di Isabella Corradini
Da settimane si dibatte sul tema del tracciamento digitale dei contatti, in particolare con riferimento alla app Immuni, vale a dire l’applicazione che, scaricata sui dispositivi di telefonia mobile, permetterebbe di allertare le persone di essere entrate in contatto con soggetti risultati positivi al Covid-19 (Decreto legge 30 aprile 2020 n. 28, articolo 6, sistema di allerta Covid-19).
Esperti di diritto e di informatica, giornalisti e non solo pongono quesiti: chi ha scelto cosa e perché, che tipo di valutazioni sono state fatte in termini di impatto complessivo, quale la percentuale necessaria a rendere l’applicazione efficace. Tante le richieste di chiarimento (si veda il documento ANORC che io stessa ho sottoscritto), ancora poche e poco chiare le risposte.
Nel frattempo, ad alimentare quella che ormai viene definita una saga, arriva la proposta di braccialetti anti Covid-19 per far tornare i bambini a scuola in sicurezza e l’indiscrezione riguardo il possibile utilizzo del Gps - oltre che del Bluetooth - per l’app Immuni, modalità non prevista dal decreto di cui sopra, che esclude invero la geo-localizzazione dei singoli utenti.
Sia ben chiaro, gli schieramenti aprioristici non sono utili a nessuno, esiste il dibattito (anche critico) come mezzo privilegiato per arrivare ad una soluzione che tenga conto di tutte le criticità del tracciamento digitale.
La questione che vorrei porre riguarda il lato sociale delle soluzioni tecnologiche: qualcuno si è chiesto quale impatto sulle relazioni sociali e relative dinamiche simili applicazioni possono avere, visto che stiamo parlando di registrare i contatti (anche se con tutte le dovute attenzioni e garanzie di privacy) di esseri umani in carne ed ossa?
La caratteristica della “non obbligatorietà” (sacrosanta!) pone, ad esempio, la questione relativa ad un possibile comportamento sociale discriminatorio tra chi usa la app e chi no.
Con riferimento all’app Immuni, si legge al punto 4 dell’articolo 6 del DL 30 aprile 2020 che “il mancato utilizzo dell’applicazione di cui al comma 1 non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento”. Se da un lato è vero che non è obbligatorio scaricarla e che in sua assenza viene comunque garantito il diritto a muoversi senza alcuna limitazione, rispondendo così ad una preoccupazione legittima, dall’altro non si può ignorare il fatto che il comportamento pregiudizievole può essere messo in atto da chiunque. Ad esempio, chi ha scaricato l’app potrebbe non vedere di buon occhio chi, per i più svariati motivi, ha preferito farne a meno, magari convincendosi che abbia qualcosa da nascondere o che il suo rifiuto al tracciamento metta a rischio la collettività.
Come ho scritto in un recente post la natura umana è curiosa, talvolta diabolica, capace di sviluppare abilmente una cultura del sospetto. Il bisogno di preservare la propria salute e quella delle persone care, affiancato al bombardamento quotidiano su regole e comportanti da seguire a tutela della salute, finisce per alimentare comportamenti di diffidenza nei confronti dell’altro, talvolta al limite della paranoia. Basta vedere come in questo periodo, camminando per strada, si tende ad aumentare le distanze dagli altri, arrivando persino a cambiare marciapiede. Un inciso: sarebbe più opportuno parlare di distanza fisica invece che di distanza sociale, dal momento che l’obiettivo è evitare il contatto fisico, non quello sociale!
Quello che vorrei evidenziare è come certe situazioni e scelte comportamentali possano indurre ad un clima di sospetto generalizzato - di cui le cronache quotidiane di vicini e runner denunciati ci hanno già fornito numerosi esempi – non funzionali al benessere sociale.
C’è poi la questione del divario digitale che andrebbe considerata. C’è infatti chi non possiede (per sua fortuna) uno smartphone e non deve essere messo nella condizione di doverlo acquistare, malgrado si trovi tra quei soggetti maggiormente a rischio infezione. Stando agli ultimi dati disponibili, sembra proprio che le persone over 60 siano quelle meno digitalizzate e, quindi, con minori possibilità di usufruire della app.
Un altro aspetto che andrebbe adeguatamente discusso riguarda la comunicazione. La mancanza di chiarezza e di trasparenza ed il rincorrersi di notizie contradditorie sulla app minano la fiducia delle persone: quella fiducia, peraltro, che dovrebbe indurle a scaricare “volontariamente” l’applicazione. Se, quindi, la fiducia del cittadino è ciò che serve per far sì che l’applicazione venga usata estensivamente, in modo da raggiungere la percentuale idonea a garantirne l’efficacia (anche sulla percentuale non è ancora chiarito quale sia da ritenersi idonea allo scopo, se il 60% o il 30%), non è con questa modalità comunicativa che si possono ottenere risultati soddisfacenti.
