Cresce il dibattito sull’utilizzo dell’App Immuni e il diritto alla protezione dei dati personali. Il tema richiede un attento scrutinio (anche) tecnico e tecnologico da parte del governo, nell’ottica del necessario bilanciamento tra interessi e del coinvolgimento di Google e Apple.
La app Immuni per il tracciamento contatti Coronavirus dovrebbe essere pronta a maggio ma nella versione modificata rispetto alla versione inizialmente ipotizzata, secondo il modello più protettivo della privacy (“decentralizzato”), che è anche quello voluto da Google e Apple.
Per avere un’App che funzioni gli sviluppatori e il Governo italiano sono obbligati a rispettare le indicazioni di Apple e Google e, quindi, a modificare le specifiche tecniche di Immuni per tutelare con maggiore forza la privacy e la sicurezza dei dati anagrafici che non dovranno essere registrati.
Nella sua versione iniziale, l’App prevedeva un approccio “centralizzato” in cui il server centrale della app assegna a ogni dispositivo un numero identificativo che non ha alcuna correlazione con l’identità della persona, ma questi identificativi sono comunque tutti presenti sul server centrale. In altre parole, un “cervellone” che ha disposizione tutte le informazioni.
Il telefono sul quale è installata la app, mentre il proprietario passeggia, trasmette delle stringhe alfanumeriche generate casualmente e uniche (che chiameremo messaggi) tramite bluetooth ogni “tot” di minuti o secondi. Se vicino c’è un’altra persona con la app attiva i telefoni si scambiano messaggi. Il server centrale in questo approccio è a conoscenza e conserva il codice identificativo iniziale dell’utilizzatore della app e man mano accumula i messaggi dei positivi e di chi è venuto in contatto con loro. Nella pratica – entrando nel cervellone – è possibile venire a conoscenza di tutte le interazioni delle persone contagiate e di quelle che sono entrate in contatto con loro se utilizzano la app. Quando un utilizzatore risulta positivo avvisa la app che è stato contagiato. Facendo questa operazione invia al server tutti i messaggi casuali ricevuti dagli utenti che ha incontrato nei giorni precedenti. A quel punto, il server centrale analizza tutti i messaggi scambiati dallo smartphone dell’ammalato ed elabora un profilo di rischio per ogni persona entrata in contatto. Ovviamente, maggiore è il numero di messaggi scambiati con persone infette, più è alto il profilo di rischio. Superata una certa soglia, il server centrale, dove sono aggregati tutti i dati, invia una notifica sull’app delle persone interessate avvisandole del pericolo.
Con il nuovo approccio “decentralizzato”, non dovrebbe esisterebbe un punto vulnerabile, perché il modello non sembrerebbe prevedere un “server centralizzato” dove sono immagazzinati tutti i messaggi.
In questo caso il server centrale gestisce una porzione dei dati, mentre solo lo smartphone di chi usa l’app è in grado di sapere se il proprietario del cellulare è stato in contatto con persone che hanno contratto il Covid-19. La parte “personale” dei dati, quindi, resta in possesso di chi utilizza la app, se non viene contagiato. Il server centrale, a differenza dell’approccio centralizzato, non assegna nessun identificativo univoco a chi ha installato la app. Il telefono sul quale è installata la app, mentre il proprietario passeggia, trasmette dei messaggi tramite bluetooth ogni “tot” di minuti o secondi. Se nelle vicinanze c’è un’altra persona che ha scaricato la app si scambiano messaggi e solo sui telefoni resta traccia di questo scambio. Non esiste quindi un “server centrale” nel quale vengono conservati tutti i messaggi univoci inviati e ricevuti dagli utenti che utilizzano la app.
