Raccomandazioni sulla tecnologia di tracciamento digitale dei contatti nella visione sistemica degli esperti inglesi per uscire dall'emergenza COVID-19

di Enrico Nardelli

In precedenti post ho descritto sia la sintesi generale che le raccomandazioni trasversali presenti nel rapporto dell'Ada Lovelace Institute, che offre un'analisi a 360 gradi delle implicazioni dell'uso della tecnologia per gestire l'uscita dalla fase di emergenza del COVID-19.

In questo post presento più in dettaglio le raccomandazioni di natura tecnologica relative al tracciamento digitale dei contatti. Nel successivo discuterò le raccomandazioni relative agli aspetti tecnologici del controllo dei sintomi e della certificazione dell'immunita.

Osservazione n.1 : Attualmente non ci sono prove sufficienti per sostenere l'uso del tracciamento digitale dei contatti come tecnologia efficace di gestione della pandemia. Prima di utilizzare il tracciamento digitale dei contatti ne devono essere analizzati meglio limiti tecnici, ostacoli alla diffusione e impatto sociale.

Raccomandazione n.1 : Il governo deve istituire un gruppo indipendente di consulenti sulla tecnologia in situazioni di emergenza per supervisionare lo sviluppo e la sperimentazione di qualsiasi app di tracciamento digitale di contatti. Il gruppo di consulenti dovrebbe essere incaricato di decidere quando una tale app è pronta per essere usata, valutando:

• l'evidenza che determina la necessità del tracciamento digitale dei contatti a supporto di quello manuale;
• l'ampia disponibilità di test di coronavirus per tutta la popolazione;
• la possibilità per l'app di ottenere un uso regolare e diffuso in più del 60% della popolazione;
• la completezza della definizione dell'architettura dei dati su cui è basata l'app.

Il mandato di tale gruppo indipendente di consulenti deve includere la capacità di determinare:

• i parametri rispetto ai quali l'algoritmo di valutazione del rischio integrato nell'app rileva i contatti e assegna un punteggio di rischio;
• quali caratteristiche tecniche dovrebbe avere tale app per massimizzare l'utilità dei dati;
• quali sono le caratteristiche progettuali di tale app per renderla accessibile e garantire il rispetto delle sue istruzioni;
• quali misure di tutela della privacy tale app deve integrare.

Osservazione n.2 : Se viene approvato l'uso di un'app di tracciamento digitale dei contatti, questa sarà efficace solo se viene utilizzata per integrare e assistere il tracciamento manuale dei contatti (eseguito da professionisti del settore medico sulla base di colloqui con i pazienti) e se viene basata su test diagnostici confermati per il virus.

Raccomandazione n.2 : Non devono essere spostate risorse dal tracciamento manuale dei contatti o dai test diagnostici verso lo sviluppo tecnologico. L'implementazione di un'app di tracciamento digitale dei contatti dovrebbe essere ritardata fino a quando la capacità del sistema di svolgere un adeguato numero di test e di eseguire il tracciamento manuale non sarà stata aumentata in misura sufficiente a soddisfare l'aumento di domanda causato dall'introduzione dell'app. Le capacità di test e di tracciamento manuale devono essere sufficienti a coprire quelle fasce della popolazione che sono escluse dal tracciamento digitale per cause di età, disabilità, vulnerabilità, assenza del dispositivo o carente alfabetizzazione digitale.

Osservazione n.3 : L'efficacia di un'app di tracciamento digitale dei contatti dipenderà da una diffusa fiducia del pubblico, che si traduce in un'ampio utilizzo dell'app.

Raccomandazione n.3 : Al fine di aumentare la fiducia e la sicurezza del pubblico, e di proteggersi contro gli abusi e l'utilizzo per altri fini, è necessaria l'approvazione di una legislazione ordinaria mirante a:

• definire gli scopi del trattamento dei dati ed i loro limiti;
• limitare chi ha accesso ai dati e per quale scopo;
• richiedere la cancellazione dei dati dopo un determinato periodo di tempo, indicando le condizioni di esenzione dalla cancellazione per i dati anonimizzati da utilizzare per la ricerca scientifica;
• richiedere l'esecuzione, la pubblicazione e l'approvazione da parte del Garante per la protezione dei dati personali di una valutazione d'impatto sulla protezione dei dati per tutte le misure tecniche a sostegno della gestione della crisi;
• assegnare al Garante per la protezione dei dati personali il compito di sviluppare un codice di condotta relativo al trattamento dei dati nel contesto della gestione della crisi.

La legislazione dovrebbe anche contenere garanzie che rendano illegale l'uso dei dati in violazione delle norme. Tali usi illegali dovrebbero includere:

• l'uso come prova nella decisione o imposizione di sanzioni in ambito civile o penale;
• l'uso in procedimenti o decisioni relative a visti e immigrazione;
• l'uso in procedimenti relativi ai minori o al diritto di famiglia;
• l'uso in qualsiasi altro tipo di procedimento legale;
• l'uso per sostenere qualsiasi azione di negazione o revoca di qualunque beneficio pubblico o sociale;
• la condivisione dei dati con i datori di lavoro o le assicurazioni senza il libero consenso dell'individuo;
• l'uso da parte di un datore di lavoro per terminare o modificare le condizioni di lavoro o di servizio esistenti;
• l'uso discriminazioni illegale ai sensi della giurisprudenza corrente.

Osservazione n.4 : Data la mancanza di prove sull'efficacia di un'app di tracciamento digitale dei contatti, non vi è alcuna base per concludere che l'obbligatorietà dell'installazione di una tale app sia una misura necessaria o proporzionata alla situazione . Da un punto di vista pragmatico, è improbabile che imporre l'uso obbligatorio di una tale app sia efficace, realizzabile o goda di un sostegno pubblico.

Raccomandazione n.4 : Se il gruppo indipendente di consulenti raccomanda l'installazione di un'app di tracciamento digitale dei contatti, dovrebbe considerare quali passi il governo potrebbe intraprendere per aumentarne l'utilizzo volontario da parte dei cittadini, attraverso incentivi o aggiornamenti automatici dell'app sui dispositivi degli utenti.


(continuerà a breve con la presentazioni delle raccomandazioni relative agli aspetti tecnologici del controllo dei sintomi e della certificazione dell'immunita)

Criticità relative al tracciamento digitale dei contatti: una sintesi

di Enrico Nardelli

Ci sono diversi elementi che, a mio giudizio, vengono trascurati in questa o quella discussione sul tracciamento digitale dei contatti in cui nelle ultime settimane tecnici di vari settori si sono lanciati, tra lettere aperte ed accorati appelli, ognuno elaborato dal proprio punto di vista.

Il primo, trasversale e generale, è la necessità di un approccio sistemico che tenga conto di tutti gli aspetti della gestione di un'emergenza sanitaria, che non sono solo medici, ma anche organizzativi, sociali e legali, per non parlare di quelli economici.

Da questo discendono una serie di punti specifici che richiedono attenzione, la cui assenza può far fallire qualsiasi misura si pensi di mettere in campo:

• L'approvazione di una legislazione ordinaria che preceda le misure straordinarie che vanno ad intaccare diritti primari delle persone, definendone princìpi generali e limitazioni organizzative e temporali. Lo ha ricordato, da ultimo, il Comitato Europeo per la protezione dei dati, al n.31 delle linee-guida 04/2020.
• L'analisi dell'efficacia della strategia considerata, prima della sua effettiva adozione, soprattutto in termini di costi-benefici. Al momento nessuno sembra averla realizzata. Giustamente qualche Paese, p.es. il Belgio, ha invece deciso che è meglio impiegare le risorse nel tracciamento manuale che in quello digitale automatico.
• La valutazione dell'impatto complessivo, soprattutto in termini di relazioni sociali. Si veda ad esempio quanto ha scritto il Wall Street Journal sulle conseguenze sociali di una strategia molto aggressiva in Corea del Sud.
• I tanti rischi nel mantenimento della privacy cui è intrinsecamente soggetto il tracciamento digitale dei contatti.
• La definizione di misure di mitigazione del divario digitale che rischia di emarginare le fasce sociali più deboli da qualunque misura basata sulla tecnologia digitale o, peggio, rischia di produrre coercizione all'uso (p.es.: braccialetti elettronici)
• La trasparenza sulle scelte in corso di analisi e sui processi decisionali, accoppiata ad una strategia di comunicazione che sia in grado di coinvolgere i cittadini, tanto più necessaria quanto più si intaccano diritti fondamentali.
• L'attenzione all'attacco alla privacy, equivalente ad un attacco alla democrazia, che è fatalmente legato a ogni soluzione di tracciamento.
• Il rischio a cui vengono esposti i cittadini richiedendo loro l'uso di soluzioni basate su tecnologie (tipo Bluetooth) la cui vulnerabilità è ben nota ed è legata in modo essenziale alla necessità di tenere costantemente aggiornati i propri dispositivi (questo è un esempio).
• La necessità di interoperabilità tra le varie soluzioni tecniche, almeno a livello di Unione Europea, con le conseguenti complicazioni relative agli aggiornamenti delle versioni, esacerbate dall'eventualità di app distribuite.

E quindi?

Quindi, come ha dichiarato una fonte anonima che lavora all'interno del gruppo che si occupa di strategia digitale nel governo francese: «il governo sa che questa app ha bassissime probabilità di essere efficace, ma deve dimostrare che sta facendo qualcosa per metter fine alla quarantena».

Insomma, ci troviamo di fronte a quella "fatequalcosite" in cui si rifugia, in ogni paese, la politica quando è troppo debole per dialogare con i cittadini e riuscire a sintetizzare un bene comune.

Raccomandazioni trasversali nella visione sistemica degli esperti inglesi per uscire dall'emergenza COVID-19

di Enrico Nardelli

In un precedente post ho presentato le raccomandazioni principali di un rapporto dell'Ada Lovelace Institute recentemente pubblicato nel Regno Unito. Esso offre un'eccellente analisi delle implicazioni dell'uso della tecnologia per gestire l'uscita dalla fase di emergenza del COVID-19, dal momento che considera tutte le dimensioni rilevanti per questo scopo.

In questo post presento più in dettaglio le raccomandazioni di natura trasversale. Nei successivi discuterò le raccomandazioni relative ai vari aspetti tecnologici.