Inoltre, va da sé che le strategie comunicative con cui si avviseranno le persone sulla possibilità di contrarre l’infezione saranno essenziali per il suo successo: un conto è una voce umana e professionale che ti avvisa di essere entrato in contatto con soggetti risultati positivi, rassicurandoti e fornendo tutte le informazioni del caso; un’altra cosa è un sms inviato in modo asettico e indifferenziato a chiunque si trovi nella condizione di esposizione al contagio. Immaginiamo come possa sentirsi una persona che soffre di ansia nel ricevere sul suo smartphone un avviso di questo tipo. Certamente contenuti ed elementi emotivi connessi alla comunicazione non possono essere trascurati, soprattutto in una situazione del genere.
C’è da chiedersi se siamo finiti tutti in un esperimento sociale, dove vengono monitorate le reazioni delle persone a iniziative che, in fin dei conti, non nascondiamocelo, rischiano di diventare una vera e propria forma di controllo sociale.
Pubblicato l'11 maggio 2020 su Key4biz
mercoledì 13 maggio 2020
domenica 10 maggio 2020
Come il governo inglese ha scelto di attuare il tracciamento digitale dei contatti
di Enrico Nardelli
Il 4 maggio scorso il governo inglese ha annunciato il rilascio della sua applicazione per il tracciamento digitale dei contatti. Si tratta di un tema assai dibattuto in queste settimane in tutto il mondo, per la sua estrema delicatezza ed il suo potenziale impatto sulla democrazia.
Vediamo quali elementi positivi e quali elementi negativi presenta tale soluzione, sulla base di quello che ad oggi è stato dichiarato e pubblicato, anche sul piano tecnico, e alla luce dell'approccio generale che stiamo seguendo, descritto qua ed applicato per analizzare la situazione italiana qua.
Prima di tutto osserviamo come elemento sicuramente positivo il fatto che il governo inglese abbia deciso di effettuare una prima valutazione su un territorio limitato, quello dell'Isola di Wight. Sappiamo infatti che è estremamente difficile sviluppare un qualunque sistema informatico in modo tale che funzioni bene alla sua prima realizzazione. Considerando che in questo caso il sistema tratta dati estremamente sensibili si tratta di un'ottima scelta. Va anche applaudita la consapevolezza che ha il governo inglese riguardo al fatto che da questa prima valutazione potranno conseguire variazioni anche significative all'app: «nessuna decisione è irrevocabile».
In aggiunta, l'uso della app si inserisce in una strategia più generale, in cui l'app è solo uno dei tanti strumenti offerti dall'informatica per la gestione dell'emergenza, che prevede il forte potenziamento del personale dedicato al tracciamento manuale e il rafforzamento delle capacità di testing, senza le quali nessun'app è in grado di offrire un aiuto significativo. Anche questa dichiarazione, che fa emergere la consapevolezza che il digitale non ha e non può avere un ruolo salvifico, è certamente positiva.
L'app, una volta installata su uno smartphone, si registra presso il server centrale ricevendo un identificatore pseudonimo InstID, generato casualmente ma permanentemente associato a quel dispositivo. Il server non registra altre informazioni oltre alla prima metà del codice postale (che identifica una delle circa 3.000 zone in cui è suddiviso il Regno Unito dal servizio postale) e il modello del telefono (che serve per rendere le rilevazioni dei segnali Bluetooth più omogenee). Non è chiarissimo se in futuro verranno richiesti agli utenti anche i dati di geolocalizzazione. L'indirizzo Internet del dispositivo (cioè il suo IP) è visibile al sistema commerciale di front-end che consente la connessione al server centrale, ma non è da questi registrato. Viene però monitorato dagli apparati di cibersicurezza dell'intero sistema ed è visibile dal relativo team per poter gestire eventuali attacchi.
Ogni app usa il suo InstID per creare ogni giorno un nuovo identificatore casuale BValue scambiato con gli altri dispositivi per registrarne la vicinanza. L'elenco dei BValue che un dispositivo ha incontrato viene memorizzato localmente in versione crittografata per un periodo di 28 giorni al massimo. Se lo stato di salute dell'utente è critico, in base ad un'auto-diagnosi che l'utente effettua sotto la guida dalla stessa app, tale elenco viene inviato al server centrale (crittografato mediante un'ulteriore specifica chiave condivisa dall'utente e dal server) per le azioni conseguenti. Il server centrale è in grado di ricostruire dai BValue ricevuti i relativi InstID del dispositivo e quindi decidere se avvisarli o meno, una volta valutato il rischio reale di infezione in base alla distanza (stimata mediante la rilevazione Bluetooth), alla durata, allo scenario complessivo e ad un modello di rischio definito dalle autorità sanitarie.