Uno dei due contrae il Covid-19 e tramite una funzione della app avvisa il server centrale che si è ammalato e gli trasmette solo i messaggi casuali inviati mentre nei giorni precedenti passeggiava. Non vengono invece inviati i messaggi che il suo smartphone ha ricevuto. Il server centrale segnala quindi ai dispositivi che hanno la app quali sono i messaggi inviati dallo smartphone dell’infetto. A quel punto, all’interno dello smartphone, la app calcola quanti messaggi sono stati ricevuti dal contagiato mentre la sua app era in funzione e quindi qual è il rischio che il proprietario dello smartphone abbia potuto infettarsi. Solo se viene superata una certa soglia, la app segnala all’utente il fatto di essere stato a contatto con una persona che ha contratto il coronavirus. La differenza cruciale con il modello centralizzato è quindi la segnalazione al server solo dei propri messaggi inviati (e non anche di tutti ricevuti) e il luogo dove avviene l’incrocio (nello smartphone e non nel server centrale.
Nel modello (più) “centralizzato” finora adottato da molte app europee e dall’attuale versione di Immuni (già in sperimentazione sul campo), i codici sono generati dal server, non dai dispositivi.
Ed è una differenza importante perché significa che la società detiene, sia i dati di contatto, sia le chiavi attraverso le quali è possibile identificare i soggetti ai quali i dati si riferiscono. La centralizzazione dei dati e delle chiavi di decodificazione aumenta i rischi di violazione della privacy, anche se consente di costruire un “grafo sociale” dei contatti avvenuti e, quindi, di ampliare il raggio degli asintomatici da monitorare.
I governi, tra cui anche quello italiano, vorrebbero gestire sia i codici degli infetti sia quelli dei loro contatti così da mappare la diffusione della malattia da contagio da Covid19.
Tuttavia, da più parti (dal Parlamento europeo e da parte del mondo scientifico) è stata rappresentata la necessità di un approccio decentralizzato, che preveda la conservazione dei dati direttamente sui dispositivi.
Ad esempio, gli esperti del Nexa Center for Internet and Society del Politecnico di Torino hanno sollevato alcuni importanti dubbi, in una lettera aperta inviata ai decisori del governo italiano, con la quale è stato evidenziato che solo un modello decentralizzato sembrerebbe in grado di garantire i principi di minimizzazione dell’uso dei dati o di pseudonimizzazione; principi invocati di recente, ad esempio, proprio per il contact tracing, dalla Commissione europea dell’8 aprile 2020 e dal nostro Garante della Privacy.
Dal mondo scientifico e non solo, quindi, viene caldamente suggerito un modello di gestione decentralizzato.
Inoltre, ciò che ancor più rileva è che la gestione decentralizzata si rivela, di fatto, obbligatoria essendo necessaria per rendere compatibile l’app con il sistema che stanno realizzando Apple e Google: i due giganti, che gestiscono i due sistemi operativi della quasi totalità degli smartphone, hanno deciso di collaborare fra di loro per costruire del software di base, i cui documenti tecnici sono pubblici in Rete, che gli sviluppatori delle app nei vari Paesi colpiti dal Covid-19 possono utilizzare per creare applicazioni di tracciamento più sicure ma con approccio decentralizzato. Nessuna delle due aziende intende fornire funzionalità nei loro sistemi operativi per consentire sforzi di sorveglianza che potrebbero essere oggetto di abuso.
Apple e Google stanno incoraggiando i servizi sanitari di tutto il mondo a creare app di tracciamento dei contatti che operano in modo decentralizzato, consentendo agli individui di sapere quando sono stati in contatto con una persona infetta, ma impedendo ai governi di utilizzare tali dati per costruire un’immagine dei movimenti della popolazione in forma aggregata.
Il sistema di contact tracing dovrà, quindi, essere finalizzato tenendo in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (PEPP-PT, DP-3T, ROBERT), e, in particolare, l’evoluzione del modello annunciato da Apple e Google (si v., su questo Osservatorio, il post di Bruno Carotti, Le scelte degli Stati sulla techne: quattro indicazioni).
Una scelta che probabilmente sarà fatta anche dalla Francia, dove il ministero del Digitale ha già fatto notare nei giorni scorsi che non è possibile far funzionare l’app con il bluetooth senza la collaborazione di Apple (soprattutto) e Google.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.