Osservazione n.1 : Le tecnologie basate sui dati possono essere strumenti efficaci per supportare qualsiasi strategia per uscire dall'emergenza, ma non sostituiscono la politica. Tali tecnologie devono far parte di strategie sistemiche di gestione della sanità pubblica e di altre iniziative di risposta alle pandemie; in assenza di evidenze non possono e non devono sostituire altri metodi collaudati.

Raccomandazione n.1 : Il governo deve essere trasparente sulle soluzioni tecnologiche che sta sviluppando. Esse devono integrare, piuttosto che sostituire, le iniziative sanitarie di risposta alla pandemia in corso. Devono essere fondate su una strategia globale per uscire dalla crisi, che il governo dovrebbe sviluppare, pubblicare e invitare l'opinione pubblica ad esaminare.

Osservazione n.2 : Interventi efficaci basati sulla tecnologia tengono conto della dimensione sociale della tecnologia e del suo impatto sociale, sono progettati con il contributo e il coinvolgimento delle persone in tutta gli strati sociali e sono monitorati ed esaminati per valutare il loro impatto sociale sugli individui e sulle comunità.

Raccomandazione n.2 : Il governo deve ampliare la gamma di attori coinvolti nel processo decisionale relativo alla crisi COVID-19 al di là degli organi consultivi scientifici. Dovrebbe essere istituito un gruppo indipendente di consulenti sulla tecnologia in situazioni di emergenza per affiancare il gruppo di consulenza scientifica per le emergenze, con il compito di esaminare le evidenze su cui basare gli interventi tecnici, formulare raccomandazioni per il loro dispiegamento e supervisionare il loro impatto. Il gruppo di consulenti dovrebbe essere diversificato e rappresentativo, ed includere esperti in dati e tecnologia, scienze sociali e umanistiche, e rappresentanti dei gruppi vulnerabili, della società civile e delle autorità locali. Le sue delibere e i suoi risultati dovrebbero essere resi pubblici.

Osservazione n.3 : C'è un rischio reale che l'espansione dell'intrusione dello Stato nella vita degli individui che si verifica durante le emergenze perduri al di là del periodo iniziale di crisi. Le infrastrutture tecniche e legali costruite durante questa pandemia possono essere difficili da smantellare una volta superata la crisi, a meno che non siano state disposte in anticipo adeguate clausole di salvaguardia. Il settore tecnologico può aiutare a risolvere problemi difficili attraverso innovazioni di avanguardia, ma quando si delega la politica sanitaria pubblica a fornitori privati (da soli o in collaborazione col pubblico) ne risulta un deficit di democrazia.

Raccomandazione n.3 : Le clausole di decadenza legale e tecnica devono essere integrate nella progettazione degli strumenti tecnologici. È necessario definire preventivamente una legislazione ordinaria che regoli come gli attori del settore pubblico e privato usano la tecnologia digitale per gestire dati digitali. Va incoraggiata la protezione dei dati fin dalla progettazione delle soluzioni tecniche (privacy by design) e alla base di tali soluzioni devono essere scelti protocolli che tutelano la privacy.

Osservazione n.4 : Un efficace impiego della tecnologia per sostenere l'uscita dall'emergenza dipenderà da una diffusa fiducia dei cittadini negli interventi.

Raccomandazione n.4 : Il governo deve essere trasparente sulle misure tecniche che sta considerando prima del loro effettivo impiego. Gli interventi tecnici non dovrebbero essere attuati fino a quando il gruppo indipendente di consulenti per la tecnologia nelle emergenze non avrà esaminato le evidenze per il loro utilizzo, valutato il loro probabile impatto e raccomandato il loro dispiegamento. Occorre incoraggiare un dibattito aperto e un esame approfondito per aumentare la fiducia dell'opinione pubblica e sensibilizzarla sulla complessità delle questioni.

Osservazione n.5 : Mentre ci si muove verso l'uscita dalla crisi, il governo dovrebbe capire come mantenere il processo decisionale al passo con il suo controllo e la sua valutazione in tempo reale da parte dei gruppi di consulenti indipendenti.

Raccomandazione n.5 : Dovrebbe essere istituito un meccanismo di supervisione indipendente che guidi il controllo in tempo reale sulla formulazione delle politiche e sul processo decisionale del governo. C'è un'iniziativa di controllo in tempo reale in corso in Scozia, dove la polizia scozzese ha nominato John Scott QC per dirigere un comitato di controllo sull'uso da parte della polizia dei suoi poteri. Questo tipo di modello potrebbe essere applicato in altri settori, e potrebbe essere essenziale per avere responsabilità e supervisione sull'uso della tecnologia e dei dati.

(continuerà a breve con la presentazioni delle raccomandazioni relative agli aspetti tecnologici)

La visione sistemica degli esperti inglesi per uscire dall'emergenza COVID-19

di Enrico Nardelli

Nel Regno Unito è stato recentemente pubblicato un rapporto dell'Ada Lovelace Institute che ritengo (e non solo io) la migliore analisi delle implicazioni dell'uso della tecnologia per gestire l'uscita dalla fase di emergenza del COVID-19, dal momento che considera tutte le dimensioni rilevanti per questo scopo.

Ritengo utile al dibattito, che anche in Italia si sta svolgendo su questi temi, fornirne una presentazione in Italiano, iniziando da quanto riportato sul relativo sito.

Il rapporto contiene i risultati di un esame basato sulle evidenze degli aspetti tecnici e delle implicazioni sociali dell'uso della tecnologia digitale per gestire l'uscita dalla quarantena del COVID-19. L'intento è aiutare i governi nella scelta delle soluzioni da adottare in questa fase.

Il rapporto considera tre tecnologie:

• tracciamento digitale dei contatti
• app per il controllo dei sintomi
• certificazione dell'immunità

e fornisce raccomandazioni pragmatiche per supportare politiche ben informate in risposta alla crisi. È il risultato del contributo di oltre venti esperti provenienti da una vasta gamma di settori, tra cui tecnologia, politica, diritti umani e protezione dei dati, sanità pubblica, medicina clinica, scienza comportamentale, informatica, filosofia, sociologia e antropologia.

L'obiettivo è favorire l'inizio di un dialogo informato e pubblico sulle considerazioni tecniche e sulle implicazioni sociali dell'uso della tecnologia per questa fase di transizione.

I risultati chiave

Mancano prove a sostegno dell'immediata adozione a livello nazionale di applicazioni di tracciamento digitale dei contatti, di applicazioni di controllo dei sintomi e di certificati digitali di immunità. Il governo fa bene a esplorare misure non sanitarie per la fase di transizione, ma affinché la politica nazionale possa utilizzare queste app, esse dovrebbero essere in grado di:

• rappresentare in modo accurato i dati sull'infezione e l'immunità
• dimostrare la capacità tecnica di supportare le funzioni richieste
• risolvere i vari problemi pratici legati al loro utilizzo, tra cui gli aspetti legali
• mitigare i rischi sociali e proteggere i cittadini da discriminazioni e vulnerabilità

Al momento, manca l'evidenza a favore del fatto che gli strumenti sono in grado di affrontare adeguatamente questi quattro aspetti.

In particolare, si sottolinea quanto segue.

• L'efficacia della tecnologia nel sostenere la transizione dipenderà dalla fiducia del pubblico, che può essere rafforzata attraverso l'istituzione di adeguati organi di controllo:
• un gruppo di consiglieri tecnologici;
• un gruppo di supervisione indipendente per il controllo delle politiche elaborate.
• Sarà necessaria una legislazione ordinaria chiara e completa che regoli la gestione dei dati nelle applicazioni di tracciamento digitale dei contatti e controllo dei sintomi. La legislazione dovrebbe imporre rigide finalità di utilizzo e definire limiti di accesso e di durata temporale.

Fino a quando non sarà stato sviluppato un modo affidabile di verificare l'immunità, l'attenzione dovrà focalizzarsi sullo sviluppo di una strategia globale che consideri le profonde implicazioni sociali di qualsiasi regime di certificazione dell'immunità, piuttosto che lo sviluppo di certificati digitali di immunità. Un controllo completo e robusto da parte del Parlamento e un'adeguata legislazione saranno cruciali per qualsiasi futuro regime di test e certificazione di immunità.

Le scelte tecniche dovranno tener conto sin dalla fase progettuale dei requisiti di privacy e di accessibilità e dovranno essere previste misure non tecniche per superare il divario digitale.

La tecnologia e i dati possono essere fondamentali per consentire una rapida transizione, e la revoca della quarantena non ha solo una valenza economica, ma anche sociale e di sanità pubblica. Ma è importante ricordare che l'adozione prematura di app inefficaci può minare la fiducia a lungo termine del pubblico, ostacolando la diffusione di soluzioni tecnologiche che potrebbero rivelarsi molto utili.

(la presentazione del rapporto continua con le raccomandazioni trasversali)

La lotta per la privacy è lotta per la democrazia (seconda parte)

di Enrico Nardelli

Proseguiamo con l'analisi delle posizioni dei tecno-entusiasti, iniziata nella prima parte di questo post, che, nella gestione di questa emergenza sanitaria, vedono soprattutto le opportunità da sfruttare per lo sviluppo digitale del Paese e ne minimizzano i pericoli.

Si dice, ancora, che "in questo momento difficile ci vuole solidarietà e dobbiamo tutti contribuire al bene comune facendoci tracciare". Prima di tutto osservo che quale sia questo "bene comune" non è stato ancora sufficientemente dibattuto, per lo meno in Italia dove abbiamo visto e continuiamo a vedere decisioni prese senza dibattito parlamentare sulla scia di provvedimenti governativi che sono, argomentano alcuni giuristi, al limite dell'incostituzionalità. Notate poi come un'affermazione di questo genere sia, di fatto, la messa la bando del "diverso", vale a dire di chi non vorrà farsi tracciare. La volontarietà che viene infatti ricordata come "salvagente" per chi non fosse d'accordo è in realtà una foglia di fico: se poi l'uso del sistema diventa un meccanismo per controllare l'accesso nei luoghi pubblici (uffici, negozi, ristoranti, cinema, scuole, etc. etc.) allora l'obbligatorietà diventa di fatto la norma e potenziale sorgente di discriminazione.

Non c'è un dilemma etico tra bene comune e posizione individuale, in questo caso, perché non si tratta di scegliere tra privacy e salute. Dobbiamo semplicemente rifiutare le scelte che svendono la privacy e che non sono davvero necessarie per sostenere l'azione sanitaria, che invece avrebbe in primo luogo bisogno di risorse che il mantra "meno Stato, più Mercato" le ha nel decennio passato sottratto.

