Il Ministero per l’Innovazione Tecnologica e la Digitalizzazione ha pubblicato recentemente un aggiornamento atto a dare visibilità al “percorso compiuto finora, in attesa dei passi ulteriori nel percorso istituzionale necessario”. Il focus ovviamente sul sistema di contact tracing, ovvero il sistema che consentirà di notificare a una persona la sua eventuale vicinanza (“se è entrato in contatto”), nel periodo di contagio (ad oggi 14 giorni), con altre persone potenzialmente infette o infettabili.
Di questo ci sono due aspetti che meritano un approfondimento tecnico:
«Il sistema di contact tracing dovrà essere finalizzato tenendo in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (PEPP-PT, DP-3T, ROBERT), e in particolare l’evoluzione del modello annunciato da Apple e Google
…
L’applicazione non conserverà i dati relativi alla geolocalizzazione degli utenti, ma registrerà esclusivamente i contatti pseudonimizzati di prossimità rilevati mediante la tecnologia bluetooth low energy»»
“Un aggiornamento sull’applicazione di contact tracing digitale per l’emergenza coronavirus” – Ministero per l’Innovazione Tecnologica e la Digitalizzazione
Chiarendo i tecnicismi presenti nella dichiarazione precedente, sarà possibile permettere a ognuno, in modo autonomo, di soppesare i rischi effettivi indipendentemente dalle posizioni degli uni o degli altri.
Sistemi di contact tracing internazionali
I dati dei contatti di prossimità saranno rilevati mediante tecnologia Bluetooth Low Energy (BLE), la versione a basso consumo che consente di non scaricare troppo la batteria del dispositivo..
Il Bluetooth consente a due dispositivi dotati di questa tecnologia (es smartphone, smart watch, auricolari senza fili o stampanti etc) di scambiarsi file e informazioni quando sono a breve distanza, senza bisogno che ci sia un collegamento fisico tra i due.
Affinché questo sia possibile, i due dispositivi devono prima connettersi scambiandosi dei codici identificativi. Sarà proprio la modalità di generazione e gestione di questi codici a determinare se il sistema di contact tracing sarà centralizzato (tipo PEPP-PT) o decentralizzato (tipo DP-3T e/o quella appoggiata da Apple-Google). Da queste poi alcune varianti (come ROBERT).
Cerchiamo di chiarire meglio questo concetto.
Le differenze cruciali tra soluzioni decentralizzate e centralizzate stanno in risposte diverse alle seguenti domande:
1) Le chiavi che creano questi identificativi anonimi trasmessi in giro dove stanno e chi le genera? (ovvero stanno sul mio dispositivo o su un server centrale?)
Carmela Troncoso – professoressa al Swiss Federal Institute of Technology Lausanne (EPFL) e leader del progetto DP-3T durante il webinar “Privacy & Tracing Apps – Why Standards Matter”
2) Come e dove avviene la decisione di mandare una notifica a qualcuno (sul telefono o sul server)?
3) E quali info sono caricate sul server (solo i miei identificativi o anche quelli di chi ho incontrato)?
In un sistema decentralizzato, come vedremo essere quello pensato da Apple-Google, il mio telefono con un’app compatibile con questo protocollo e attraverso il Bluetooth trasmette in giro, ad altri dispositivi a pochi metri di distanza e dotati della stessa app, dei codici identificativi anonimi, casuali e incomprensibili (la “chiave” per renderli comprensibili sta sul telefonino).
Questi altri dispositivi memorizzano i miei codici per un tot di giorni e a loro volta mandano in giro i loro (a me compresa).
I codici così composti non consentono una identificazione della persona.
Questi codici insieme ai dati sanitari (limitati al coronavirus) e a quelli di tracciamento dei contatti avvenuti vengono creati, memorizzati o gestiti dal singolo dispositivo, al fine di garantire maggior sicurezza. Non ci sono altri dati sul GPS (cioè su dove mi trovo) o sulla mia identità.
Qualora dovessi risultare positiva, sarà il personale sanitario a dovermi chiedere di sbloccare i dati relativi ai contatti avuti per poter informare le persone con le quali sono entrata in contatto nel periodo di contagio e attivare i protocolli di prevenzione previsti dal paese in cui si trovano. È quello che già fanno gli operatori sanitari per mezzo del contact tracing eseguito tramite interviste orali.
Nel dettaglio, i sanitari mi forniranno un codice di sblocco. Questo codice lo userò per trasferire a un server centrale, gestito dalle autorità sanitarie, i codici identificativi che il mio telefono ha trasmesso in giro nei giorni del periodo di contagio.