Qui ravviso due elementi di perplessità: il primo (già sottolineato da molti commentatori) è relativo al fatto che vengono registrate in un unico server centrale tutte le informazioni dei dispositivi e dei contatti che, anche se pseudonime, finiscono così per costituire un bersaglio molto attraente per eventuali attacchi. Da questo punto di vista la disponibilità del codice sorgente per l'esame pubblico da parte di esperti indipendenti e l'istituzione di meccanismi di incentivazione a scoprirne difetti (misure standard per ottenere sistemi informatici più sicuri) sono azioni che speriamo vengano rapidamente adottate. Difficile che eventuali "cattivi" a caccia di dati sottopongano il sistema ad attacchi nelle fasi iniziali. Aspetteranno che sia andato in qualche modo a regime per massimizzare il valore dell'eventuale "bottino". L'andamento degli ultimi anni degli eventi di violazioni di dati (data breaches) evidenzia che "mettere tutte le uova nello stesso paniere" non è mai una scelta saggia.
Il secondo elemento di perplessità è legato al fatto che il caricamento di queste informazioni sul server centrale non è fatto a seguito di una diagnosi di positività risultante da un test, ma sulla base del monitoraggio, realizzato attraverso l'app stessa, dello stato di salute della persona. Sostanzialmente, se ha febbre e tosse persistenti da un po' di giorni. Ritengo che forse sarebbe stato meglio farlo soltanto a valle di un test positivo, dal momento che è proprio sulla base di queste informazioni che viene deciso se chiedere o meno ai contatti dell'utente di auto-isolarsi. Anche se sembra che tale decisione non venga presa automaticamente dal sistema, ma sia in qualche modo sotto il controllo umano, il suo essere basata sull'auto diagnosi mi suscita qualche perplessità.
Le motivazioni dichiarate sono che attuando l'isolamento subito dopo l'auto-diagnosi si ottiene più efficacia nella gestione delle potenziali infezioni . Tale isolamento iniziale può essere rimosso nel giro di pochi giorni (se, ad esempio, il test esclude di essere affetti dal COVID-19) oppure confermato (ad esempio, in caso di test positivo o se ulteriori contatti dichiarano sintomi ritenuti un possibile indizio di infezione). Questa procedura, scelta appositamente per basare il loro approccio sanitario sulla «reazione ai sintomi» invece che sulla «reazione ai test», ha secondo me il rischio di aumentare i falsi positivi e di minare quindi, potenzialmente, la fiducia degli utenti.
L'aspetto positivo di questa soluzione, cosiddetta "centralizzata", è che consente in teoria una migliore valutazione e gestione degli aspetti epidemiologici della diffusione dell'infezione ed offre una migliore protezione sia contro tentativi di manomissione dell'intero sistema sia per alcuni attacchi verso la privacy di coloro che sono infetti o potenzialmente infetti. Questi vengono infatti avvisati direttamente dal server centrale, mentre con gli approcci cosiddetti "decentralizzati" l'avviso viene effettuato mediante una trasmissione a tutti gli utenti del sistema, esponendo quindi le persone infette a quei meccanismi di "deduzione" del loro stato di salute descritti da questo documento (in francese). Va inoltre osservato che, essendo l'approccio decentralizzato più sensibile a false segnalazioni, dal momento che non c'è un'autorità centrale in grado di legare le varie segnalazioni ad uno stesso utente, è giocoforza in quello far partire l'allarme solo in "reazione ai test".
Sul versante negativo, va in aggiunta sottolineato che la soluzione scelta dagli inglesi consente all'autorità centrale di individuare, per le persone che riportano sintomi, i comportamenti e le relazioni. Inoltre, anche se il sistema di tracciamento è gestito su un'infrastruttura del Sistema Sanitario Nazionale completamente separata dalle altre, si tratta sempre dello stesso soggetto che possiede ulteriori dati sensibili. È quindi una situazione complessiva estremamente delicata dal punto di vista della privacy e sulla quale la Comitato Parlamentare Congiunto per i Diritti Umani ha chiesto chiarimenti.
Un ulteriore elemento di incertezza, e quindi di potenziale preoccupazione sul versante dei diritti, è quello relativo ai soggetti che avranno accesso a tali dati. Le informazioni riportate non sono chiare, dal momento che è stato dichiarato che «organizzazioni con un motivo appropriato di sanità pubblica» potranno avere accesso a questi dati. Non è stato, inoltre, ancora chiarito se anche i datori di lavoro potranno farvi accesso. Un ulteriore aspetto preoccupante è che, una volta caricati i dati sul server centrale, l'utente perde ogni diritto su di essi e non può più richiederne la cancellazione. In generale, al momento non è ancora stata realizzata una valutazione di impatto sulla protezione dei dati (DPIA) che è richiesta dal GDPR europeo (Regolamento Generale per la Protezione dei Dati). Sono tutti punti essenziali per costruire quel clima di fiducia necessario per far sì che un'app di questo genere possa essere usata da quella percentuale sufficientemente elevata di persone (tra il 60% e l'80%) di cui c'è bisogno affinché questi dati possano essere in qualche modo utili. D'altro canto il CEO dell'NHSX, la divisione tecnica del Sistema Sanitario Nazionale inglese che ha realizzato l'app ha dichiarato che «anche una diffusione solo del 20% può offrire dati utili per capire come l'infezione si diffonde» e che «una diffusione di almeno il 40% può essere utile per identificare i contatti». Non è chiaro però su quali basi sono state fatte tali affermazioni.