La mia valutazione sulle motivazioni che stanno dietro l'intenzione espressa da molti governi europei di proseguire su questa strada coincide con quanto dichiarato da una fonte anonima che lavora all'interno del gruppo che si occupa di strategia digitale nel governo francese: «il governo sa che questa app ha bassissime probabilità di essere efficace, ma deve dimostrare che sta facendo qualcosa per metter fine alla quarantena». Inoltre, una tale scelta offre una comoda via di fuga: se non funzionerà, sarà colpa dei cittadini che non l'hanno usata (con conseguente spinta, di nuovo, verso l'emarginazione del "diverso"). È sorprendente che, invece di preservare la dignità della persona umana, già messa a dura prova dalla quarantena, si sposti la responsabilità della soluzione del problema sulle persone, rischiando di scatenare l'odio sociale. Bisognerebbe fornire medicine, assistenza medica, assistenza economica a chi è ridotto alla fame dalla crisi economica conseguente all'emergenza sanitaria.

Il punto è che "dopo", anche se del tutto inutile per lo scopo dichiarato, l'infrastruttura di sorveglianza rischia di rimanere presente in milioni di dispositivi, pronta per altri scopi. Il suo raggio d'azione può essere progressivamente esteso nel tempo, dal coronavirus ad altri virus, ad altre malattie, e pian piano allargato, mediante successivi aggiornamenti automatici, come avviene per le tante app sul nostro smartphone, per altri obiettivi (sempre nell'interesse del bene comune, sia chiaro!). Proprio il fatto che c'è poca consapevolezza di come ci aggiriamo ignari in un mondo digitale per il quale non abbiamo sensori, rende questo non uno scenario paranoico ma una realtà possibile. Per non parlare poi dei nostri dati, magari ceduti a scopo commerciale, visto il grande valore che hanno acquisito, soprattutto per i grandi gruppo industriali dell'Intelligenza Artificiale.

(da "Metropolis" di Fritz Lang, 1927)

E non è tutto. Si arriva ad argomentare: "un quinto della popolazione non ha o non sa usare smartphone? Allora diamogli uno smarphone o un braccialetto elettronico, che fa tutto da solo". Mi chiedo: ma avrebbero fatto il tifo per l'iceberg perché ha fatto capire ai passeggeri del Titanic l'importanza di saper nuotare? Sinceramente, ho paura di chi esprime opinioni di questo genere. Se gli si fa osservare che non è questo il modo migliorare di far diventare digitalmente competenti tutti i cittadini, rispondono che si tratta di posizioni luddiste (che, però, esprimevano esigenze di lotta di classe con solide basi)

Bisogna capire che dare un'arma in mano ad un potenziale avversario pensando che si potrà sempre convincerlo a non usarla non è una strategia vincente se quello ha più potere. È inutile nasconderselo: nonostante gli appelli alla solidarietà e al "volemose bene" (come si dice a Roma) i conflitti di potere esistono. Chi ha il potere di fare le cose ed ha anche i mezzi per farlo, lo farà.

Alcune soluzioni non vanno, a priori, consentite. Punto e basta. L'analisi che ha fatto Michel Foucault della "sorveglianza invisibile" come mezzo per costringere il prigioniero ad interiorizzare la disciplina carceraria è interamente valida per questa "sorveglianza digitale", incarnazione perfetta, proprio perché non si vede, del Panopticon, il carcere ideale pensato nel 1791 da Jeremy Bentham. Rischia di essere il primo passo verso scenari distopici di cittadini tutti obbedienti ed allineati come nel film Metropolis.

Affrontare i problemi sociali mediante soluzioni tecnologiche invece che attraverso il dibattito politico, il potenziamento di un servizio pubblico (l'unico che può non essere guidato dal profitto) e il finanziamento alla ricerca, basata sull'evidenza e sulla discussione, di possibili strumenti che possano aiutare a decidere come intervenire è la manifestazione più eclatante di quel "soluzionismo digitale" che ucciderà la democrazia, se non reagiamo.

Un documento sul tracciamento digitale dei contatti della comunità di studiosi di crittografia e sicurezza

di Enrico Nardelli

La comunità mondiale degli studiosi di crittografia e sicurezza ha rilasciato un documento firmato da più di 300 scienziati di tutto il mondo sul tema del tracciamento digitale dei contatti.

Il documento è tecnicamente ben fatto e preciso e le sue raccomandazioni giuste, ma ho delle riserve, diciamo così "politiche".

Infatti, nonostante si dica che il tracciamento digitale può essere utile in alcune situazioni e che la sua efficacia sia controversa, vengono poi comunque formulate indicazioni sul come preservare la privacy nelle soluzioni che verranno implementate.

Questo è il passaggio, proprio all'inizio: «In some situations, so-called “contact tracing Apps” on peoples’ smartphones may improve the effectiveness of the manual contact tracing technique. ... Though the effectiveness of contact tracing Apps is controversial, we need to ensure that those implemented preserve the privacy of their users.»

A partire dalle stesse affermazione io avrei invece formulato sopratutto una raccomandazione affinché prima di mettere in campo tali soluzioni, se ne studiassero e sperimentassero utilità ed efficacia. Temo che invece così il documento dia sostegno ad un approccio tecnologico che non affronta i problemi reali ma dà per scontato che il tracciamento digitale dei contatti sia utile ed efficace.

Inoltre, continuo a pensare che ci siano dei problemi pratici (non teorici) nel realizzare soluzioni decentralizzate che siano al tempo stesso, come tutti giustamente chiedono, aperte e scrutinabili dal pubblico e siano resistenti agli attacchi che io ho chiamato delle "ancillary app" (vedi alla fine del post) e che Serge Vaudenay ha chiamato delle "enriched app" (vedi il "nerd attack" a pag.10).

Anche se entrambe le analisi sono state fatte su DP-3T ritengo che l'attacco sia valido per qualunque schema decentralizzato con un protocollo di comunicazione "aperto".

L'unica contromisura che riesco a immaginare, rimanendo con un approccio decentralizzato e aperto, è avere un'infrastruttura che "certifichi" il codice sorgente delle app e lo "autentichi" come "ufficiale". Nessun problema da un punto di vista teorico, ma che questa cosa si riesca a fare non dico a livello mondiale ma europeo in tempi ragionevoli lo ritengo praticamente impossibile.

Addendum (22 apr 2020, 11:15 CEST): un altro gruppo di studiosi di crittografia e sicurezza (più piccolo ma non meno qualificato) ha prodotto un'analisi dettagliata di come sia difficile, se non impossibile, effettuare il tracciamento digitale dei contatti mantenendo la privacy. È in francese, ma usa un linguaggio semplice senza termini tecnici

The dangers of digital contact tracing: ancillary apps, social pressure and security

by Enrico Nardelli and Isabella Corradini

(versione italiana qua)

We are discussing these days how to manage getting back to “normality” ensuring at the same time the health situation remains under control. For this purpose, the so-called digital contact tracing has been proposed. It consists of recording encounters happened between people so that, when an individual is found positive for coronavirus, those who encountered in previous days can be quickly retrieved and alerted to block further infections.

Contact tracing is a WHO standard procedure for infectious diseases, usually implemented by healthcare professionals interviewing the infected person. However, it is argued that in the case of a large number of infected, the manual procedure is insufficient and an "automatic" approach based on digital technology is needed.

Let us debunk the myth that technology can do it all by itself. The team leader of the best-known contact tracing solution, the one used in Singapore, wrote: «No Bluetooth contact tracing system deployed or under development, anywhere in the world, is ready to replace manual contact tracing. Not now and not for the foreseeable future». It is therefore necessary to equip national health systems with adequate resources.

There is no need to say that tracing contacts means entering the sphere of personal data, the area of privacy guaranteed by European laws. They say that it can be done without violating the law. Is it really possible? Let us first examine the issue from a technical point of view, then we consider some social aspects.

Contacts tracing can be done in two ways: absolute and relative. The "absolute" way relies on the operator of the mobile phone network, which constantly knows where each device is located: coarsely if the GPS is off, precisely if the GPS is active. While in the absence of GPS it is generally difficult to establish whether an "encounter" is significant in terms of health (if two people are at 1 or 10 meters away it is epidemiologically very different), when GPS is active these problems are overcome. The operator could record the contact list for each phone number, with duration and position. The problem with this solution is that anyone who comes into possession of this list gets an enormous power in terms of social control, even in absence of infections. It is no coincidence that digital tracing of people, in all democratic countries, requires judicial authorization on the basis of detailed evidence. Authorizing them for the whole population would likely question the foundations of democratic society.

The "relative" approach consists of using one of the communication sensors available on individuals’ smartphone and an appropriate app; in this way each device registers the list of its contacts, with duration and position, only locally. Nobody gets the entire list, overcoming the "Big Brother" problem, and they say the app can be built so as to record every encounter using an anonymous identifier that cannot be traced back to the device’s owner. But if we cannot identify them, how can we alert them that they have been in contact with an infected person? Each telephone would determine it locally, using the anonymous identifiers of the infected, which would be distributed to all by a centralized service that obtains them from those who, after a test, voluntarily disclose they are infected.
tin
As many civil right organizations have underlined, such an app has to be "open", meaning that the rules of its data exchange with other apps and its source code executed by the smartphone should be open to examination, in order to guarantee full transparency on how it actually operates. However, an open app is able to communicate with any other app that follows the same rules about data exchange.

What can happen then? Imagine that you discovered that you were in contact with an infected person for the first time three days ago. If you met that person in all the following days, in your local history there will be as many reports of infected people in all those days. The official app most probably will not provide you any detail, just warning you to contact a health facility for a check. However, it is not difficult to imagine the development of a market based on "ancillary" apps that offer this extra information related to the encounters (see a more detailed technical analysis). An "ancillary" app will tell you, for each day, how many times a day you met a specific infected person, and if in the same day you met just one person or more than one. This "ancillary" app will not be able to tell you who the individuals are or if the encounters of different days refer to the same individuals but, considering that in a normal situation each of us has a certain regularity of encounters and there are relatively few infected people around, this information combined with others (e. g. remembering what you did in the past days) would allow you to make more accurate deductions regarding identity of infected people you met.

