smartphone? Allora diamogli uno smarphone o un braccialetto elettronico, che fa tutto da solo". Mi chiedo: ma avrebbero fatto il tifo per l'iceberg perché ha fatto capire ai passeggeri del Titanic l'importanza di saper nuotare? Sinceramente, ho paura di chi esprime opinioni di questo genere. Se gli si fa osservare che non è questo il modo migliorare di far diventare digitalmente competenti tutti i cittadini, rispondono che si tratta di posizioni luddiste (che, però, esprimevano esigenze di lotta di classe con solide basi)

Bisogna capire che dare un'arma in mano ad un potenziale avversario pensando che si potrà sempre convincerlo a non usarla non è una strategia vincente se quello ha più potere. È inutile nasconderselo: nonostante gli appelli alla solidarietà e al "volemose bene" (come si dice a Roma) i conflitti di potere esistono. Chi ha il potere di fare le cose ed ha anche i mezzi per farlo, lo farà.

Alcune soluzioni non vanno, a priori, consentite. Punto e basta. L'analisi che ha fatto Michel Foucault della "sorveglianza invisibile" come mezzo per costringere il prigioniero ad interiorizzare la disciplina carceraria è interamente valida per questa "sorveglianza digitale", incarnazione perfetta, proprio perché non si vede, del Panopticon, il carcere ideale pensato nel 1791 da Jeremy Bentham. Rischia di essere il primo passo verso scenari distopici di cittadini tutti obbedienti ed allineati come nel film Metropolis.

Affrontare i problemi sociali mediante soluzioni tecnologiche invece che attraverso il dibattito politico, il potenziamento di un servizio pubblico (l'unico che può non essere guidato dal profitto) e il finanziamento alla ricerca, basata sull'evidenza e sulla discussione, di possibili strumenti che possano aiutare a decidere come intervenire è la manifestazione più eclatante di quel "soluzionismo digitale" che ucciderà la democrazia, se non reagiamo.

martedì 21 aprile 2020

Un documento sul tracciamento digitale dei contatti della comunità di studiosi di crittografia e sicurezza

di Enrico Nardelli

La comunità mondiale degli studiosi di crittografia e sicurezza ha rilasciato un documento firmato da più di 300 scienziati di tutto il mondo sul tema del tracciamento digitale dei contatti.

Il documento è tecnicamente ben fatto e preciso e le sue raccomandazioni giuste, ma ho delle riserve, diciamo così "politiche".

Infatti, nonostante si dica che il tracciamento digitale può essere utile in alcune situazioni e che la sua efficacia sia controversa, vengono poi comunque formulate indicazioni sul come preservare la privacy nelle soluzioni che verranno implementate.

Questo è il passaggio, proprio all'inizio: «In some situations, so-called “contact tracing Apps” on peoples’ smartphones may improve the effectiveness of the manual contact tracing technique. ... Though the effectiveness of contact tracing Apps is controversial, we need to ensure that those implemented preserve the privacy of their users.»

A partire dalle stesse affermazione io avrei invece formulato sopratutto una raccomandazione affinché prima di mettere in campo tali soluzioni, se ne studiassero e sperimentassero utilità ed efficacia. Temo che invece così il documento dia sostegno ad un approccio tecnologico che non affronta i problemi reali ma dà per scontato che il tracciamento digitale dei contatti sia utile ed efficace.

Inoltre, continuo a pensare che ci siano dei problemi pratici (non teorici) nel realizzare soluzioni decentralizzate che siano al tempo stesso, come tutti giustamente chiedono, aperte e scrutinabili dal pubblico e siano resistenti agli attacchi che io ho chiamato delle "ancillary app" (vedi alla fine del post) e che Serge Vaudenay ha chiamato delle "enriched app" (vedi il "nerd attack" a pag.10).

Anche se entrambe le analisi sono state fatte su DP-3T ritengo che l'attacco sia valido per qualunque schema decentralizzato con un protocollo di comunicazione "aperto".