Al momento l'app inglese non prevede l'interoperabilità con quelle eventualmente sviluppate da altre nazioni, anche perché è l'unica ad aver al momento scelto una soluzione centralizzata. C'è però consapevolezza che si tratta di un requisito importante. Non del tutto chiare sono infine le reali prestazione che l'applicazione è in grado di fornire, dal momento che è sviluppata in modo independente da Apple e Google ma ha bisogno di essere sempre attiva, modalità che, consumando la batteria, viene per default disattivata periodicamente dai sistemi operativi realizzati dai due produttori. L'NHSX ha dichiarato di aver trovato una soluzione tecnica a questo problema che sembra funzionare, ma i dettagli non sono ancora noti.
Per finire l'analisi dei punti di attenzione osservo che il governo inglese non sembra ancora aver definito quella legislazione ordinaria che stabilisca precisamente le limitazioni dell'utilizzo di una misura straordinaria quale il tracciamento digitale dei contatti. Analogamente, gli aspetti relativi all'impatto sulla relazione sociale ed alla mitigazione del divario digitale sembrano ancora tutti da considerare. Il rapporto sopra citato del Comitato Parlamentare Congiunto per i Diritti Umani, rilasciato il 7 maggio, chiede proprio risposte su questi ed altri punti, che sono fondamentali per una democrazia.
Il 4 maggio scorso il governo inglese ha annunciato il rilascio della sua applicazione per il tracciamento digitale dei contatti. Si tratta di un tema assai dibattuto in queste settimane in tutto il mondo, per la sua estrema delicatezza ed il suo potenziale impatto sulla democrazia.
Vediamo quali elementi positivi e quali elementi negativi presenta tale soluzione, sulla base di quello che ad oggi è stato dichiarato e pubblicato, anche sul piano tecnico, e alla luce dell'approccio generale che stiamo seguendo, descritto qua ed applicato per analizzare la situazione italiana qua.
Prima di tutto osserviamo come elemento sicuramente positivo il fatto che il governo inglese abbia deciso di effettuare una prima valutazione su un territorio limitato, quello dell'Isola di Wight. Sappiamo infatti che è estremamente difficile sviluppare un qualunque sistema informatico in modo tale che funzioni bene alla sua prima realizzazione. Considerando che in questo caso il sistema tratta dati estremamente sensibili si tratta di un'ottima scelta. Va anche applaudita la consapevolezza che ha il governo inglese riguardo al fatto che da questa prima valutazione potranno conseguire variazioni anche significative all'app: «nessuna decisione è irrevocabile».
In aggiunta, l'uso della app si inserisce in una strategia più generale, in cui l'app è solo uno dei tanti strumenti offerti dall'informatica per la gestione dell'emergenza, che prevede il forte potenziamento del personale dedicato al tracciamento manuale e il rafforzamento delle capacità di testing, senza le quali nessun'app è in grado di offrire un aiuto significativo. Anche questa dichiarazione, che fa emergere la consapevolezza che il digitale non ha e non può avere un ruolo salvifico, è certamente positiva.
L'app, una volta installata su uno smartphone, si registra presso il server centrale ricevendo un identificatore pseudonimo InstID, generato casualmente ma permanentemente associato a quel dispositivo. Il server non registra altre informazioni oltre alla prima metà del codice postale (che identifica una delle circa 3.000 zone in cui è suddiviso il Regno Unito dal servizio postale) e il modello del telefono (che serve per rendere le rilevazioni dei segnali Bluetooth più omogenee). Non è chiarissimo se in futuro verranno richiesti agli utenti anche i dati di geolocalizzazione. L'indirizzo Internet del dispositivo (cioè il suo IP) è visibile al sistema commerciale di front-end che consente la connessione al server centrale, ma non è da questi registrato. Viene però monitorato dagli apparati di cibersicurezza dell'intero sistema ed è visibile dal relativo team per poter gestire eventuali attacchi.
Ogni app usa il suo InstID per creare ogni giorno un nuovo identificatore casuale BValue scambiato con gli altri dispositivi per registrarne la vicinanza. L'elenco dei BValue che un dispositivo ha incontrato viene memorizzato localmente in versione crittografata per un periodo di 28 giorni al massimo. Se lo stato di salute dell'utente è critico, in base ad un'auto-diagnosi che l'utente effettua sotto la guida dalla stessa app, tale elenco viene inviato al server centrale (crittografato mediante un'ulteriore specifica chiave condivisa dall'utente e dal server) per le azioni conseguenti. Il server centrale è in grado di ricostruire dai BValue ricevuti i relativi InstID del dispositivo e quindi decidere se avvisarli o meno, una volta valutato il rischio reale di infezione in base alla distanza (stimata mediante la rilevazione Bluetooth), alla durata, allo scenario complessivo e ad un modello di rischio definito dalle autorità sanitarie.