Psychological and social motivations will contribute to the spreading of "ancillary" apps. On the one hand, in fact, the desire to know (human curiosity) is a very powerful force, and few are immune. On the other hand, the combination of the need of preserving one's health with that of protecting the loved ones will be a strong driver. Furthermore, the daily bombardment of news about rules and behaviors people must follow to avoid the diffusion of infections is developing strange reactions such as mistrust towards others, bordering on paranoia. For example, notice how, walking along the street, we tend these days to increase the distances from others, even changing sidewalk. A climate of generalized suspicion can easily grow, as we have seen in these weeks with people reporting to the police neighbors and passers-by for trivial violations of rules.

Besides the actual problem of a possible violation of privacy, this climate of suspicion generates other considerations. We know, in fact, that the "relative" solution for the digital contact tracing mentioned above has to be used by at least 60% of population to be effective. In this sense, we can imagine how social pressure can push individuals to agree to use app, developing prejudices towards those who, for whatever reason, decide not to use it.

How to overcome these critical issues?

(Foto di Gerd Altmann - Pixabay)

At this time, the only chance we see (which, however, contradicts the above requirement of openness hence it is not something we recommend) is to use "official" applications that "speak" only with other official applications. To ensure this, official applications should be implemented directly by international companies that currently have a monopoly on mobile operating systems (Android and iOS). In a world where people's data is the new oil, deciding to put the control of our privacy into the hands of companies - whose economic power is larger than many states’ one – is not a wise decision. It is no coincidence that these companies have already moved in this direction. We are the ones who should not give up our digital data because they are an integral part of our identity.

Finally, some considerations about security are worth being discussed. Technologies which can be used for relative contact tracing apps are WiFi and Bluetooth. Unfortunately, both of them, in the mode that should be used for contact tracing, have several vulnerabilities that can be exploited to compromise the integrity of our mobile devices.

Requiring that all citizens have Bluetooth (or another technology) active is equivalent to asking them not to lock their home door because the doctor is going to come for a medical examination. In the real world, this would expose people’s homes to a high risk of physical intrusion. The same would happen in the digital world, with the difference that here people do not perceive what happens, and tools to exploit these vulnerabilities to enter in our "digital home" are rather easily accessible and do not require a bad guy to be a professional hacker.

Once inside, the problem would be most serious, given that a hostile intruder would have access to our entire personal and professional existence, including sensitive information. Updating the smartphone is a valid countermeasure, but how many people do it on a regular basis? Could we rely on this for the entire population?

In the ongoing discussions, it is taken for granted that digital solutions are essential, despite the fact that those who used them extensively (Singapore) had to quarantine the country. Although the organizations mentioned above have underlined the need to carry out a cost-benefit assessment of digital tracing solutions, these analyses are not available.

Situations where unforeseen circumstances present us with exceptional problems are a fertile ground for digital solutionism, since the limited resources and the need to "hurry up" press to reduce the time for decisions. The epidemic we are facing now is one of these situations. This is why we have to be highly vigilant. In our opinion, introducing a mass digital tracing solution, which to be effective anyhow requires other organizational and sanitary measures, is not at all a real solution, considering the huge privacy and security problems it causes.

As in many other cases, technological solutions (now increasingly digital) cannot solve problems unless they are compatible with the socio-organizational scenario, equipped with adequate financial and material resources, and supported by political will.

If these elements are missing, the consequence is the destruction of social relations and the renounce to our freedom, hence to democracy.

La lotta per la privacy è lotta per la democrazia (prima parte)

di Enrico Nardelli

Penso ormai tutti abbiano sentito dire che uno degli strumenti indispensabili per uscire dal periodo di quarantena è il tracciamento digitale dei contatti. In estrema sintesi, si tratta di meccanismi (app personali o sistemi centralizzati, la sostanza non cambia) per registrare con chi si entra in contatto per poi avvisarlo di un possibile contagio. Il problema è che questa attività è fortemente lesiva della privacy ed espone i cittadini (nella versione delle app personali) a rischi di sicurezza. Inoltre, ha conseguenze importanti in termini di relazioni sociali.

Soluzioni di questo genere andrebbero adottate, hanno ricordato sia il Garante della Privacy italiano che diverse organizzazioni internazionali, solo dopo averne valutato la convenienza attraverso un'analisi costi benefici. Allo stato della mia conoscenza, ciò non è stato fatto e si è deciso direttamente di procedere per questa strada. Già questo dovrebbe far scattare un campanello d'allarme in ogni persona sinceramente democratica.

Ma, "qual è il problema?", argomentano colleghi e conoscenti. Tra il non far niente e l'usare un'app con potenziali rischi di privacy non è meglio far qualcosa per non lasciar morire le persone?

È una falsa dicotomia: le risorse dello Stato impegnate in questo si possono invece usare per potenziare il servizio sanitario nazionale, effettuare un tracciamento manuale dei contatti, eseguire test in modo intensivo, ed attuare ed informare adeguatamente i cittadini sulle misure di medicina preventiva (mascherine, guanti, distanziamento, abitudini). E non si venga a dire che le aziende realizzaranno il tracciamento digitale gratis "per solidarietà": siamo cresciuti e non crediamo più alle favole.

Altra obiezione: "le persone comunque non si interessano della privacy". È vero, usano i servizi di Google e di Apple senza rendersi conto del continuo flusso di tracce digitali - posizioni, interessi, contatti, indirizzi - che lasciano nei loro server. E allora? Invece di educarli ad un uso "sano" delle tecnologie digitali (cosa che tutti i governi hanno promesso e nessuno ha mantenuto) si coglie quest'occasione per attaccare ulteriormente la loro privacy? Tempo fa chiedevo "Come chiameremmo quei governanti che vendessero i propri cittadini a poteri stranieri?".

Le persone cedono già i loro dati personali nell'uso dei loro dispositivi digitali, soprattutto per ignoranza. Questo viene considerato normale, ma non lo è. Anche fino a qualche decennio fa si considerava normale che del governo di un Paese se ne occupasse una minoranza qualificata. Poi si è capito che il suffragio universale conduceva ad una democrazia più rappresentativa e più equa.

Replicano, i miei colleghi tecno-entusiasti, "ormai è troppo tardi" e "non c'è alternativa". Personalmente, ritengo queste due espressioni siano sempre indizio di una trappola. Sarà perché sono di carattere un ottimista, sarà perché mia madre soleva ripetere "solo alla morte non c'è rimedio" ma, insomma, se si leggono (e si capiscono) un paio di libri di storia si capisce gli scenari possono sempre cambiare e ciò che era oggi scontato fra un anno potrebbe non esserlo più.

Ciò è vero in questo caso anche per l'adozione del tracciamento digitale dei contatti: in Francia e in Germania, dove per motivi storici l'attenzione alle libertà personali è molto più viva che da noi, vi sono state numerose prese di posizione che stanno pesando sulle decisioni dei governi. Si possono leggere qui e qui per la Francia, e qui e qui per la Germania. Quindi, il futuro è quello che noi cittadini contribuiremo a costruire.

Non manca neanche l'esterofilia denigratoria: "prendiamo esempio dai paesi esteri in cui hanno adottato queste soluzioni e ce l'hanno fatta". Beh, se andiamo a vedere, la Cina non è proprio una società allineata allo standard delle democrazie Europee. In Corea del Sud, stanno pagando un prezzo molto alto in termini di gogna sociale (se ne parla sul Wall Street Journal). E a Singapore, l'app di tracciamento digitale è stata scaricata da un quinto scarso dei cittadini e non ha funzionato, così poi sono passati alla quarantena. Potete leggere anche le riflessioni del responsabile del team che ha realizzato "TraceTogether" la tanto decantata app di Singapore: «l'esperienza di Singapore indica che il tracciamento dei contatti dovrebbe rimanere un'attività condotta in prima persona dalle persone».

Il motivo per adottare senza dibattito una tale soluzione è quindi per me chiaro: usare la scusa del coronavirus per instaurare a livello generalizzato la sorveglianza di massa, un'infrastruttura di controllo capillare che potrà essere poi usata per altri scopi. Da un punto di vista tecnico ritengo in pratica estremamente difficile, se non impossibile, attuare il tracciamento digitale dei contatti senza mettere a rischio la privacy (ne ho parlato qui e qui) e ritengo mio dovere di esperto segnalare questo problema che attacca libertà e democrazia.

Perché è importante difendere la privacy? Perché vuol dire difendere la democrazia. Senza l'una non c'è l'altra: nella "casa di vetro" dove è possibile una sola opinione senza possibilità di contrapposizione la democrazia è morta.

(leggi la seconda parte)

I pericoli del tracciamento digitale dei contatti: app derivate, pressione sociale e sicurezza

di Enrico Nardelli e Isabella Corradini

(english version here)

Si sta discutendo in questi giorni di come gestire il ritorno alla "normalità" abolendo le misure di distanziamento sociale ma assicurando il controllo della situazione sanitaria. A tal scopo è stato proposto il cosiddetto tracciamento digitale dei contatti, ovvero tenere traccia degli incontri tra le persone in modo tale da poter rapidamente risalire, nel caso in cui una persona venga trovata positiva al test, ai suoi contatti dei giorni precedenti e bloccare ulteriori contagi.

È bene chiarire che il tracciamento dei contatti è una procedura standard dell'OMS per le malattie infettive e viene usualmente condotta in modo manuale dal personale sanitario intervistando la persona infetta. Si sostiene però che nel caso di grandi numeri di infetti la procedura manuale è insufficiente e serve un approccio "automatico" basato appunto sulla tecnologia digitale.

Sfatiamo subito l'idea che la tecnologia possa fare tutto da sola. Lo dice il responsabile dell'unica soluzione di tracciamento dei contatti effettivamente realizzata e che ha funzionato. «Nessun sistema di tracciamento digitale dei contatti può rimpiazzare quello manuale» ha scritto il responsabile del sistema usato a Singapore. Serve comunque dotare il sistema sanitario nazionale di adeguate risorse che sinora non si sono viste e, anzi, nel decennio passato sono state tolte.

Ricordiamo poi che tracciare i contatti vuol dire entrare nella sfera dei dati personali, violare la zona di riservatezza personale garantita da leggi italiane ed europee. Si dice che sia possibile farlo senza violare la privacy. È davvero possibile? Esaminiamo la faccenda dal un punto di vista tecnico, a grandi linee per rendere l'esposizione comprensibile a tutti.

