di Enrico Nardelli
Il 4 maggio scorso il governo inglese ha annunciato il rilascio della sua applicazione per il tracciamento digitale dei contatti. Si tratta di un tema assai dibattuto in queste settimane in tutto il mondo, per la sua estrema delicatezza ed il suo potenziale impatto sulla democrazia.
Vediamo quali elementi positivi e quali elementi negativi presenta tale soluzione, sulla base di quello che ad oggi è stato dichiarato e pubblicato, anche sul piano tecnico, e alla luce dell'approccio generale che stiamo seguendo, descritto qua ed applicato per analizzare la situazione italiana qua.
Prima di tutto osserviamo come elemento sicuramente positivo il fatto che il governo inglese abbia deciso di effettuare una prima valutazione su un territorio limitato, quello dell'Isola di Wight. Sappiamo infatti che è estremamente difficile sviluppare un qualunque sistema informatico in modo tale che funzioni bene alla sua prima realizzazione. Considerando che in questo caso il sistema tratta dati estremamente sensibili si tratta di un'ottima scelta. Va anche applaudita la consapevolezza che ha il governo inglese riguardo al fatto che da questa prima valutazione potranno conseguire variazioni anche significative all'app: «nessuna decisione è irrevocabile».
In aggiunta, l'uso della app si inserisce in una strategia più generale, in cui l'app è solo uno dei tanti strumenti offerti dall'informatica per la gestione dell'emergenza, che prevede il forte potenziamento del personale dedicato al tracciamento manuale e il rafforzamento delle capacità di testing, senza le quali nessun'app è in grado di offrire un aiuto significativo. Anche questa dichiarazione, che fa emergere la consapevolezza che il digitale non ha e non può avere un ruolo salvifico, è certamente positiva.
L'app, una volta installata su uno smartphone, si registra presso il server centrale ricevendo un identificatore pseudonimo InstID, generato casualmente ma permanentemente associato a quel dispositivo. Il server non registra altre informazioni oltre alla prima metà del codice postale (che identifica una delle circa 3.000 zone in cui è suddiviso il Regno Unito dal servizio postale) e il modello del telefono (che serve per rendere le rilevazioni dei segnali Bluetooth più omogenee). Non è chiarissimo se in futuro verranno richiesti agli utenti anche i dati di geolocalizzazione. L'indirizzo Internet del dispositivo (cioè il suo IP) è visibile al sistema commerciale di front-end che consente la connessione al server centrale, ma non è da questi registrato. Viene però monitorato dagli apparati di cibersicurezza dell'intero sistema ed è visibile dal relativo team per poter gestire eventuali attacchi.
Ogni app usa il suo InstID per creare ogni giorno un nuovo identificatore casuale BValue scambiato con gli altri dispositivi per registrarne la vicinanza. L'elenco dei BValue che un dispositivo ha incontrato viene memorizzato localmente in versione crittografata per un periodo di 28 giorni al massimo. Se lo stato di salute dell'utente è critico, in base ad un'auto-diagnosi che l'utente effettua sotto la guida dalla stessa app, tale elenco viene inviato al server centrale (crittografato mediante un'ulteriore specifica chiave condivisa dall'utente e dal server) per le azioni conseguenti. Il server centrale è in grado di ricostruire dai BValue ricevuti i relativi InstID del dispositivo e quindi decidere se avvisarli o meno, una volta valutato il rischio reale di infezione in base alla distanza (stimata mediante la rilevazione Bluetooth), alla durata, allo scenario complessivo e ad un modello di rischio definito dalle autorità sanitarie.
Qui ravviso due elementi di perplessità: il primo (già sottolineato da molti commentatori) è relativo al fatto che vengono registrate in un unico server centrale tutte le informazioni dei dispositivi e dei contatti che, anche se pseudonime, finiscono così per costituire un bersaglio molto attraente per eventuali attacchi. Da questo punto di vista la disponibilità del codice sorgente per l'esame pubblico da parte di esperti indipendenti e l'istituzione di meccanismi di incentivazione a scoprirne difetti (misure standard per ottenere sistemi informatici più sicuri) sono azioni che speriamo vengano rapidamente adottate. Difficile che eventuali "cattivi" a caccia di dati sottopongano il sistema ad attacchi nelle fasi iniziali. Aspetteranno che sia andato in qualche modo a regime per massimizzare il valore dell'eventuale "bottino". L'andamento degli ultimi anni degli eventi di violazioni di dati (data breaches) evidenzia che "mettere tutte le uova nello stesso paniere" non è mai una scelta saggia.
Il secondo elemento di perplessità è legato al fatto che il caricamento di queste informazioni sul server centrale non è fatto a seguito di una diagnosi di positività risultante da un test, ma sulla base del monitoraggio, realizzato attraverso l'app stessa, dello stato di salute della persona. Sostanzialmente, se ha febbre e tosse persistenti da un po' di giorni. Ritengo che forse sarebbe stato meglio farlo soltanto a valle di un test positivo, dal momento che è proprio sulla base di queste informazioni che viene deciso se chiedere o meno ai contatti dell'utente di auto-isolarsi. Anche se sembra che tale decisione non venga presa automaticamente dal sistema, ma sia in qualche modo sotto il controllo umano, il suo essere basata sull'auto diagnosi mi suscita qualche perplessità.