Qui ravviso due elementi di perplessità: il primo (già sottolineato da molti commentatori) è relativo al fatto che vengono registrate in un unico server centrale tutte le informazioni dei dispositivi e dei contatti che, anche se pseudonime, finiscono così per costituire un bersaglio molto attraente per eventuali attacchi. Da questo punto di vista la disponibilità del codice sorgente per l'esame pubblico da parte di esperti indipendenti e l'istituzione di meccanismi di incentivazione a scoprirne difetti (misure standard per ottenere sistemi informatici più sicuri) sono azioni che speriamo vengano rapidamente adottate. Difficile che eventuali "cattivi" a caccia di dati sottopongano il sistema ad attacchi nelle fasi iniziali. Aspetteranno che sia andato in qualche modo a regime per massimizzare il valore dell'eventuale "bottino". L'andamento degli ultimi anni degli eventi di violazioni di dati (data breaches) evidenzia che "mettere tutte le uova nello stesso paniere" non è mai una scelta saggia.
Il secondo elemento di perplessità è legato al fatto che il caricamento di queste informazioni sul server centrale non è fatto a seguito di una diagnosi di positività risultante da un test, ma sulla base del monitoraggio, realizzato attraverso l'app stessa, dello stato di salute della persona. Sostanzialmente, se ha febbre e tosse persistenti da un po' di giorni. Ritengo che forse sarebbe stato meglio farlo soltanto a valle di un test positivo, dal momento che è proprio sulla base di queste informazioni che viene deciso se chiedere o meno ai contatti dell'utente di auto-isolarsi. Anche se sembra che tale decisione non venga presa automaticamente dal sistema, ma sia in qualche modo sotto il controllo umano, il suo essere basata sull'auto diagnosi mi suscita qualche perplessità.
Le motivazioni dichiarate sono che attuando l'isolamento subito dopo l'auto-diagnosi si ottiene più efficacia nella gestione delle potenziali infezioni . Tale isolamento iniziale può essere rimosso nel giro di pochi giorni (se, ad esempio, il test esclude di essere affetti dal COVID-19) oppure confermato (ad esempio, in caso di test positivo o se ulteriori contatti dichiarano sintomi ritenuti un possibile indizio di infezione). Questa procedura, scelta appositamente per basare il loro approccio sanitario sulla «reazione ai sintomi» invece che sulla «reazione ai test», ha secondo me il rischio di aumentare i falsi positivi e di minare quindi, potenzialmente, la fiducia degli utenti.
L'aspetto positivo di questa soluzione, cosiddetta "centralizzata", è che consente in teoria una migliore valutazione e gestione degli aspetti epidemiologici della diffusione dell'infezione ed offre una migliore protezione sia contro tentativi di manomissione dell'intero sistema sia per alcuni attacchi verso la privacy di coloro che sono infetti o potenzialmente infetti. Questi vengono infatti avvisati direttamente dal server centrale, mentre con gli approcci cosiddetti "decentralizzati" l'avviso viene effettuato mediante una trasmissione a tutti gli utenti del sistema, esponendo quindi le persone infette a quei meccanismi di "deduzione" del loro stato di salute descritti da questo documento (in francese). Va inoltre osservato che, essendo l'approccio decentralizzato più sensibile a false segnalazioni, dal momento che non c'è un'autorità centrale in grado di legare le varie segnalazioni ad uno stesso utente, è giocoforza in quello far partire l'allarme solo in "reazione ai test".
Sul versante negativo, va in aggiunta sottolineato che la soluzione scelta dagli inglesi consente all'autorità centrale di individuare, per le persone che riportano sintomi, i comportamenti e le relazioni. Inoltre, anche se il sistema di tracciamento è gestito su un'infrastruttura del Sistema Sanitario Nazionale completamente separata dalle altre, si tratta sempre dello stesso soggetto che possiede ulteriori dati sensibili. È quindi una situazione complessiva estremamente delicata dal punto di vista della privacy e sulla quale la Comitato Parlamentare Congiunto per i Diritti Umani ha chiesto chiarimenti.