La app installata sul dispositivo del cittadino interrogherà periodicamente questo server centrale per ottenere la lista con i codici identificativi degli infetti acclarati.
Le app sui telefoni delle persone che in quel periodo sono entrate in contatto con me evidenzieranno un abbinamento tra il mio codice presente nella lista scaricata dal server centrale e quello salvato nel loro telefono. La app, a fronte di questo abbinamento, presenterà sullo schermo una notifica accompagnata dalle istruzione da seguire.
In un sistema centralizzato, invece, i codici identificativi sono generati dal server centrale (e non dal dispositivo dell’utente) attraverso un identificativo di lungo termine e una chiave, e mandati ai telefoni, i quali poi li trasmettono in giro.
Quando qualcuno è infetto carica sul server gli identificativi che ha incontrato.
A quel punto il server centrale usa la sua chiave per decifrare gli identificativi anonimi abbinandoli agli identificativi di lungo termine e usandoli per inviare notifiche agli utenti, quindi la decisione sull’invio della notifica avviene sul server.
Quindi, per riepilogare, il server centrale:
- nella soluzione decentralizzata ha solo la lista di identificativi temporanei degli infetti;
- in quella centralizzata è in una posizione di potere e “trust”, un termine tecnico che in sostanza indica che bisogna fidarsi di quello che fa e di chi lo gestisce, del fatto che gli identificativi inviati a qualcuno siano davvero casuali, del fatto che i dati sui contatti non siano lavorati in un grafo sociale, e del fatto che quei dati verranno cancellati a un certo punto.
La collaborazione Apple e Google
Lo scorso 10 aprile è stato annunciato l’avvio di una task force congiunta tra due big del Tech, Apple e Google, che gestiscono i sistemi operativi della quasi totalità degli smartphone.
Obiettivo, dare un contributo per il monitoraggio e contenimento della diffusione della pandemia da Covid-19.
La soluzione da loro proposta, di tipo decentralizzato, è stata ribattezzata come tecnologia di “notifica di esposizione” (exposure notification). Per ribadire la presa di posizione pro-privacy.
Si realizzerà in due fasi e avrà l’obiettivo di allargarne al massimo l’adozione, che sarà comunque su base volontaria.
In una prima fase, che dovrebbe concludersi entro metà maggio, saranno rese disponibili le prime API (Application Programming Interface), ossia le funzioni che consentiranno l’interoperabilità tra dispositivi Android e iOS utilizzando le app di contact tracing realizzate nei vari paesi del mondo, Italia compresa.
L’uso di queste API rimane opzionale: i governi – come vorrebbe fare quello del Regno Unito – sono liberi di sviluppare una soluzione alternativa.
In una seconda fase, che arriverà nei mesi prossimi, Apple e Google lavoreranno per rendere disponibile una più ampia piattaforma di contact tracing basata su Bluetooth, integrando questa funzionalità nei sistemi operativi.
A quel punto l’operazione sarà sganciata da una app specifica e, con lo stesso meccanismo di prima: se il sistema riconoscerà tra i suoi contatti uno segnalato come positivo, manderà la notifica per scaricare i programmi di prevenzione dal coronavirus.
I portavoce di Apple e Google hanno chiarito:
- che stanno lavorando con le autorità e i governi per favorire un’implementazione del sistema in ottemperanza a tutte le imposizioni locali sulla localizzazione del server (quello usato da “Immuni”, ad esempio, dovrà trovarsi per decreto sul territorio italiano);
- la soluzione non prevede inoltre alcun tipo di acquisizione dei dati di localizzazione tramite il GPS.
Il consorzio PEPP-PT
A inizio aprile è nata una coalizione europea di ricercatori chiamata PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing). Una organizzazione no-profit che comprende oltre 130 tra scienziati, tecnici ed esperti di otto nazioni europee.
Voleva creare un approccio standardizzato per le app di contact tracing più pro-privacy, basato su Bluetooth (e non su geolocalizzazione GPS), sostenendo sia un approccio centralizzato sia uno più decentralizzato.
Infatti faceva parte della coalizione anche un gruppo specifico di ricercatori con relativo progetto/protocollo, chiamato DP-3T, che aveva creato una delle soluzioni più “top di gamma” in termini di privacy, anonimizzazione, decentralizzazione.
Improvvisamente, quando la coalizione ha virato sul centralizzato, il gruppo DP-3T se n’è andato accusandola di malafede, opacità e quanto altro.
Ad oggi quello che si sa in merito al consorzio PEPP-PT è che:
- non ha ancora pubblicato codice o protocolli per permettere uno scrutinio da parte di altri;
- ha avanzato una richiesta ad Apple e Google, chiedendo di cambiare il funzionamento delle loro API perché, secondo le bozze rilasciate dai due colossi, il modo di funzionare del sistema Apple – Google non è esattamente integrabile con quello che ora il consorzio PEPP-PT ha deciso di adottare;
- la Bending Spoons, la società che svilupperà la app italiana Immuni, ne fa parte.
