Immuni

Non ho scaricato Immuni. È possibile che nel prossimo futuro la scaricherò – insomma la mia non è una posizione aprioristicamente contraria, e comunque in Lombardia non è ancora partita nemmeno la fase di test, quindi che io in questo momento l’abbia scaricato o no è abbastanza irrilevante. Come mai questa mia scelta?

Il problema non è la gestione della privacy. Mi fido che sia stata fatta bene, o se preferite mi fido di chi ha controllato il codice sorgente. Il problema non è nemmeno il famigerato consumo di batteria: tra l’altro chiunque abbia l’app di Facebook ne consuma molta di più, se la cosa non è cambiata dagli ultimi anni quando ho deciso di toglierla una volta per tutte. Non mettetemi insomma tra i complottisti. Il problema è semplicemente che non mi è affatto chiaro che cosa succede una volta che mi arriva la comunicazione di essere stato in contatto con qualcuno che ha avvisato di essere infetto. Sono tutte domande che non sono evidentemente frequenti, o almeno io non ho trovato risposta nelle FAQ. E in effetti questa mancanza di informazioni nelle FAQ ha anche un suo certo senso, visto che la sanità è gestita su base regionale e non nazionale: addirittura a quanto pare i piemontesi non lo vogliono, e mi sembra che anche in Lombardia preferiscano spingere all’uso della loro app AllertaLOM (che ha già altri problemi di suo).

Quello che però non mi pare sia molto considerato è il fatto che un sistema di tracciamento dei contatti, oltre che necessitare di un’alta percentuale di utenti, funziona se chi lo usa sa di guadagnarci. L’altruismo è una bella cosa ma è molto minoritario. Mi sarei insomma aspettato che per esempio chi scopre di essere stato in contatto con una persona infetta da covid-19 potesse essere subito controllato con un tampone. In questo modo il tracciamento funzionerebbe davvero, tra l’altro. Ma vista la tragica situazione lombarda, quello che temo succederebbe è che mi si dica di mettermi in autoquarantena, senza contatti nemmeno con la mia famiglia, e di aspettare un tempo indeterminato ma sicuramente lungo prima che qualcuno si degni di controllarmi. E allora chi me lo fa fare? Certo, posso semplicemente installare l’app e fare finta di nulla se mi arriva una segnalazione: ma la cosa mi pare parecchio egoista.

Insomma, perché si sono messi tutti a controllare la parte tecnica di Immuni, qualcuno ha anche lavorato sulla parte sociale – anche se mi pare ci siano più attacchi che spiegazioni – e nessuno si è dedicato alla parte burocratico-gestionale?

17 comments

  1. Provo a mettermi dalla parte dei cattivi: se garantiscono che chiunque _dica_ di aver ricevuto la notifica di contatto con un positivo viene sottoposto a tampone potrebbe diventare un problema. Il problema inverso l’hanno previsto (puoi segnalarti come positivo solo tramite un codice che comunichi ad un operatore sanitario), ma questo senza perdere l’anonimato non mi viene in mente come si possa sistemare.

    • beh, scusa, quello di farti fare il tampone perché “sei stato nominato” sarebbe una tua scelta specifica. Mostri l’app che te l’ha segnalato, e via. (Se non vuoi farlo sapere, probabilmente non scarichi nemmeno l’app). Non capisco quale sia il problema con l’anonimato.

      • Pensavo: se per ottenere un tampone basta dire aver ricevuto la notifica dall’app ecco che improvvisamente un sacco di buontemponi dicono di averla ricevuta (che vista la scarsità dei tamponi che ci vanno ripetendo da mo’ sarebbe un problema). Scioccamente non ho pensato che nel momento in cui chiedi di fare un tampone dell’anonimato non ti importa più (facepalm ;-))

  2. “cosa succede una volta che mi arriva la comunicazione di essere stato in contatto con qualcuno che ha avvisato di essere infetto”

    Niente. Nel senso che, per evitare problemi normativi vari, il tutto e’ su base volontaria: chi segnale di essere infetto lo fa volontariamente, chi riceve la notifica volontariamente va dal medico. Cosi’ io sapevo.

  3. Anche io mi lamento del fatto che non c’è una riflessione di alto livello sul ruolo dello stato virus-sanitario. Si inizia appena a capire il disastro della modifica del titolo V ma non c’è una riflessione ampia su cosa dovrebbe fare uno stato teoricamente non di religione ultra-liberista.
    Nella pratica a parte la criminalizzazione dei cittadini (sempre falsi invalidi e furbetti del tamponcino), l’individualismo a livello bambino di 3 anni (IO installo e IO prevengo e IO faccio la sanità nazionale e IO…) e il rispetto della concorrenza e delle API USA (di cui c’è il sorgente? compilabile e installabile??) non vedo nulla di nulla.
    Se tutti i professori universitari e gli intellettuali residui non fossero anche “principi della nomina in commissione” forse potrebbero ragionarci.