Tracciare automaticamente con cui una persona entra in contatto si può fare in due modi: assoluto e relativo. Si fa in modo "assoluto" appoggiandosi sul gestore della rete di telefonia mobile, che sa costantemente dove sia ogni dispositivo: grossolanamente, se il GPS è spento, con precisione se il GPS è attivo. Mentre in assenza del GPS è in generale difficile stabilire con certezza se il "contatto" sia avvenuto in modo che abbia senso sanitario (se due persone sono a 1 o 10 metri di distanza è epidemiologicamente molto diverso) col GPS questi problemi sono superati. Il gestore potrebbe quindi per ogni numero di telefono registrare l'elenco dei contatti, con durata e posizione. Il problema di questa soluzione è che chiunque viene in possesso di questa lista possiede un controllo sociale enorme, anche in assenza di infezioni. Non è un caso che il tracciamento digitale delle persone, in tutti i paesi democratici, richiede che le forze di polizia debbano preventivamente ottenere, caso per caso, l'autorizzazione della magistratura sulla base di circostanziate evidenze. Autorizzarle per l'intera popolazione vorrebbe mettere in discussione le fondamenta della società democratica.

Vediamo allora la soluzione "relativa". In questa, utilizzando uno dei sensori di comunicazione disponibili sullo smartphone ed un'opportuna app, è ogni dispositivo a registrare localmente l'elenco dei suoi contatti, con durata e posizione. In tal caso nessun soggetto ottiene questo controllo sociale e, si dice, l'app può essere realizzata in modo tale che ogni contatto venga registrato usando un identificativo anonimo e non riconducibile al proprietario. Ma se non li possiamo individuare come potremmo avvisarli di essere stati in contatto con un infetto? Perché sarebbe ogni telefono a determinarlo localmente, utilizzando gli identificativi anonimi degli infetti, che verrebbero distribuiti a tutti da un servizio centralizzato che li ottiene da chi, a seguito dei test, comunica volontariamente di essere infetto.

Però, come molte organizzazioni per la protezione dei diritti civili hanno sottolineato, un'app di questo genere dovrebbe esser realizzata in modo "aperto", ovvero le regole del suo scambio dati con le altre app e tutte le istruzioni che esegue sullo smartphone per tener traccia dei contatti dovrebbero poter essere liberamente esaminate, in modo tale che nessuno corra il rischio di trovare sul suo telefono un'app che fa cose diverse. Però, se l'app è aperta, è in grado di comunicare con ogni altra app che segue le stesse regole.

Allora, immaginate di aver scoperto che siete stati in contatto con un infetto per la prima volta 3 giorni fa. Se quella persona l'avete incontrata anche in tutti i giorni successivi, nella vostra storia locale vi saranno altrettante segnalazioni di persone infette in tutti quei giorni. La app ufficiale magari non dirà niente di tutto questo, ma solo di rivolgersi ad una struttura sanitaria per un controllo. Si può però facilmente immaginare che possa nascere un mercato di app "derivate" che vi offrono queste informazioni (vedi, p.es., un'analisi tecnica). Un'app "derivata" vi dirà, per ogni giorno, quante volte in un quel giorno avete incontrato un certo infetto e se in uno stesso giorno ne avete incontrato uno solo o più di uno. Questa app "derivata" non potrà dirvi se gli incontri dei giorni diversi si riferiscono alle stesse persone ma, considerando che in una situazione di normalità ognuno di noi ha una certa regolarità di incontri e ci sono relativamente pochi infetti in giro, queste informazioni combinate con il ricordo di ciò che avete fatto vi permetterebbero di dedurre parecchio.

Alla nascita di app "derivate" possono contribuire anche motivazioni di natura psicologica e sociale. Da un lato, infatti, il desiderio di sapere, quello che chiamiamo curiosità umana, è una molla potentissima, alla quale pochi sfuggono. Ma c’è in ballo anche la combinazione tra il bisogno di preservare la propria salute e quella delle persone care. Inoltre, il bombardamento quotidiano su regole e comportanti da seguire per tutelare la salute di tutti finisce per sviluppare comportamenti di diffidenza nei confronti dell’ “altro”, talvolta al limite della paranoia. Basta vedere come in questo periodo, camminando per strada, si tende ad aumentare le distanze dagli altri, arrivando persino a cambiare marciapiede. È facile da questo scivolare in un clima di sospetto generalizzato, di cui le cronache quotidiane di vicini e runner denunciati ci hanno già fornito numerosi esempi.

Oltre al problema effettivo di una possibile violazione della privacy, quindi, questo clima di sospetto genera altre considerazioni. Sappiamo, infatti, che la soluzione "relativa" per il tracciamento digitale dei contatti sopra accennata richiede di essere usata da almeno il 60% delle persone, per essere utile. È chiaro quindi che entrerebbe in gioco una fortissima pressione sociale per spingere ad omologarsi nel suo uso e creando pregiudizi nei confronti di chi, per qualunque motivo, decide di non farne uso.

Come ovviare a queste criticità?

(Foto di Gerd Altmann - Pixabay)

L'unica possibilità che intravediamo è quella di usare applicazioni "ufficiali" che "parlano" solo con altre applicazioni ufficiali. Per garantire questo bisognerebbe far sì che le applicazioni ufficiali siano realizzate dalle società internazionali che attualmente hanno il monopolio dei sistemi operativi per la telefonia cellulare (Android e iOS). In un mondo in cui i dati delle persone sono il nuovo petrolio, affidare il controllo della nostra privacy in mano ad aziende che perseguono un obiettivo di business ed hanno un potere economico superiore a quello di molti stati non sembra una mossa vantaggiosa per i cittadini. Non a caso le relative società si sono già mosse in questa direzione. Siamo noi che non dovremmo cedere quei dati digitali che sono ormai parte integrante del nostro essere.

Per completare poi il quadro, va spesa qualche parola sulla sicurezza della tecnologia di base che potrebbe essere usata. Qui le scelte possibili sono solo due: il WiFi e il Bluetooth. Purtroppo, entrambe, nella modalità che dovrebbero essere usate per il tracciamento dei contatti, offrono il fianco a vulnerabilità che potrebbero compromettere l'integrità dei dispositivi digitali mobili.

Richiedere infatti che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è di fatto equivalente a chiedere loro di non chiudere a chiave la porta di casa perché deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. Lo stesso accadrebbe nel mondo digitale, con la differenze che qui tutto accade senza la nostra percezione. I dispositivi di tutti si troverebbero sottoposti a scansioni a tappeto da parte dei "cattivi" che, ormai, non hanno bisogno di essere hacker di professione, dal momento che le cassette degli attrezzi per scardinare le "case digitali" si trovano sul mercato a prezzi abbordabili.

Una volta entrati, il problema non sarebbe più tanto quello relativo ai dati dell'app di tracciamento dei contatti ma quello, più grave, di avere un intruso ostile all'interno di ciò che è ormai strettamente integrato nella nostra esistenza, lo smartphone, depositario di tutti i nostri segreti, personali e professionali. L'unica contro-misura sarebbe aggiornare costantemente il proprio telefono. Ma quanti di noi lo fanno? Vogliamo davvero poggiare la privacy dei cittadini sulla certezza (!?) che abbiano tutti aggiornato il proprio smartphone?

Nelle discussioni in corso si dà per scontato che le soluzioni digitali siano comunque utili, nonostante chi le abbia usate estensivamente perché le aveva già a disposizione, Singapore, abbia dovuto poi mettere il paese in quarantena. Nonostante le organizzazioni internazionali sopra citate abbiano sottolineato la necessità, per misure di questo genere, di effettuare preventivamente valutazioni costi-benefici dei potenziali risultati ottenibili. Dove sono tali analisi?

Gli stati di necessità, cioè quelle situazioni in cui qualche circostanza imprevista costringe ad affrontare problemi eccezionali, sono un terreno privilegiato per il soluzionismo digitale, dal momento che la ristrettezza di risorse e la necessità di “fare presto” premono per accorciare i tempi della decisione. L’emergenza sanitaria che stiamo vivendo è esemplare da questo punto di vista. Basare una soluzione di massa (che ha comunque bisogno per funzionare di tutta di una serie di misure di contorno - come hanno osservato sia il Garante Italiano della Privacy che le varie organizzazioni internazionali) su una tecnologia che ha dimostrato nel corso degli anni di non avere le spalle robuste rispetto alla sicurezza mi sembra una scelta che, anche se "tecnicamente" interessante, sia da rigettare dal punto di vista sociale e politico.

Il problema è analogo a quello di molti altri casi: le soluzioni tecnologiche (ormai sempre più digitali) non sono mai risolutive a meno che non siano compatibili con lo scenario socio-organizzativo, dotate di adeguate risorse finanziarie e materiali, e supportate dalla volontà politica.

Se questi elementi mancano, rimangono solo la distruzione delle relazioni sociali e la svendita della nostra libertà, quindi della democrazia.

On contact tracing apps: the ill-posed question of choosing between health and privacy

by Enrico Nardelli

(versione in italiano qua)

A few days ago I described one of the approaches based on digital technology that is being developed to combat COVID-19, DP-3T, highlighting some elements that should be improved to protect privacy.

I develop here a more general reflection on the impact of technological choices relating to the use of digital solutions for the management of the emergency health situation and the possible return to normality.

The European Commission has published a recommendation in this regard which, in my opinion, is not sufficiently precise in terms of security requirements. In fact, the need for adequate measures to ensure security of collected data is recalled:

• (p.6) «effective cybersecurity and data security measures are essential to protect the availability, authenticity integrity and confidentiality of data»;
• (p.10) «effective cybersecurity requirements to protect the availability, authenticity, integrity and confidentiality of data»;

but nothing is said about the need to guarantee the "basic" security of the technologies used in this data collection process

What's the point? The point is that tracing contacts through apps installed on the smartphone, to ensure precision and privacy, must be based on decentralized solutions where smartphones exchange properly anonymized data which are locally stored.

However, the use of this decentralized approach requires, for its implementation in the current health emergency, to use the only mechanisms to carry out these local communications that are currently installed on almost all smartphones: WiFi and Bluetooth.

Which are the problems? We have been using WiFi for many years now in the "infrastructure" mode to connect us to a local "hot spot": the security of this mode has been extensively tested and appears technologically robust as long as, like any other technological solution, it is not hampered by human shortcomings such as using a weak password to protect access. The "ad hoc" mode, which should instead be used for the interaction of two neighbouring smartphones, has been used - and therefore verified with respect to security - to a largely lower degree. It therefore does not seem to offer, in practice, significantly higher guarantees than Bluetooth's with respect to robustness towards attacks.