Le motivazioni dichiarate sono che attuando l'isolamento subito dopo l'auto-diagnosi si ottiene più efficacia nella gestione delle potenziali infezioni . Tale isolamento iniziale può essere rimosso nel giro di pochi giorni (se, ad esempio, il test esclude di essere affetti dal COVID-19) oppure confermato (ad esempio, in caso di test positivo o se ulteriori contatti dichiarano sintomi ritenuti un possibile indizio di infezione). Questa procedura, scelta appositamente per basare il loro approccio sanitario sulla «reazione ai sintomi» invece che sulla «reazione ai test», ha secondo me il rischio di aumentare i falsi positivi e di minare quindi, potenzialmente, la fiducia degli utenti.
L'aspetto positivo di questa soluzione, cosiddetta "centralizzata", è che consente in teoria una migliore valutazione e gestione degli aspetti epidemiologici della diffusione dell'infezione ed offre una migliore protezione sia contro tentativi di manomissione dell'intero sistema sia per alcuni attacchi verso la privacy di coloro che sono infetti o potenzialmente infetti. Questi vengono infatti avvisati direttamente dal server centrale, mentre con gli approcci cosiddetti "decentralizzati" l'avviso viene effettuato mediante una trasmissione a tutti gli utenti del sistema, esponendo quindi le persone infette a quei meccanismi di "deduzione" del loro stato di salute descritti da questo documento (in francese). Va inoltre osservato che, essendo l'approccio decentralizzato più sensibile a false segnalazioni, dal momento che non c'è un'autorità centrale in grado di legare le varie segnalazioni ad uno stesso utente, è giocoforza in quello far partire l'allarme solo in "reazione ai test".
Sul versante negativo, va in aggiunta sottolineato che la soluzione scelta dagli inglesi consente all'autorità centrale di individuare, per le persone che riportano sintomi, i comportamenti e le relazioni. Inoltre, anche se il sistema di tracciamento è gestito su un'infrastruttura del Sistema Sanitario Nazionale completamente separata dalle altre, si tratta sempre dello stesso soggetto che possiede ulteriori dati sensibili. È quindi una situazione complessiva estremamente delicata dal punto di vista della privacy e sulla quale la Comitato Parlamentare Congiunto per i Diritti Umani ha chiesto chiarimenti.
Un ulteriore elemento di incertezza, e quindi di potenziale preoccupazione sul versante dei diritti, è quello relativo ai soggetti che avranno accesso a tali dati. Le informazioni riportate non sono chiare, dal momento che è stato dichiarato che «organizzazioni con un motivo appropriato di sanità pubblica» potranno avere accesso a questi dati. Non è stato, inoltre, ancora chiarito se anche i datori di lavoro potranno farvi accesso. Un ulteriore aspetto preoccupante è che, una volta caricati i dati sul server centrale, l'utente perde ogni diritto su di essi e non può più richiederne la cancellazione. In generale, al momento non è ancora stata realizzata una valutazione di impatto sulla protezione dei dati (DPIA) che è richiesta dal GDPR europeo (Regolamento Generale per la Protezione dei Dati). Sono tutti punti essenziali per costruire quel clima di fiducia necessario per far sì che un'app di questo genere possa essere usata da quella percentuale sufficientemente elevata di persone (tra il 60% e l'80%) di cui c'è bisogno affinché questi dati possano essere in qualche modo utili. D'altro canto il CEO dell'NHSX, la divisione tecnica del Sistema Sanitario Nazionale inglese che ha realizzato l'app ha dichiarato che «anche una diffusione solo del 20% può offrire dati utili per capire come l'infezione si diffonde» e che «una diffusione di almeno il 40% può essere utile per identificare i contatti». Non è chiaro però su quali basi sono state fatte tali affermazioni.
Al momento l'app inglese non prevede l'interoperabilità con quelle eventualmente sviluppate da altre nazioni, anche perché è l'unica ad aver al momento scelto una soluzione centralizzata. C'è però consapevolezza che si tratta di un requisito importante. Non del tutto chiare sono infine le reali prestazione che l'applicazione è in grado di fornire, dal momento che è sviluppata in modo independente da Apple e Google ma ha bisogno di essere sempre attiva, modalità che, consumando la batteria, viene per default disattivata periodicamente dai sistemi operativi realizzati dai due produttori. L'NHSX ha dichiarato di aver trovato una soluzione tecnica a questo problema che sembra funzionare, ma i dettagli non sono ancora noti.
Per finire l'analisi dei punti di attenzione osservo che il governo inglese non sembra ancora aver definito quella legislazione ordinaria che stabilisca precisamente le limitazioni dell'utilizzo di una misura straordinaria quale il tracciamento digitale dei contatti. Analogamente, gli aspetti relativi all'impatto sulla relazione sociale ed alla mitigazione del divario digitale sembrano ancora tutti da considerare. Il rapporto sopra citato del Comitato Parlamentare Congiunto per i Diritti Umani, rilasciato il 7 maggio, chiede proprio risposte su questi ed altri punti, che sono fondamentali per una democrazia.
Su segnalazione di Vladimiro Sassone, che ringrazio, aggiungo qualche informazione sulla DPIA della soluzione proposta dall'NHS inglese di cui ho parlato nel post.
RispondiEliminaÈ stata rilasciata ed è disponibile a questo link.
È stata analizzata da Michael Vaele in questo post e in questa serie di tweet, e non ne esce molto bene...