App tracciacontatti, privacy e modelli di business

Continuiamo a essere nel pieno della pandemia da CoViD-19. Non abbiamo nessuna idea di cosa possiamo fare per tornare a una vita non dico normale ma almeno senza essere segregati in casa; ma è chiaro a tutti che questa situazione non può proseguire per troppo tempo, anche senza tenere conto delle notevoli spinte di Confindustria e soprattutto Assolombarda… anche se la Lombardia per com’è la situazione attuale dovrebbe essere di gran lunga l’ultima regione italiana a poter permettere un rilassamento del lockdown. Ma la pandemia per sua stessa definizione non è solo italiana ma mondiale; ecco dunque che ovunque ci si sta scervellando su quali possano essere le soluzioni da adottare, sapendo perfettamente che almeno per il momento non esiste una panacea ma bisognerà adottare un mix di misure ciascuna delle quali contribuirà a ridurre l’ormai arcinoto parametro R0, quello che misura la contagiosità dell’infezione e che è stato spiegato bene da Angela Merkel (visto che avere studiato serve?) Tra le proposte c’è quella di tracciare i contatti personali per monitorare i contagi, e qui cominciano le danze.

Una fase della proposta Apple-Google per il tracciamento del contagio (dalle loro specifiche)

Avrete sicuramente sentito almeno parlare della strana alleanza tra Apple e Google, che hanno presentato una proposta di un’app per il tracciamento del contagio. Questa app “ovviamente” sarebbe installata su base volontaria, ed è stata studiata pensando alla privacy. Semplificando al massimo la proposta, ogni telefono in cui l’app è installata controlla con regolarità se ci sono altre app nei paraggi, e in caso affermativo le due app si scambiano un identificativo. Se una persona risultasse positiva al CoViD-19, l’app recupererebbe tutti i dati raccolti negli ultimi 15 giorni e li invierebbe a un server centrale; a tutte le persone che si sono trovate nelle vicinanze del malato verrebbe segnalata la situazione di possibile pericolo, invitandole a fare un controllo e mettersi in quarantena preventiva. Il vantaggio pratico della soluzione è per l’appunto il potere “tornare nel passato” e trovare persone che potenzialmente sono già infette e contagiose ma non hanno ancora sintomi della malattia; bloccando solo loro si permette al resto della popolazione di muoversi con maggiore libertà. Il primo passo sarà avere per la metà di maggio una serie di API (interfacce pubbliche) interoperabili tra i due sistemi; il passo successivo sarà modificare Android e iOS per avere direttamente nel sistema operativo la funzionalità di tracciamento, che però avrà sempre bisogno di un’app esterna.

La prima cosa che viene in mente leggendo la proposta è naturalmente chiedersi se la privacy è davvero rispettata. Io non ho le competenze necessarie per dare una risposta definitiva. Comprendo la logica alla base di scegliere Bluetooth e non GPS come modo per ottenere i dati di vicinanza: in questo modo, anche se qualcuno riuscisse ad accedere ai nostri dati, non potrebbe scoprire dove siamo stati ma solo quanti sono stati i nostri contatti; non quali sono, perché il server non conosce i nostri dati visto che è il nostro telefono a collegarsi per sapere se siamo stati in contatto con un contagiato, e uno dei principi fondamentali della sicurezza è “meno sai, meno danni può fare un baco di sicurezza”. È anche positivo il fatto che Apple e Google abbiano rese pubbliche le specifiche tecniche della loro soluzione: sicuramente saranno scrutinate con molta attenzione dagli esperti di privacy e di crittografia. Ma ci sono altri problemi che non mi fanno sentire molto tranquillo.

Innanzitutto, una funzionalità su base volontaria funziona allo stesso modo di una vaccinazione. In quest’ultimo caso occorre raggiungere l’immunità di gregge: una percentuale piuttosto alta della popolazione, che dipende dalla contagiosità della malattia ma che varia tra l’80 e il 95%. Nel caso dell’app avremmo qualcosa di simile: una certa percentuale di persone deve usarla per avere un tracciamento globale. Le stime che leggo variano dal 60 al 75%, probabilmente tenendo conto del fattore R0 più basso che per altre malattie; ma ho dei dubbi sulla validità di questa banale trasposizione, che non tiene conto della diversa logica dei due sistemi. Chi usa l’app non è infatti immunizzato, ma solo controllato; quindi può contagiare ed essere contagiato. Bene: chi ci assicura che l’app parta in pompa magna, si vede che i risultati sono deludenti, si dà la colpa alla bassa percentuale d’uso e la si renda obbligatoria? E una volta che l’app è obbligatoria, chi ci assicura che nessuno pernserà di usarla per altri tipi di controllo?

C’è poi il problema di un oligopolio – quello dei produttori di software per telefonini – che si sta rafforzando sempre più. Al momento c’è già qualcuno che sa perfettamente cosa facciamo e dove ci muoviamo, e sono gli operatori di telefonia mobile. È vero che i loro dati sono tipicamente meno precisi: come scrissi in occasione della grande mossa del governatore lombardo Fontana che chiese i dati aggregati per scoprire come i milanesi si stavano muovendo troppo, a me non serve neppure uscire di casa per passare da una cella a un’altra. Ma quello che probabilmente conta di più è che giustamente questi dati hanno dei vincoli d’uso molto stretti, e quindi non possono essere usati all’atto pratico. (Immagino anche ci sia poca inventiva da parte delle Telco per trovare degli usi interessanti ma rispettosi della privacy; non che io abbia tutta questa inventiva, intendiamoci, altrimenti avrei già proposto dei servizi). Una delle cose peggiori dei dati anonimizzati è però che possono diventare ben poco anonimi se incrociati con altri dati. Per esempio, se qualcuno sapesse più o meno dove abito e in che azienda lavoro potrebbe scoprire qual è il telefono che posseggo, guardando semplicemente gli spostamenti di tutti e filtrando i dati. Google e Apple al momento hanno dati più precisi ma meno facili da incrociare con altri dati pubblici; un insieme di coppie di vicinanza potrebbe essere incrociato in molti casi con la geolocalizzazione telefonica storica per recuperare i numeri corrispondenti alle connessioni anonime. Per evitare una cosa del genere, come minimo il server centralizzato dovrebbe essere gestito da una terza parte, e così d’acchito non saprei dire se è meglio che questa terza parte sia governativa – meglio, paneuropea – o privata. Sicuramente lo European Data Protection Board si sta preoccupando dei temi della privacy, ma non so fino a che punto.