Bluetooth is highly vulnerable, as it has long been known. Its use in "local" systems such as the home and the car is tolerable (even if it still poses security challenges) because it is a signal that in smartphones (especially when used in the Low Energy, BLE version) after a few meters has practically disappeared, unlike WiFi. In fact, it consumes much less battery. [Thanks to Francesco Palmieri for an illuminating discussion on these issues.]

Contact tracing using Bluetooth requires citizens to go around with Bluetooth constantly available to communicate: in my opinion this is the equivalent of asking them not to lock their home's door because a doctor is arriving for a medical examination. In the real world, this would amount to exposing the homes of all citizens to a high risk of intrusion. The same would happen in the digital world, with the difference that what happens here is outside our senses' perception. Everyone's devices would be subjected to scanning by the "bad guys" who currently do not need to be professional hackers, since toolboxes for unhinging "digital houses" are available at affordable prices.

Once "bad guys" are inside, the problem would no longer regard contact tracing data but having a hostile intruder within what is now closely integrated into our existence, the smartphone, the custodian of all our secrets, personal and professional.

I have not seen an analysis of these aspects in the ongoing discussions regarding the use of contact tracing apps. They assume digital solutions are still useful. But as observed by the Italian Data Protection Authority in the hearing of 8 April at the Chamber of Deputies regarding contact tracing apps: «Firstly, in assessing the expected effectiveness of a measure one should not fail to consider those supplementary measures, that is to say, the measures envisaged for the reasonably subsequent stage when the individuals identified via data tracing as potentially infected will have to undergo medical tests.
     Indeed, one may well collect all possible information on potential virus carriers (whether in good health or not), but if there are not enough resources (or reagents) to establish whether those carriers do test positive to the virus, then one will not go very far.» (Bold is mine).

It would therefore be desirable that these security aspects related to Bluetooth (or any other technology on which the solutions are to be based) are explicitly analyzed in the evaluation of opportunities on the use of a digital contact tracking system. The same Italian Data Protection Authority observed that is «difficult to impose a general obligation for everyone to use those devices» and therefore «relying on approaches that are based on the voluntary acceptance of the individuals allowing their locations to be traced» is advisable. They added that «the effectiveness of this solution for diagnostic purposes is related to the support received from citizens» and that «it is estimated that at least 60% of the population should give their consent in order to achieve effectiveness» (bold is mine). For Italy (but in general, I think, for each European country) «raising adequate awareness of the advisability of this approach» will therefore be necessary.

It seems clear to me that in the presence of the security problems I have discussed above it will be difficult to convince many people.

Many international associations have in the past few weeks taken stance underlining the importance of carrying out an accurate overall cost/benefits evaluation of the adoption of digital solutions for the management of this health emergency. Here is a non-exahustive list:

• Electronic Frontier Foundation
• European Digital Rights
• Algorithm Watch
• Informatics Europe
• Computer Chaos Club
• American Civil Liberties Union

I really hope that democratic governments realize that asking their citizens to choose between privacy and health, as Yuval Noah Harai wrote, is an ill-posed question.

How the new version - April 10 - of DP-3T works and some reflections on privacy

by Enrico Nardelli

(versione in italiano qua)

The group of researchers who developed the DP-3T protocol for contact tracing in a decentralized way that I recently described has released an update of their documentation.

Now the protocol is presented in two versions. I make reference to the April 10 version of their White Paper.

Version 1 (defined as " low-cost decentralized" ) is substantially equivalent to what I described in the previous post I refer to for shortness. I list here only the changes of some significance:

• the random key SK₀ and the SK_t generated on each subsequent day are locally stored on the device together with the relevant day, to provide an absolute time reference
• the coarse time window stored locally for each encountered device now is only the day
• the authorization code to alert the central server of being infected is given, inactive, to the person at the time of the test. The health authority activates it only when the test result is positive and the patient is notified of the result and the possibility of alerting the server;
• if the person chooses to alert then the app sends to the server all the pairs [SK_t ; day] in the contagious window
• at page 10 of the white paper they write the contagious window starts up «to 3 days before the onset of symptoms» but then at page 16 they write the average width of the contagious windows is 5 days
• the server distributes to all the registered apps all the pairs [SK_t ; day] of the devices of infected people for every day of the contagious window

Since the server continues to distribute directly to all the registered apps the keys allowing them to reconstruct the EphIDs, a device can connect all the EphIDs of the same infected person (which would otherwise be unlinkable) and derive the temporal profile of meetings with this person.


As I observed in my previous post, this could allow, in the case of people who are met with some regularity, to identify who they are. This doesn't require the owner of the device to be a hacker, because I'm sure that if this were the solution used at mass scale, "somebody" would make low cost apps available that can offer this "help" to understand who, of those you encountered, is infected.
     We should always consider that human nature is still the same, despite digital technology advances, and curiousity and self-protection are powerful drivers of human actions.

Version 2 (defined as "unlinkable decentralized") has the same overall structure of version 1 with significant changes to some elements, which are the only ones I describe below, referring to the previous post for an understanding of the overall structure:

• An initial SK₀ key is no longer generated upon installation
• the key SK_t+1 of the following day is no longer calculated applying a predefined hash function H on the key of the previous day SK_t
• instead, a fully new SK_t key is generated every day, which is a random number of 32 bytes
• SK_t is used to derive, using H with argument SK_t, a single EphID_t to be used on that day t during the exchange of contact information with other devices encountered
• the EphID_t of the devices encountered on a certain day t are stored locally in encrypted form KE_t, always using H with arguments both EphID_t and t : in this way it is possible to avoid the direct recording the EphID_t and also to prevent an EphID generated in a different day but accidentally equal to that of day t leads to a "false positive"
• the infected person who decides to send to the central server their pairs [SK_t ; t] can choose for which days / periods to send them, thus obtaining a greater privacy control
• the central server no longer distributes all the pairs [SK_t ; t] of the devices of infected people for every day of the contagious window
• instead, the central server uses the received pairs [SK_t ; t] to compute the KE_t encrypted values ​​corresponding to infected people's devices
• all these KE_t referring to the same day are inserted in a set called ""Cuckoo filter" (CF) which is distributed to all the registered apps
• CF uses very little space and allows to verify with high efficiency whether one of the KE_t that a device has stored in its local contact history belongs to CF or not, that is, corresponds to an infected person or not
• when a device receives CF it checks, for each of the KE_t stored in its local history, if it is included in CF. If not, the answer is definitive, if yes this could be a false positive (i.e., the filter answers "yes" but the truth is "no"), the probability of which can however be made as low as required by means of an a priori tuning of a specific filter parameter

The solution described in this version 2 decreases the probability of identification of an infected person, but does not eliminate it, since if a device X encounters another device Y several times a day, the KE_t of Y appears as many times in the local history of X of his daily meetings (and vice versa).

Also, imagine that you discovered that you were in contact with an infected person for the first time 3 days ago. If you met the same person in all the following days, in your local history there will be as many reports of infected people in all those days.

The official app may not disclose anything of this to you, but only advise you to contact a health facility for a check. However, one can easily imagine that a market of "ancillary" apps offering to compute this data for you could develop. An "ancillary" app will then tell you how many times in a certain day you have met a certain device and if in the same day you have met only one device (of those signalled by the central server as belonging to an infected person) or more than one.

Moreover, while the official app only record the day of the encounter this "ancillary" app might record each encounter with the exact time of the day and will provide similar information for the subsequent days. It will not be able to tell you if the meetings of the different days refer to the same device(s) but, considering the return to normality, where you have a certain regularity of encounters/meetings and there are relatively few infected persons around, this information combined with remembering/reconstructing what you have done would allow you to link devices to people.

Considering that these contact tracing solutions are thought to be used more when people will return to normal life than in the current lockdwon situation the problem is not secondary. With the return to normality, regular daily activities, where we tend to regularly meet people we know, will begin again. And it is precisely in these situations of regular/repeated encounters/meetings that the approach of recording contacts shows its weakness with respect to privacy. I repeat my previous comment: curiousity and self-protection are powerful drivers of human actions.

I close with a couple of reflections.

The first is that for the assumptions in the documentation on the temporal width of the contagious window references to scientific literature are not provided. Furthermore, the fact that they are inconsistent with each other is not comforting.

The second is a side remark that gave me a lot to think about. Speaking of the probability that the "Cuckoo filter" makes a mistake, it is specified that the parameters can be tuned so as to «allow extensive use of the system without errors for several years» (bold is mine) ...

Come funziona la nuova versione di DP-3T, la proposta di tracciamento dei contatti per il COVID-19

di Enrico Nardelli

(per favore consultare anche gli aggiornamenti alla fine del post - english version here)

Il gruppo di ricercatori che ha elaborato il protocollo DP-3T per il tracciamento dei contatti in modo decentralizzato di cui ho recentemente scritto ha rilasciato un aggiornamento della loro documentazione.

Adesso il protocollo viene presentato in due versioni.

La versione 1 (definita "decentralizzata a basso costo", low-cost decentralized) è sostanzialmente equivalente a quanto ho descritto nel post precedente, cui rimando per esigenze di brevità. Elenco solo i cambiamenti di una qualche significatività:

• la chiave casuale SK₀ e quelle SK_t generate in ogni giorno successivo vengono memorizzate sul dispositivo insieme al giorno, per avere un riferimento temporale assoluto;
• il codice di autorizzazione per l'invio dei dati di contatto al server centrale avvisare il server centrale di essere infetta viene comunque consegnato, inattivo, alla persona al momento del test. Solo se il risultato del test è positivo l'autorità sanitaria lo attiva ed avvisa il paziente del risultato e della possibilità di inviare i dati;
• l'app invia al server tutte le coppie [SK_t; giorno] nella finestra di possibile contagiosità;
• si afferma (a pag.8 del "white paper") che tale finestra di possibile contagiosità arriva al massimo a 3 giorni prima di quello di rilevamento dei sintomi ma poi (a pag.14) si parla di finestra di possibile contagiosità di larghezza media di 5 giorni;
• il server distribuisce a tutte le app tutte le coppie [SK_t; giorno] dei dispositivi delle persone infette per tutti i giorni della finestra di possibile contagiosità;

Dal momento che il server continua a distribuire a tutte le app direttamente le chiavi che permettono di ricostruire gli EphIDs, un dispositivo può "rimettere insieme" gli EphIDs di una stessa persona infetta (che sarebbero altrimenti non collegabili) e derivare il profilo temporale degli incontri con questa persona.