L'unica contromisura che riesco a immaginare, rimanendo con un approccio decentralizzato e aperto, è avere un'infrastruttura che "certifichi" il codice sorgente delle app e lo "autentichi" come "ufficiale". Nessun problema da un punto di vista teorico, ma che questa cosa si riesca a fare non dico a livello mondiale ma europeo in tempi ragionevoli lo ritengo praticamente impossibile.

Addendum (22 apr 2020, 11:15 CEST): un altro gruppo di studiosi di crittografia e sicurezza (più piccolo ma non meno qualificato) ha prodotto un'analisi dettagliata di come sia difficile, se non impossibile, effettuare il tracciamento digitale dei contatti mantenendo la privacy. È in francese, ma usa un linguaggio semplice senza termini tecnici

The dangers of digital contact tracing: ancillary apps, social pressure and security

by Enrico Nardelli and Isabella Corradini

(versione italiana qua)

We are discussing these days how to manage getting back to “normality” ensuring at the same time the health situation remains under control. For this purpose, the so-called digital contact tracing has been proposed. It consists of recording encounters happened between people so that, when an individual is found positive for coronavirus, those who encountered in previous days can be quickly retrieved and alerted to block further infections.

Contact tracing is a WHO standard procedure for infectious diseases, usually implemented by healthcare professionals interviewing the infected person. However, it is argued that in the case of a large number of infected, the manual procedure is insufficient and an "automatic" approach based on digital technology is needed.

Let us debunk the myth that technology can do it all by itself. The team leader of the best-known contact tracing solution, the one used in Singapore, wrote: «No Bluetooth contact tracing system deployed or under development, anywhere in the world, is ready to replace manual contact tracing. Not now and not for the foreseeable future». It is therefore necessary to equip national health systems with adequate resources.

There is no need to say that tracing contacts means entering the sphere of personal data, the area of privacy guaranteed by European laws. They say that it can be done without violating the law. Is it really possible? Let us first examine the issue from a technical point of view, then we consider some social aspects.

Contacts tracing can be done in two ways: absolute and relative. The "absolute" way relies on the operator of the mobile phone network, which constantly knows where each device is located: coarsely if the GPS is off, precisely if the GPS is active. While in the absence of GPS it is generally difficult to establish whether an "encounter" is significant in terms of health (if two people are at 1 or 10 meters away it is epidemiologically very different), when GPS is active these problems are overcome. The operator could record the contact list for each phone number, with duration and position. The problem with this solution is that anyone who comes into possession of this list gets an enormous power in terms of social control, even in absence of infections. It is no coincidence that digital tracing of people, in all democratic countries, requires judicial authorization on the basis of detailed evidence. Authorizing them for the whole population would likely question the foundations of democratic society.

The "relative" approach consists of using one of the communication sensors available on individuals’ smartphone and an appropriate app; in this way each device registers the list of its contacts, with duration and position, only locally. Nobody gets the entire list, overcoming the "Big Brother" problem, and they say the app can be built so as to record every encounter using an anonymous identifier that cannot be traced back to the device’s owner. But if we cannot identify them, how can we alert them that they have been in contact with an infected person? Each telephone would determine it locally, using the anonymous identifiers of the infected, which would be distributed to all by a centralized service that obtains them from those who, after a test, voluntarily disclose they are infected.
tin
As many civil right organizations have underlined, such an app has to be "open", meaning that the rules of its data exchange with other apps and its source code executed by the smartphone should be open to examination, in order to guarantee full transparency on how it actually operates. However, an open app is able to communicate with any other app that follows the same rules about data exchange.