Io ho provato a cliccare, ma non ho trovato nulla. Forse devo essere abbonato?

Infine… abbiamo l’italica app, scelta dopo regolare bando di concorso. In Italia siamo sempre pronti ad avere soluzioni autarchiche, dalla PEC a SPID, che di per sé funzionicchiano anche ma non sono assolutamente interoperabili, oltre ad essere rigorosamente gestite da privati o pseudoprivati. In questo caso, a oggi sappiamo ben poco di Immuni, se non che è stata fatta da una software house milanese in collaborazione con una nota catena lombarda di poliambulatori privati (che pure il mese scorso pare lavorassero a un’app di tipo ben diverso e da una società di marketing che evidentemente avrà collaborato per rendere la proposta più appetibile. Sicuramente l’ordinanza – che chissà come mai non sono riuscito ad aprire dal sito del Corriere che pure indicava il link da cliccare – non dice assolutamente nulla di tecnico, né contiene allegati tecnici sulla soluzione. Per quanto io possa parlare male di Apple e Google, la security by oscurity mi pare ancora più preoccupante: al governo e al commissario straordinario evidentemente no, o forse magari hanno avuto tutte le spiegazioni del caso con un obbligo di non divulgazione.

Ah sì: contemporaneamente oggi pare che Regione Lombardia abbia ampiamente pubblicizzato la loro app AllertaLom, che è stata recentemente aggiornata per chiedere a chi l’ha installata di segnalare ogni giorno il suo stato di salute. A quanto pare non c’è la possibilià di cliccare sul pulsante “come ieri” o anche solo di partire dai dati del giorno precedente per modificare quelli cambiati. Tutto questo riduce di molto il numero di volontari che si mettono a scrivere tutto ogni giorno; ma tanto l’app è stata scaricata da 50000 utenti sui 10 milioni di abitanti, e vi lascio quindi immaginare l’utilità pratica…

Ultimo aggiornamento: 2020-04-17 22:24

8 pensieri su “App tracciacontatti, privacy e modelli di business

  1. Marco

    Se ho capito bene come funziona, mi sembra un sistema che tutela la privacy e rende improbabile l’uso dei dati per tracciare gli spostamenti.
    Ogni dispositivo genera una chiave unica.
    Dalla chiave si genera una nuova chiave giornaliera e dalla chiave giornaliera si genera un identificativo di prossimità ogni 15 minuti.
    Il telefono salva in locale la lista degli ID di prossimità che ha rilevato.
    Se qualcuno si denuncia come positivo, la lista dei suoi ID di prossimità nel periodo contagioso viene caricata su un server.
    Da lì ogni telefono la scarica e la verifica con i propri dati locali, traendo informazioni approssimative su esposizione e durata dell’esposizione.

    1. .mau. Autore articolo

      sicuramente gli attacchi “semplici” sono scongiurati, non foss’altro che perché c’è un’ampia letteratura, oltre al fatto che i dati vanno sul server solo in caso di autosegnalazione di infettività. Sul resto, ribadisco la mia ignoranza.

  2. mestesso

    Bending Spoons e’ fatta da ex-google ed ex-facebook, e la qualita’ del lavoro e’ buona, specie in relazione ad altre ditte italiane (non fatta coi piedi od altre parti del corpo come quella ATM, per dire). Sono piu’ bravi nel marketing, bisogna dire, ed hanno molto la puzza sotto il naso. Se nella migliore qualita’ ci sia anche un migliore rispetto della privacy lo scopriremo, ma bisogna dire che a meno di infiltrazioni dei servizi segreti, uno se la disinstalla e da li’ in poi torna tutto come prima.

    Sulla agenzia UE non ci fare affidamento. Se si lamenteranno, le loro osservazioni non sono vincolanti, per cui contano come il due di picche. I tempi UE poi sono lunghi, quindi mi aspetto un qualsiasi intervento ad emergenza finita.

      1. mestesso

        Non essendo un progetto Open nessuno sa nulla. Inoltre Bending Spoon non e’ nota per essere una azienda Open. Usandola e tracciando il traffico passante qualcosa si potra’ capire.

    2. DG

      poi, certamente, una azienda che ha come modello di affari bombardare l’app store di applicazioni fotocopia di utilità marginale, scritte da stagisti pagati come braccianti agricoli, è certamente l’ideale per qualcosa che riguarda la sicurezza nazionale.

  3. devan maggi

    Ma viene tracciato per quanto tempo / quanto spesso due telefoni sono vicini? Se la risposta è no, mi sembra un prodotto sostanzialmente inutile; se sì, mi sa che ci sono problemi di privacy, del tutto analoghi alla geolocalizzazione (che non viene utilizzata, appunto, per motivi di privacy). Come se ne esce?

  4. Mauro ( un altro )

    Ma il bt non arriva intorno ai 10m ?
    In questo momento sono solo in casa e vedo almeno 2 dispositivi BT non miei.
    Vuol dire che mi metterebbero in quarantena se il vicino fosse infetto ?

I commenti sono chiusi.