Come osservavo nel mio post precedente, questo potrebbe consentire, nel caso di persone che si incontrano con una qualche regolarità, di identificare di chi si tratta. Non c'è bisogno che il possessore del dispositivo sia un hacker, perché sono sicuro che se questa fosse la soluzione utilizzata, comincerebbero a circolare a costi abbordabilissimi app in grado di offrire questo "aiuto" per capire chi, di quelli che in qualche modo si conosce, è infetto.
     Bisogna sempre tener presente che la natura umana è rimasta sempre la stessa, nonostante gli avanzamenti della tecnologia digitale.

La versione 2 (definita "decentralizzata non collegabile", unlinkable decentralized) mantiene l'impianto generale cambiando significativamente alcuni elementi, che sono i soli che descrivo nel seguito, rimandando al precedente post per una comprensione dell'impianto generale:

• NON viene più generata, all'atto dell'installazione, una chiave iniziale SK₀
• la chiave SK_t+1 del giorno successivo NON viene più calcolata mediante una funzione hash H predefinita dalla chiave del giorno precedente SK_t
• ogni giorno viene invece generata una chiave totalmente nuova SK_t, che è un numero casuale di 32 byte
• SK_t viene usata per derivare, usando H con argomento SK_t, un unico EphID_t da usare in quel giorno t durante lo scambio delle informazioni di contatto con altri dispositivi incontrati
• gli EphID_t dei dispositivi incontrati in un certo giorno t vengono memorizzati localmente in forma crittografata KE_t, usando sempre H con argomento EphID_t e t: in tal modo si evita di registrare direttamente gli EphID_t e si evita anche che un EphID generato in un giorno diverso ma accidentalmente coincidente con quello del giorno t conduca ad un "falso positivo"
• il paziente infetto che ha deciso di inviare al server centrale la storia dei suoi contatti le sue coppie [SK_t; t] durante la finestra di contagiosità può scegliere per quali giorni/periodi vuole inviare i dati: questo assicura alla persona un maggior controllo sulla sua privacy
• il server centrale NON distribuisce più a tutte le app tutte le coppie [SK_t; t] dei dispositivi delle persone infette per tutti i giorni della finestra di possibile contagiosità
• il server centrale invece calcola con le coppie [SK_t; t] ricevute dai dispositivi degli infetti i valori crittografati KE_t
• tutti questi KE_t dello stesso giorno sono inseriti in un insieme chiamato "Cuckoo filter" (CF, letteralmente "filtro del cuculo") che viene distribuito a tutte le app
• il CF ha la proprietà di occupare pochissimo spazio e permettere di verificare con elevata efficienza se uno dei KE_t che un dispositivo ha memorizzato nella sua storia locale dei contatti appartiene o meno al CF stesso, cioè corrisponde ad un infetto o meno
• quando un dispositivo riceve il CF controlla, per ognuno dei KE_t che ha incontrato, se è incluso in CF. Se no, la risposta è definitiva, se sì potrebbe esserci un errore, la cui probabilità può però essere abbassata a piacere mediante una regolazione a priori di un apposito parametro

La soluzione descritta in questa versione 2 diminuisce la probabilità di identificazione di un infetto, ma non la elimina, dal momento che se un dispositivo X incontra un altro dispositivo Y più volte al giorno il KE_t di Y compare altrettante volte nella storia locale di X dei suoi incontri giornalieri (e viceversa).

Inoltre, immaginate di aver scoperto che siete stati in contatto con un infetto per la prima volta 3 giorni fa. Se quella persona l'avete incontrata anche in tutti i giorni successivi, nella vostra storia locale vi saranno altrettante segnalazioni di persone infette in tutti quei giorni.

La app ufficiale magari non dirà niente di tutto questo, ma solo di rivolgersi ad una struttura sanitaria per un controllo. Si può però facilmente immaginare che possa nascere un mercato di app "derivate" che vi offrono queste informazioni. Un'app "derivata" vi dirà quindi quante volte in un certo giorno avete incontrato un certo infetto e se in uno stesso giorno ne avete incontrato uno solo o più di uno. Per i giorni successivi vi dirà analogamente se e quanti ne avete incontrati. Questa app "derivata" non potrà dirvi se gli incontri dei giorni diversi si riferiscono alle stesse persone ma, considerando lo scenario di ritorno alla normalità, in cui avete una certa regolarità di incontri e ci sono relativamente pochi infetti in giro, queste informazioni combinate con il ricordo di ciò che avete fatto vi permetterebbero di dedurre parecchio.

Considerando che queste soluzioni di tracciamento dei contatti sono pensate appunto più per la fase di ritorno alla vita normale che per l'attuale fase di quarantena collettiva il problema non è secondario. Con il ritorno alla normalità ricominceranno le regolari attività giornaliere nelle quali tendiamo a incontrare con regolarità persone che conosciamo. Ed è proprio in queste situazioni di incontri regolari/ripetuti che l'approccio di registrare i contatti manifesta la sua debolezza rispetto alla privacy.

Concludo con un paio di riflessioni.

La prima è che le assunzioni che ho letto nella documentazione sulla larghezza temporale della finestra di contagiosità non sono supportate da riferimenti a letteratura scientifica. Inoltre, il fatto che siano tra loro inconsistenti non è confortante.

La seconda è che una nota di passaggio mi ha dato molto da pensare. Parlando della probabilità che il "Cuckoo filter" commetta un errore, viene specificato che i parametri possono essere dimensionati per «permettere un uso estensivo del sistema senza errori per diversi anni» (grassetto mio). A pensar male si fa peccato...

Addendum (11 aprile 14:30 CET): quella descritta in questo post è la versione del 7 aprile. Il 10 aprile è stata rilasciata una nuova versione del "white paper" con una sola modifica rilevante rispetto a quanto descritto nella versione del 7, il fatto che nella storia locale dei contatti si registra solo il giorno del contatto e non una grossolana finestra temporale.

NB: nella prima versione pubblicata veniva erroneamente indicato che la persona infetta inviava la storia dei suoi contatti al server centrale.

Problematiche del tracciamento dei contatti: non dobbiamo scegliere tra privacy e salute

di Enrico Nardelli

(english version here)

Qualche giorno fa ho descritto uno degli approcci basati sulla tecnologia digitale che sta venendo sviluppato per combattere il COVID-19, il DP-3T, sottolineando alcuni elementi che dovrebbero essere migliorati a tutela della privacy. Il gruppo di ricercatori che l'ha elaborato ha rilasciato nuova documentazione e ne darò conto a breve in un successivo post.

Sviluppo invece qui alcune riflessioni più generali sull'impatto delle scelte tecnologiche relative all'uso di soluzioni digitali per la gestione della situazione di emergenza sanitaria e l'eventuale ritorno alla normalità.

La Commissione Europea ha pubblicato una raccomandazione in proposito che, secondo me, non è sufficientemente chiara in termini di requisiti di sicurezza. Viene infatti richiamata la necessità di adeguate misure per garantire la sicurezza dei dati raccolti:

• (p.6) efficaci misure di sicurezza dei dati e di cybersecurity sono essenziali per proteggere la disponibilità, autenticità, integrità e confidenzialità dei dati. («Effective cybersecurity and data security measures are essential to protect the availability, authenticity integrity and confidentiality of data»);
• (p.10) efficaci requisiti di cybersecurity per proteggere la disponibilità, autenticità, integrità e confidenzialità dei dati («effective cybersecurity requirements to protect the availability, authenticity integrity, and confidentiality of data»);

ma non si dice niente sulla necessità di garantire la sicurezza "di base" delle tecnologie che verrano usate.

Qual è il punto? È che il tracciamento dei contatti mediante app installate sullo smartphone, per assicurare precisione e privacy, deve essere basato su soluzioni decentralizzate in cui gli smartphone si scambiano localmente delle informazioni opportunamente anonimizzate.

Ma l'uso di questo approccio richiede, per poter essere attuato durante l'attuale emergenza sanitaria, di usare i soli meccanismi per effettuare tali comunicazioni locali che sono installati al momento su pressoché tutti gli smartphone: il WiFi e il Bluetooth.

Quali sono i problemi? Il WiFi viene, da molti anni ormai, usato in modalità "infrastructure" per connetterci localmente a un "hot spot": la sua sicurezza è stata ampiamente testata ed appare tecnologicamente robusta purché, come tutte le soluzioni tecnologiche, non venga vanificata da mancanze umane tipo l'usare una password debole per proteggerne l'accesso. La modalità "ad hoc", con cui invece esso dovrebbe essere usato per far interagire due smartphone in prossimità, è stata utilizzata - e quindi verificata rispetto alla sicurezza - ad un livello enormemente inferiore. Non sembra quindi offrire, in pratica, garanzie - per quando riguarda la robustezza nei confronti di attacchi - significativamente superiori a quelle del Bluetooth.

Il Bluetooth è fortemente vulnerabile, come da molto tempo è noto. Il suo utilizzo in sistemi "locali" quali la casa e l'auto è tollerabile perché è un segnale che negli smartphone (soprattutto quando usato nella versione Low Energy, BLE), diversamente dal WiFi, a distanza di qualche metro è praticamente scomparso. Infatti consuma molto di meno la batteria. [Ringrazio Francesco Palmieri per un'illuminante discussione su questi temi.]

Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. Lo stesso accadrebbe nel mondo digitale, con la differenze che qui tutto accade senza la nostra percezione. I dispositivi di tutti si troverebbero sottoposti a scansioni a tappeto da parte dei "cattivi" che, ormai, non hanno bisogno di essere hacker di professione, dal momento che le cassette degli attrezzi per scardinare le "case digitali" si trovano sul mercato a prezzi abbordabili.

Una volta entrati, il problema non sarebbe più tanto quello relativo ai dati dell'app di tracciamento dei contatti ma quello, più grave, di avere un intruso ostile all'interno di ciò che è ormai strettamente integrato nella nostra esistenza, lo smartphone, depositario di tutti i nostri segreti, personali e professionali.

Non mi pare di aver visto nelle discussioni in corso un'analisi di questi aspetti. Si assume che le soluzioni digitali siano comunque utili. Ma come ha osservato il Garante della Privacy nell'audizione dell'8 aprile presso la Camera dei Deputati a proposito delle applicazioni per il tracciamento dei contatti: «In primo luogo, la valutazione dell’efficacia attesa dalla misura non può prescindere da un’analisi inerente le azioni complementari e, dunque, la fase - che dovrebbe ragionevolmente conseguirne - dell’accertamento sanitario dei soggetti individuati, tramite data tracing, quali potenziali contagiati.
    Si possono raccogliere, infatti, tutti i dati possibili sui potenziali portatori (sani o meno che siano), ma se poi non si hanno le risorse (e persino i reagenti!) per accertarne l’effettiva positività, non si va molto lontano.» (Il grassetto è mio).