Un ulteriore elemento di incertezza, e quindi di potenziale preoccupazione sul versante dei diritti, è quello relativo ai soggetti che avranno accesso a tali dati. Le informazioni riportate non sono chiare, dal momento che è stato dichiarato che «organizzazioni con un motivo appropriato di sanità pubblica» potranno avere accesso a questi dati. Non è stato, inoltre, ancora chiarito se anche i datori di lavoro potranno farvi accesso. Un ulteriore aspetto preoccupante è che, una volta caricati i dati sul server centrale, l'utente perde ogni diritto su di essi e non può più richiederne la cancellazione. In generale, al momento non è ancora stata realizzata una valutazione di impatto sulla protezione dei dati (DPIA) che è richiesta dal GDPR europeo (Regolamento Generale per la Protezione dei Dati). Sono tutti punti essenziali per costruire quel clima di fiducia necessario per far sì che un'app di questo genere possa essere usata da quella percentuale sufficientemente elevata di persone (tra il 60% e l'80%) di cui c'è bisogno affinché questi dati possano essere in qualche modo utili. D'altro canto il CEO dell'NHSX, la divisione tecnica del Sistema Sanitario Nazionale inglese che ha realizzato l'app ha dichiarato che «anche una diffusione solo del 20% può offrire dati utili per capire come l'infezione si diffonde» e che «una diffusione di almeno il 40% può essere utile per identificare i contatti». Non è chiaro però su quali basi sono state fatte tali affermazioni.
Al momento l'app inglese non prevede l'interoperabilità con quelle eventualmente sviluppate da altre nazioni, anche perché è l'unica ad aver al momento scelto una soluzione centralizzata. C'è però consapevolezza che si tratta di un requisito importante. Non del tutto chiare sono infine le reali prestazione che l'applicazione è in grado di fornire, dal momento che è sviluppata in modo independente da Apple e Google ma ha bisogno di essere sempre attiva, modalità che, consumando la batteria, viene per default disattivata periodicamente dai sistemi operativi realizzati dai due produttori. L'NHSX ha dichiarato di aver trovato una soluzione tecnica a questo problema che sembra funzionare, ma i dettagli non sono ancora noti.
Per finire l'analisi dei punti di attenzione osservo che il governo inglese non sembra ancora aver definito quella legislazione ordinaria che stabilisca precisamente le limitazioni dell'utilizzo di una misura straordinaria quale il tracciamento digitale dei contatti. Analogamente, gli aspetti relativi all'impatto sulla relazione sociale ed alla mitigazione del divario digitale sembrano ancora tutti da considerare. Il rapporto sopra citato del Comitato Parlamentare Congiunto per i Diritti Umani, rilasciato il 7 maggio, chiede proprio risposte su questi ed altri punti, che sono fondamentali per una democrazia.
domenica 3 maggio 2020
Il decreto-legge sul tracciamento digitale dei contatti: c'è ancora molto da fare
di Enrico Nardelli
È stato pubblicato nella Gazzetta Ufficiale il decreto-legge 30 aprile 2020 n.28 che contiene all'articolo 6 la norma per l'istituzione del sistema di allerta Covid-19, cioè di «una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un'apposita applicazione sui dispositivi di telefonia mobile». Si tratta del sistema per il tracciamento digitale dei contatti di cui molto si è parlato nelle scorse settimane.
Ravviso prima di tutto alcuni elementi di confusione sul reale stato della situazione. Nei giorni passati è stato dato ampio risalto al fatto che il Governo, sulla base delle valutazioni del "Gruppo di lavoro data-driven per l’emergenza COVID-19" nominato dal Ministro per l'Innovazione Tecnologica e la Digitalizzazione, aveva già scelto una soluzione per il tracciamento digitale dei contatti. Infatti, il Commissario Straordinario per l'attuazione e il coordinamento delle misure di contenimento e contrasto dell'emergenza epidemiologica Covid-19 con ordinanza n.10/2020 del 19 aprile 2020 aveva disposto «di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a.».
Adesso il decreto, senza far alcun riferimento alla suddetta ordinanza né agli esiti del gruppo di lavoro, parla di «istituzione». Questo termine, nella mia interpretazione, sembrerebbe indicare che, a valle del decreto stesso, si dovrebbe procedere alla valutazione ed alla scelta della soluzione tecnico-organizzativa più idonea, che però l'ordinanza ha già scelto. Non essendo un giurista, sarò lieto di apprendere da chi ne sa più di me in quest'ambito.
Ho analizzato il decreto-legge sulla base dei criteri che, descritti da più parti a livello nazionale ed internazionale, sono ritenuti necessari per poter adottare una soluzione di questo genere, che va ad incidere in modo particolarmente rilevante su diritti e libertà fondamentali.
Li avevo riportati sinteticamente in questo mio post e li userò come guida per analizzare il decreto in questione, richiamando in diversi punti l'ottima analisi già sviluppata da Andrea Lisi e Fulvio Sarzana.
Da un punto di vista più strettamente informatico, il problema fondamentale di tutto l'impianto del decreto-legge è che è stato scritto come se decenni di insuccessi più meno marcati nello sviluppo di sistemi informatici, nella Pubblica Amministrazione e nelle aziende, non fossero mai avvenuti e se fossimo all'anno zero della trasformazione digitale, senza aver capito che quella informatica è un’automazione radicalmente differente da ogni altra e che richiede un approccio diverso.