[AGGIORNAMENTO del 29 Aprile 2020: con il il Decreto Giustizia viene ufficializzato che la app Immuni adotterà il modello decentralizzato basato sulla soluzione Apple-Google]
A gran voce si chiede il decentralizzato
Oltre 300 accademici e ricercatori (tra cui 8 italiani) di oltre 25 paesi stanno chiedendo un approccio decentralizzato, trasparente e “privacy-by-design” per il sistema di tracciamento dei contatti Covid-19 in una lettera aperta:
«Alcune delle proposte basate su Bluetooth rispettano il diritto alla privacy dell’individuo mentre altre consentirebbero una forma di sorveglianza del governo o del settore privato che ostacolerebbe catastroficamente la fiducia e l’accettazione di tale applicazione da parte della società in generale»
Degli 8 sottoscrittori italiani spicca il nome del professor Ciro Cattuto, data scientist e digital epidemiologist dell’Università di Torino ma anche membro della Fondazioni Isi. Proprio l’istituto di ricerca sui Big Data torinese che faceva parte in origine dell’iniziativa PEPP-PT e che oggi non compare più tra gli aderenti.
«PEPP-PT ha svolto un ruolo chiave nel plasmare il discorso pubblico sulla traccia dei contatti. Tuttavia, le ambiguità in materia di governance e comunicazione sollevano preoccupazioni e la fondazione Isi ha deciso di ritirarsi. L’attuale crisi sanitaria richiede i più alti standard di apertura e trasparenza»
Twett di Ciro Cattuto
Dello stesso parere il Nexa Center for Internet and Society del Politecnico di Torino che, sempre con una lettera aperta indica:
«La memorizzazione dei dati deve essere completamente decentralizzata. I dati, opportunamente protetti con sistemi di anonimizzazione o di pseudonimizzazione, devono essere conservati localmente sui dispositivi, dove deve avvenire anche il calcolo del rischio di infezione. Se sarà necessario l’utilizzo di server centrali, dovranno essere trasmesse a tali server soltanto chiavi anonime e temporanee corrispondenti agli utenti infetti, in mondo che non sia consentito di risalire all’identità delle persone. La soluzione decentralizzata risponde appieno all’esigenza, propria dell’intera normativa a protezione dei dati, di lasciare ai cittadini il controllo sulle loro informazioni personali. È un elemento fondamentale che può agevolare la fiducia e la collaborazione e sottrae a qualsivoglia autorità, agenzia o soggetto la possibilità di usi impropri di dati sanitari che come noto possono avere alto valore commerciale e di “intelligence”.»
La scelta degli stati europei
Sono 12 i paesi dell’Unione che stanno arruolando tecnologie per monitorare la diffusione del Covid-19.
Proprio perchè si vogliono riaprire quanto prima le frontiere, lo scorso 15 aprile la Commissione Europea ha pubblicato le linee guida per la realizzazione di app finalizzate al tracciamento dei contagi.
Il parlamento Europeo, in una risoluzione, ha spinto per una soluzione decentralizzata.
Francia e UK starebbero sviluppando delle app basate su protocolli centralizzati.
Germani, Spagna, Austria, Svizzera useranno app basate su DP-3T (quindi protocollo decentralizzato)
Al momento in merito al tipo di sistema utilizzato dalla app Immuni non ci sono dichiarazioni ufficiali e siamo in una condizione di stallo.
Pare che dopo un primo orientamento apparentemente centralizzato ci sia una virata verso una soluzione decentralizzata.
L’app Immuni per il tracciamento contatti coronavirus cambierà, ormai è deciso: e seguirà il modello più protettivo della privacy (“decentralizzato”), che è anche quello voluto da Google e Apple. Una scelta ormai definitiva, a quanto apprende il Sole24Ore da tutte le fonti direttamente impegnate sull’app. E anche obbligata. Per due motivi: per tutelare con maggiore forza la privacy e la sicurezza dei dati; per avere un’app che vada al meglio, dato che non rispettare le indicazioni di Apple-Google significava probabilmente condannarsi a mal funzionamenti.
Il Sole 24 ore
Non ci resta dunque che attendere una conferma dal governo, con tanto di dettagli tecnici.
[AGGIORNAMENTO del 29 Aprile 2020: con il il Decreto Giustizia viene ufficializzato che la app Immuni adotterà il modello decentralizzato basato sulla soluzione Apple-Google]