Sarebbe quindi auspicabile che questi aspetti di sicurezza relativi a Bluetooth (o a qualunque altra tecnologia sulla quale si vogliano basare le soluzioni) siano esplicitamente analizzati nelle valutazioni di opportunità sull'utilizzo di un sistema di tracciamento digitale dei contatti. Lo stesso Garante della Privacy ha osservato è «problematica l'imposizione di un obbligo generalizzato di uso di tali sistemi» e vanno quindi usati «sistemi fondati sulla volontaria adesione dei singoli». Ha aggiunto che «l’efficacia diagnostica di tale soluzione dipende, in ogni caso, dal grado di adesione che essa incontra tra i cittadini» e che «la percentuale minima per l’efficacia è stimata nell’ordine del 60%» Per il nostro Paese (ma in generale, penso, per ogni paese europeo) sarà quindi necessaria «un’adeguata sensibilizzazione sull’opportunità di ricorrere a tale tecnica».

A me sembra lampante che in presenza dei problemi di sicurezza che ho sopra discusso sarà difficile convincere molte persone.

Le numerose prese di posizioni che vi sono state nei giorni passati a livello internazionale da parte delle associazioni di difesa dei diritti civili sull'utilizzo delle tecnologie digitale per la gestione di questa emergenza sanitaria hanno TUTTE sottolineato l'importanza di effettuare un'accurata valutazione costi-benefici complessiva della loro adozione. Ecco un elenco non esaustivo di tali documenti:

• Electronic Frontier Foundation
• European Digital Rights
• Algorithm Watch
• Informatics Europe
• Computer Chaos Club
• American Civil Liberties Union

Spero davvero che i governi democratici si rendano conto che dover scegliere tra la privacy e la salute, come ha scritto Yuval Noah Harai, è una questione mal posta.

Trasformazione digitale e azione politica

di Enrico Nardelli

La situazione di emergenza che stiamo vivendo sta facendo venire al pettine una serie di nodi mai affrontati negli anni passati a proposito di “trasformazione digitale”. Questo termine da un po’ di tempo a questa parte è diventato di moda, soprattutto tra i politici, che però in grandissima maggioranza non hanno idea di cosa voglia dire e di come si realizzi davvero.

Il problema è prima di tutto culturale, perché quella digitale è una tecnologia diversa da tutte le altre che l’hanno preceduta. La rivoluzione prodotta dall’informatica (la scienza che rende possibile il digitale) è diversa da ogni precedente rivoluzione. Le “macchine digitali” sono amplificatori delle capacità cognitive razionali delle persone e quindi radicalmente differenti da tutte le macchine precedentemente realizzate dall’uomo, che ne potenziano solo le capacità fisiche. Dopo secoli di progresso tecnologico, questa rivoluzione è dilagata nella società nel breve intervallo di un ventennio, quindi troppo velocemente perché la classe dirigente riuscisse a comprenderne la portata.

L’aspetto più importante è che mentre nell’automazione “fisica” c’è sempre un essere umano che rimane al comando della macchina e che la aiuta nell’interpretazione della realtà circostante, quando si è introdotta l’automazione “cognitiva” (quella delle macchine digitali) si è erroneamente creduto che i sistemi informatici potessero completamente sostituire le persone e “fare tutto da soli”. Impossibile, perché ogni essere umano è in grado di apprendere dall’esperienza ed adattarsi a mutate condizioni dello scenario operativo, mentre questa generale abilità, che è innata nell’essere umano, è sconosciuta alle macchine digitali. Ogni volta che cambia qualcosa, bisogna rimettere le mani sul sistema. Siccome l’unica certezza della vita è il cambiamento, le catastrofi sono assicurate. I venditori di dispositivi per l’utente finale (p.es., gli smartphone) se la cavano mediante l’obsolescenza programmata, per cui ogni due o tre anni siete “gentilmente” indotti a cambiarlo. Ma i sistemi informatici che sono ormai indispensabili al funzionamento di ogni organizzazione non possono essere rinnovati in tal modo.

Negli anni 90 l’informatizzazione della Pubblica Amministrazione ha riguardato soprattutto processi interni e, quindi, i problemi rimanevano tutto sommato nascosti al grande pubblico e, per così dire, si potevano “lavare i panni sporchi in casa”. A partire dal decennio scorso, però, con la capillare diffusione del Web nella società la situazione è diventata esplosiva.

Non si è capito che, a fronte di una rivoluzione di portata ben più drammatica, dal punto di vista sociale, di quelle causate dalla televisione o dall’automobile, andava fatto partire un serio programma di alfabetizzazione digitale degli italiani. Si sono riempiti convegni su convegni sul tema “Non è mai troppo tardi 2.0” senza investire risorse reali su questa istruzione, ritenendo che tanto tutte le informazioni necessarie fossero disponibili sulla Rete.

Un requisito necessario per il successo di ogni trasformazione digitale è: “no digitalization without end-user representation”. L’ho scritto in inglese per richiamare in modo esplicito uno dei motti del Settecento che sono stati alla base della rivoluzione delle colonie inglesi contro la madrepatria: “no taxation without representation”. Nel nostro caso vuol dire che se non si coinvolge l’utente finale, che sul web è chiunque, dal letterato all’operaio, entrambi accomunati dall’essere stati investiti da una rivoluzione tecnologica avvenuta troppo in fretta perché potessero assimilarla, il sistema funziona male. Son sicuro che ognuno di noi ha il suo esempio favorito di sistema web che richiede un enorme dose di pazienza ed autocontrollo per riuscire a portare a termine operazioni che, parlando con un addetto allo sportello, si sarebbero completate in metà del tempo e stress nullo.

Si è poi proseguito elaborando bellissimi piani per la “cosa” digitale, dove “cosa” poteva essere “scuola” o “sanità” o “giustizia” (o qualunque nome di interesse per il governo di turno) senza riflettere che un cambiamento epocale di questo tipo non si attua in poco tempo, perché richiede un’approfondita formazione delle persone. Solo nei film di “Matrix” ci si innesta l’apposita cartuccia e si diventa subito esperti: gli esseri umani hanno invece bisogno di tempo per apprendere, soprattutto se contemporaneamente stanno continuando a fare il loro lavoro e vivere la loro vita.

Non si è capito che prima di informatizzare un processo lavorativo bisogna averlo analizzato in profondità ed aver compreso come la sua automazione impatti sull’organizzazione del lavoro, sui rapporti di potere interni e su quelli esterni. Si è invece pensato che si potessero esternalizzare i servizi informatici, risparmiando sul personale, salvo poi scoprire che si finiva con lo spendere di più per adattare i servizi esternalizzati ad ogni minimo cambiamento della realtà circostante, che qualunque impiegato o quadro avrebbe saputo gestire in una frazione del tempo.

Non si è avuto l’umiltà di capire che bisognava cominciare dagli elementi fondamentali, da quelle infrastrutture che costituiscono l’equivalente, per un’organizzazione, di quello che è un sistema scheletrico o nervoso per un mammifero. Sono rimasto colpito, in questi giorni in cui siamo stati tutti costretti ad usare intensamente dispositivi e sistemi digitali, dal vedere come nel 2020 i decreti del Presidente del Consiglio dei Ministri vengano diffusi mediante SlideShare, i suoi discorsi trasmessi su FaceBook, le scuole facciano didattica su piattaforme Google e Microsoft, solo per fare alcuni esempi. Non ho niente contro le multinazionali del digitale, sia ben chiaro, sono aziende che fanno il loro mestiere. Non sono però contento del fatto che la nostra politica in questo ventennio non sia stata in grado di realizzare proprie infrastrutture di base per un Paese digitale.

È inutile pensare di poter tornare indietro. La società diventerà sempre più digitale. Quello che possiamo ancora recuperare è il controllo sulle infrastrutture indispensabili, che deve essere in nostre mani affinché il nostro Paese non diventi una colonia. Il digitale è parte integrante della nostra società e deve essere curato nell’interesse nazionale. Dobbiamo inoltre mantenere il controllo sui dati digitali dei cittadini, che nel mondo digitale sono l’equivalente dei cittadini stessi. Come chiameremmo quei governanti che vendessero i propri cittadini a poteri stranieri? chiedevo qualche tempo fa. Dato che in questi giorni in tutta Europa (e non solo) si sta discutendo di realizzare misure di “tracciamento individuale” per tenere sotto controllo la diffusione dell’epidemia e considerando che i dati sono il nuovo petrolio, è chiaro che se non vogliamo fare la fine dei paesi del Terzo Mondo svenati dalle “sette sorelle” dobbiamo cambiare approccio.

Eppure non dovrebbe essere così difficile, per chi fa politica. La tecnica è sempre stata al servizio della politica per poter implementare questa o quella decisione. In ogni epoca e paese, chi ha voluto portare i tecnici al governo, presentandoli come sacerdoti dell’imparzialità, ha sempre in realtà voluto sottrarre al popolo (al “demos”) il potere (il “cratos”) di controllare l’operato del governo. Si è mosso quindi in modo anti-democratico. La tecnica digitale non fa eccezione a questo. I sistemi informatici non sono intrinsecamente asettici. La trasformazione digitale non è garanzia assoluta di efficienza ed efficacia.

La politica deve decidere come governarla ben sapendo che cambiamenti epocali di questa portata non si realizzano nei pochi anni di una legislatura e con piani irrealistici. Per questo sarà necessario, una volta superata l’emergenza, un accordo trasversale su un disegno di sviluppo digitale del Paese che trovi tutti concordi, per lo meno su alcune linee guida fondamentali. Servono dunque politici che abbiano a cuore la democrazia ed il futuro del nostro Paese, che siano in grado di ascoltare cosa la tecnica ha da offrire, di capire quale siano i possibili impatti sociali, e di comporre una sintesi delle esigenze delle diverse classi sociali nell’interesse di tutti.

Io sono convinto che, in tutti i partiti, ci siano persone di buona volontà e grande capacità politica.

--
Versione originale pubblicata su "Key4Biz" il 6 aprile 2020.