Viene avviata la realizzazione di un sistema informatico estremamente delicato, sulla base di specifiche non definite (p.es.: quale tecnologia si usa per l'identificazione dei contatti stretti? la valutazione delle condizioni di allerta e la sua effettiva emissione vengono effettuate in modo centralizzato o decentralizzato?) e senza dire niente sul relativo processo di realizzazione. Sono previste fasi di sperimentazione, validazione e valutazione di efficacia? Con che tempi? Dove e come? Non si sa.
E sì che ormai l'ingegneria dei sistemi informatici, anche se non ha ancora raggiunto il livello di solidità dell'ingegneria tradizionale, almeno un paio di principi universalmente condivisi li ha messi a punto: l'approccio iterativo (o "agile", nella terminologia inglese) e il coinvolgimento di tutti i portatori di interessi sono colonne portanti di qualunque approccio alla realizzazione di sistemi informatici che voglia avere buone possibilità di successo. Qui sembrano del tutto ignorate.
Come finirà? I miracoli sono sempre possibili, soprattutto in Italia, ma, alla luce delle esperienze passate, il bene del Paese richiederebbe maggiore attenzione.
È stato pubblicato nella Gazzetta Ufficiale il decreto-legge 30 aprile 2020 n.28 che contiene all'articolo 6 la norma per l'istituzione del sistema di allerta Covid-19, cioè di «una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un'apposita applicazione sui dispositivi di telefonia mobile». Si tratta del sistema per il tracciamento digitale dei contatti di cui molto si è parlato nelle scorse settimane.
Ravviso prima di tutto alcuni elementi di confusione sul reale stato della situazione. Nei giorni passati è stato dato ampio risalto al fatto che il Governo, sulla base delle valutazioni del "Gruppo di lavoro data-driven per l’emergenza COVID-19" nominato dal Ministro per l'Innovazione Tecnologica e la Digitalizzazione, aveva già scelto una soluzione per il tracciamento digitale dei contatti. Infatti, il Commissario Straordinario per l'attuazione e il coordinamento delle misure di contenimento e contrasto dell'emergenza epidemiologica Covid-19 con ordinanza n.10/2020 del 19 aprile 2020 aveva disposto «di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a.».
Adesso il decreto, senza far alcun riferimento alla suddetta ordinanza né agli esiti del gruppo di lavoro, parla di «istituzione». Questo termine, nella mia interpretazione, sembrerebbe indicare che, a valle del decreto stesso, si dovrebbe procedere alla valutazione ed alla scelta della soluzione tecnico-organizzativa più idonea, che però l'ordinanza ha già scelto. Non essendo un giurista, sarò lieto di apprendere da chi ne sa più di me in quest'ambito.
Ho analizzato il decreto-legge sulla base dei criteri che, descritti da più parti a livello nazionale ed internazionale, sono ritenuti necessari per poter adottare una soluzione di questo genere, che va ad incidere in modo particolarmente rilevante su diritti e libertà fondamentali.
Li avevo riportati sinteticamente in questo mio post e li userò come guida per analizzare il decreto in questione, richiamando in diversi punti l'ottima analisi già sviluppata da Andrea Lisi e Fulvio Sarzana.
- Un approccio sistemico che tenga conto di tutti gli aspetti della gestione di un'emergenza sanitaria, che non sono solo medici, ma anche organizzativi, sociali e legali, per non parlare di quelli economici: il decreto non ne parla, probabilmente perché vuole essere strettamente tecnico, ma in un caso di questo genere considerare soluzioni tecniche senza un'analisi a 360 gradi rischia di essere miope. Tale punto è stato anche sollevato in modo chiaro e dettagliato nell'analisi sopra citata.
- Una legislazione ordinaria che precede le misure straordinarie: criterio solo in parte soddisfatto, considerato che il decreto-legge dovrà essere convertito in legge e che in esso viene data un'ampia delega sui modi e tempi del trattamento dei dati raccolti al Ministero della Salute, che non mi pare (non sono un giurista e potrei sbagliarmi) sia fonte di legislazione ordinaria.
- Un'analisi dell'efficacia della strategia considerata prima della sua effettiva adozione: questa non appare sia stata svolta. Non solo perché non viene descritto come la realizzazione di tale piattaforma e dell'applicazione si coordina con una visione complessiva della gestione dell'emergenza, ma anche perché «gli ulteriori adempimenti necessari alla gestione del sistema di allerta» non vengono dettagliati ma delegati al Ministero della Salute.
- La valutazione dell'impatto complessivo, soprattutto in termini di relazioni sociali: come già osservato tale valutazione viene rinviata ad un momento successivo, mentre la considerazione dell'impatto sugli aspetti sociali, come analizzato qua, è un elemento assai importante da tener presente.