    P.S.: vedo che in Italia si usa dire “sei stato nominato” ma non l’ho capito. E’ televisivo o pallonaro? Nominato a che?

    • “sei stato nominato” è televisivo, credo dal Grande Fratello quando i partecipanti dovevano indicare chi cercare di far fuori. Però devi chiedere a chi guarda la tv.

      • Ah, quindi è una minaccia di morte! Una specie di “ieri ho visto un killer professionista che usava la tua foto come segnalibro”. Non l’avevo proprio capito…

    • (per le API americane, credo che il sorgente ci sia stato da subito)

      • Nope, delle API americane non mi sembra ci sia il sorgente. C’è un esempio di applicazione e c’è il sorgente del server di backend, ma delle API vere e proprie non c’è traccia.

          • Infatti il sorgente dell’app non è il posto giusto per capire cosa fa davvero, a parte chiamare l’API. E un sorgente che poi non puoi compilare e caricare non dice nulla su cosa è effettivamente in campo.
            Bello però che si siano premurati di diffondere un falso senso di sicurezza psico-informatica, si vede che le authority servono! Viva il prossimo presidente!

          • sinceramente, se non ti fidi della api prodotta da apple+google, dovresti comunque non usare un prodotto di nessuno dei due, visto che hanno in mano gran parte del sistema operativo e sostanzialmente tutti i componenti critici.

            peraltro. android è bombardato da anni di bug paurose (roba attivabile da remoto, che richiede marginale o nessuna interazione utente) ed una percentuale notevole dei terminali è letteralmente impossibile da aggiornare, ma non vedo scene di panico in proposito. (anche ios non scherza, ma la gran parte dei terminali è almeno teoricamente aggiornabile).

            sinceramente non temo tanto la apple/google che mi spiano (perché per scappare da quello, puoi solo rifugiarti in un luddismo hardcore), temo la qualità del software prodotto da dilettanti, spacciati per esperti per giustificarne la selezione.

            dal sorgente, senza nemmeno il bisogno di compilarlo / provarlo – nota, è vero che non puoi usare la api che rilevano i contatti, ma è un problema irrilevante, tanto se volessi realisticamente fare dei test dovresti sostituirla con una simulazione che ti consenta di esplorare tutti i possibili percorsi – già traspare una profonda ingenuità sulle pratiche di sviluppo anche banali.

          • @DG: non ho capito a chi tu ti riferisca quando scrivi “se non ti fidi della api prodotta da apple+google”. Magari l’ho scritto male, ma io personalmente non ho alcun problema da quel punto di vista. Come scrivevo nei commenti al post su FB, il guaio per me è che non c’è un incentivo a segnalarsi positivo (l’incentivo per me è “essere controllato subito”).

          • rispondevo al commento sul fatto che delle api non c’è il sorgente ed al commento che parlava dell’impossibilità di compilare l’app per vedere cosa succede.

  4. @DG: forse ero io. Cmq anche io mi lamento del fatto che gli esperti che dicono “va tutto bene, ho visto il sorgente dell’app e fa quello che le authority tollerano” stanno dicendo qualcosa di estremamente superficiale. Un sorgente che sostanzialmente richiama una app non compilabile, inserito in un sistema chiuso, non può essere compiutamente valutato per quanto intensamente si guardi il codice. Se poi si considera a cosa dovrebbe servire cotanto sforzo ministeriale… si arriva alle conclusioni di .mau. senza neppure passare per la sicurezza.

    • gli esperti si sono provati molto meno esperti di quanto era stato inizialmente pubblicizzato, su questo non ci piove. appunto, perché già guardando il sorgente in maniera superficiale, si vedono una serie di scelte piuttosto ingenue. e quando, di mezzo, c’è la sicurezza, già “ingenuo” significa “enormemente pericoloso”.

      per quello che riguarda compilare l’applicazione, in realtà l’uso delle api non è solo non necessario. è esplicitamente inutile – come vengono determinati i contatti è accessorio rispetto a quello che fa il codice(*) una volta che un contatto è stato notificato – ai fini dell’analisi del comportamento è molto meglio attaccare una api “finta” al codice e stuzzicare i vari comportamenti generando tutte le possibili risposte.

      (*) si parte dal presupposto che i metodi impiegati da apple/google siano ragionevoli, e si parte dal presupposto che se apple/google vuole farsi gli affari tuoi, lo sta già facendo da tempo, con praticamente nulla che l’utente finale possa realisticamente fare per impedirlo