What can happen then? Imagine that you discovered that you were in contact with an infected person for the first time three days ago. If you met that person in all the following days, in your local history there will be as many reports of infected people in all those days. The official app most probably will not provide you any detail, just warning you to contact a health facility for a check. However, it is not difficult to imagine the development of a market based on "ancillary" apps that offer this extra information related to the encounters (see a more detailed technical analysis). An "ancillary" app will tell you, for each day, how many times a day you met a specific infected person, and if in the same day you met just one person or more than one. This "ancillary" app will not be able to tell you who the individuals are or if the encounters of different days refer to the same individuals but, considering that in a normal situation each of us has a certain regularity of encounters and there are relatively few infected people around, this information combined with others (e. g. remembering what you did in the past days) would allow you to make more accurate deductions regarding identity of infected people you met.

Psychological and social motivations will contribute to the spreading of "ancillary" apps. On the one hand, in fact, the desire to know (human curiosity) is a very powerful force, and few are immune. On the other hand, the combination of the need of preserving one's health with that of protecting the loved ones will be a strong driver. Furthermore, the daily bombardment of news about rules and behaviors people must follow to avoid the diffusion of infections is developing strange reactions such as mistrust towards others, bordering on paranoia. For example, notice how, walking along the street, we tend these days to increase the distances from others, even changing sidewalk. A climate of generalized suspicion can easily grow, as we have seen in these weeks with people reporting to the police neighbors and passers-by for trivial violations of rules.

Besides the actual problem of a possible violation of privacy, this climate of suspicion generates other considerations. We know, in fact, that the "relative" solution for the digital contact tracing mentioned above has to be used by at least 60% of population to be effective. In this sense, we can imagine how social pressure can push individuals to agree to use app, developing prejudices towards those who, for whatever reason, decide not to use it.

How to overcome these critical issues?


(Foto di Gerd Altmann - Pixabay)

At this time, the only chance we see (which, however, contradicts the above requirement of openness hence it is not something we recommend) is to use "official" applications that "speak" only with other official applications. To ensure this, official applications should be implemented directly by international companies that currently have a monopoly on mobile operating systems (Android and iOS). In a world where people's data is the new oil, deciding to put the control of our privacy into the hands of companies - whose economic power is larger than many states’ one – is not a wise decision. It is no coincidence that these companies have already moved in this direction. We are the ones who should not give up our digital data because they are an integral part of our identity.

Finally, some considerations about security are worth being discussed. Technologies which can be used for relative contact tracing apps are WiFi and Bluetooth. Unfortunately, both of them, in the mode that should be used for contact tracing, have several vulnerabilities that can be exploited to compromise the integrity of our mobile devices.

Requiring that all citizens have Bluetooth (or another technology) active is equivalent to asking them not to lock their home door because the doctor is going to come for a medical examination. In the real world, this would expose people’s homes to a high risk of physical intrusion. The same would happen in the digital world, with the difference that here people do not perceive what happens, and tools to exploit these vulnerabilities to enter in our "digital home" are rather easily accessible and do not require a bad guy to be a professional hacker.

Once inside, the problem would be most serious, given that a hostile intruder would have access to our entire personal and professional existence, including sensitive information. Updating the smartphone is a valid countermeasure, but how many people do it on a regular basis? Could we rely on this for the entire population?

In the ongoing discussions, it is taken for granted that digital solutions are essential, despite the fact that those who used them extensively (Singapore) had to quarantine the country. Although the organizations mentioned above have underlined the need to carry out a cost-benefit assessment of digital tracing solutions, these analyses are not available.

Situations where unforeseen circumstances present us with exceptional problems are a fertile ground for digital solutionism, since the limited resources and the need to "hurry up" press to reduce the time for decisions. The epidemic we are facing now is one of these situations. This is why we have to be highly vigilant. In our opinion, introducing a mass digital tracing solution, which to be effective anyhow requires other organizational and sanitary measures, is not at all a real solution, considering the huge privacy and security problems it causes.

As in many other cases, technological solutions (now increasingly digital) cannot solve problems unless they are compatible with the socio-organizational scenario, equipped with adequate financial and material resources, and supported by political will.

If these elements are missing, the consequence is the destruction of social relations and the renounce to our freedom, hence to democracy.