- La valutazione dei rischi nel mantenimento della privacy: il decreto contiene la previsione di raccogliere «i dati personali ... esclusivamente ... necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi», precisando che «è esclusa in oni caso la geolocalizzazione dei singoli utenti» e che viene garantita «la riservatezza ... dei sistemi e servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati», conservando i dati «per il periodo strettamente necessario al trattamento», vietando che siano «trattati per finalità diverse» da quelle previste dal decreto stesso e facendo sì che siano «cancellati in modo automatico alla scadenza del termine». Però, per quanto riguarda il periodo di trattamento si dice (comma 2, sub e) che «la durata è stabilita del Ministero della Salute» quando ritengo che sarebbe stato più opportuno definire tale termine nel decreto stesso. Inoltre, ciò mi pare non sia del tutto coerente con quanto previsto al comma 6: «ogni trattamento dei dati personali effettuato ai sensi del presente articolo è interrotto alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020». Infine non vi è una valutazione del rischio che quanto stabilito del decreto possa essere invalidato sia da attacchi intenzionali che da eventi accidentali. Dobbiamo sperare tali rischi verranno analizzati dalla valutazione di impatto promessa.
- La valutazione del rischio a cui vengono esposti i cittadini: il decreto impone al Ministero della Salute di adottare «misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà personali». Non è previsto alcun controllo su tali misure né da parte di organismi tecnico-scientifici indipendenti (al di là del Garante della Privacy) né da parte di rappresentanti della società civile. Riconoscere che ci sono «rischi elevati» e non prevedere misure per la loro mitigazione (che sono l'ABC della gestione dei rischi in ogni ambito) non sembra molto lungimirante. Non possiamo che sperare che nella definizione di tali misure sia presente una valutazione di tali rischi, dal momento che le tecnologie (non ancora specificate) che verrano utilizzate per rilevare i «contatti stretti» presentano un elevato grado di vulnerabilità, soprattutto se, come accade di solito, i dispositivi digitali personali non sono tenuti costantemente aggiornati.
- La definizione di misure di mitigazione del divario digitale che rischia di emarginare le fasce sociali più deboli: non trovo traccia di questi aspetti, a meno che - come per altri punti - non siano demandati alla successiva valutazione di impatto.
- La trasparenza sulle scelte tecnico-organizzative e sui processi decisionali: sostanzialmente viene tutto delegato al Ministero della Salute in coordinamento con gli altri soggetti rilevanti (sentito il Garante per la privacy), richiedendo solo di «informare periodicamente la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano sullo stato di avanzamento del progetto».
- Il coinvolgimento dei cittadini a livello di comunicazione: spiegare adeguatamente alle persone cosa si sta facendo e perché, in un caso di questo genere in cui è in gioco la loro privacy è assolutamente necessario, data la volontarietà (giustissima!) dell'utilizzo dell'applicazione e la contemporanea necessità di raggiungere elevati livelli di diffusione nella popolazione per poter avere efficacia. A tal fine la semplice previsione che «gli utenti ricevano, prima dell'attivazione dell'applicazione, informazioni chiare e trasparenti» appare insufficiente, alla luce del comportamento tipico degli utenti all'atto dell'installazione delle applicazioni, che tendenzialmente accettano l'informativa iniziale senza leggerla in detaglio.
- La necessità di interoperabilità a livello di Unione Europea: non trovo traccia nel decreto di questo requisito, esplicitamente auspicato prima dalla Commissione Europea nella Raccomandazione 2020/518 dell'8 aprile 2020 e poi dal Comitato Europeo per la protezione dei dati, al n.3 delle linee-guida 04/2020 del 21 aprile 2020.
Da un punto di vista più strettamente informatico, il problema fondamentale di tutto l'impianto del decreto-legge è che è stato scritto come se decenni di insuccessi più meno marcati nello sviluppo di sistemi informatici, nella Pubblica Amministrazione e nelle aziende, non fossero mai avvenuti e se fossimo all'anno zero della trasformazione digitale, senza aver capito che quella informatica è un’automazione radicalmente differente da ogni altra e che richiede un approccio diverso.
Viene avviata la realizzazione di un sistema informatico estremamente delicato, sulla base di specifiche non definite (p.es.: quale tecnologia si usa per l'identificazione dei contatti stretti? la valutazione delle condizioni di allerta e la sua effettiva emissione vengono effettuate in modo centralizzato o decentralizzato?) e senza dire niente sul relativo processo di realizzazione. Sono previste fasi di sperimentazione, validazione e valutazione di efficacia? Con che tempi? Dove e come? Non si sa.
E sì che ormai l'ingegneria dei sistemi informatici, anche se non ha ancora raggiunto il livello di solidità dell'ingegneria tradizionale, almeno un paio di principi universalmente condivisi li ha messi a punto: l'approccio iterativo (o "agile", nella terminologia inglese) e il coinvolgimento di tutti i portatori di interessi sono colonne portanti di qualunque approccio alla realizzazione di sistemi informatici che voglia avere buone possibilità di successo. Qui sembrano del tutto ignorate.
Come finirà? I miracoli sono sempre possibili, soprattutto in Italia, ma, alla luce delle esperienze passate, il bene del Paese richiederebbe maggiore attenzione.
Iscriviti a:
Post (Atom)