App Immuni decisiva per la fase 2 in Italia. Se per il ministro della Salute, Roberto Speranza, la app “rafforzerà la sanità digitale”, anche partiti della maggioranza invocano un passaggio in Parlamento mentre il Copasir se ne occuperà perché “materia afferente alla sicurezza nazionale”. Ancora tante perplessità e non solo riguardo le specifiche tecniche, circondano il progetto di contact tracing del governo. L’app sarà volontaria. È sicuro? Si baserà su tecnologia bluetooth ritenuta più rispettosa della privacy, ma il sistema sarà open source o meno? Centralizzato o decentralizzato? Perché farà davvero la differenza. Ecco tutti i dubbi e le incognite.
L’APP IMMUNI
Con un’ordinanza del 16 aprile il commissario per l’emergenza Domenico Arcuri ha disposto la stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con Bending Spoons spa, la società sviluppatrice della app Immuni.
L’app è stata scelta perché “ritenuta più idonea per la sua capacità di contribuire tempestivamente all’azione di contrasto del virus, per la conformità al modello europeo delineato dal Consorzio Pepp-pt e per le garanzie che offre per il rispetto della privacy”.
L’AFFILIAZIONE DI BENDING SPOONS AL CONSORZO PEEP-PT
Bending Spoons fa parte dell’iniziativa paneuropea per la tutela della privacy (Pepp-Pt) lanciata a inizio aprile da scienziati di 8 paesi Ue per tracciare la diffusione del nuovo coronavirus tramite app.
Come riportato per la prima volta da Reuters, 130 scienziati, accademici ed esperti di tecnologia si sono riuniti per lanciare formalmente l’iniziativa Pepp-pt ovvero Analisi di prossimità paneuropea nel rispetto della privacy. L’obiettivo è realizzare uno schema di collaborazione per creare app mobili utili per tracciare la diffusione di Covid-19 orientate verso la tutela dei dati personali. Pepp-Pt si concentrerà sullo sviluppo di applicazioni in grado di tracciare i contatti e diffusione della Covid-19 tra i cittadini Ue non solo ora, ma anche potenzialmente in futuro.
CHI PARTECIPA
Come si può leggere sul sito web, l’iniziativa Pepp-Pt dovrebbe essere inquadrata come una organizzazione senza scopo di lucro in Svizzera. Tra i 30 membri accreditati troviamo il Robert Koch Institut, Acticom, Arago, Heartbeat Labs, PocketCampus, Vodafone, 3db e Bending Spoons appunto (qui l’approfondimento di Start sui soci anche asiatici della società).
L’OBIETTIVO
Pepp-Pt consente di “interrompere rapidamente ed efficacemente – secondo i proponenti – nuove catene di trasmissione della Sars-CoV-2 informando le persone potenzialmente esposte”, è scritto sul sito web. “Siamo una squadra europea ampia e inclusiva. Forniamo standard, tecnologia e servizi a paesi e sviluppatori. Abbracciamo un approccio totalmente rispettoso della privacy. Consentiamo di tracciare le catene di infezione attraverso i confini nazionali”.
BLUETOOH PIÙ SICURO DEL GPS
L’app Immuni di Bending Spoons utilizzerà la tecnologia Bluetooth per individuare quando gli utenti sono vicini l’uno all’altro. Lo stesso obiettivo che persegue anche il consorzio Pepp-Pt: ovvero un approccio standardizzato per le app di tracciamento più pro-privacy, basato su Bluetooth (e non su geolocalizzazione, GPS).
I sistemi di contact tracing basati su Bluetooth non usano i dati di geolocalizzazione infatti, ma tracciano solo il fatto che un certo dispositivo si sia avvicinato a un altro, salvando questi eventi sotto forma di un codice identificativo.
ANCHE GOOGLE E APPLE PRONTI A LANCIARE UNA SOLUZIONE GLOBALE
Nel frattempo, dall’iniziativa “paneropea” troviamo anche la risposta statunitense. La settimana scorsa i colossi statunitensi Apple e Google hanno annunciato una partnership per realizzare una soluzione di contact tracing unica che sia utilizzabile globalmente. “Apple e Google lanceranno una soluzione completa che include interfacce di programmazione app (API) e tecnologie a livello di sistema operativo per favorire l’attivazione del tracciamento dei contatti”
La tecnologia Bluetooth su cui stanno lavorando Apple e Google non è molto diversa da quella che Apple sta già utilizzando per il suo servizio Trova il mio iPhone/iPad. Tale servizio utilizza il Bluetooth per inviare segnali, anche quando il dispositivo non ha alcun servizio o non è connesso a Internet.
Questi segnali vengono inoltrati da altri dispositivi vicini, che li inoltrano ai server Apple. Poiché l’intero sistema è crittografato end-to-end, non solo nessuno può accedere alla tua posizione o alle informazioni personali, ma nemmeno Apple potrebbe identificare la posizione del tuo dispositivo. Solo il tuo account personale.
NEL PIENO RISPETTO DELLA PRIVACY
Dunque sistema Bluetooth, base volontaria e soprattutto rispetto della privacy per la soluzione firmata Apple e Google. I registri degli ID digitali coinvolti sarebbero infatti archiviati su server di computer remoti, ma le aziende precisano che questi non potrebbero essere utilizzati per accertare l’identità di un individuo specifico.
L’elenco degli identificativi con cui siamo entrati in contatto non lascia mai il nostro smartphone a meno che non scegliamo di condividerlo. Inoltre, il processo di corrispondenza dei contatti si svolgerebbe sui telefoni anziché a livello centrale. Ciò consentirebbe a qualcuno di sapere se è a rischio di contagio senza che nessun altro venga avvisato. Un sistema decentralizzato in cui nessuno può accedere ai tuoi dati personali.
DOVE NON SI INCONTRANO PEPP-PT E APPLE-GOOGLE
La stessa cosa non si può dire dell’approccio dell’iniziativa Pepp-Pt né di Bending Spoons al momento. Come ha riassunto la giornalista esperta del settore Carola Frediani “nell’ambito dell’uso della tecnologia Bluetooth, spesso definita decentralizzata, ci sono due sottocategorie: una ancora più decentralizzata (tipo DP-3T e/o quella appoggiata da Apple-Google) e una centralizzata. La coalizione Pepp-pt inizialmente diceva di sostenere sia un approccio centralizzato sia uno più decentralizzato (le due sottocategorie citate). Poi improvvisamente ha virato sul centralizzato al punto da fare fuori DP-3T, che a sua volta se n’è andato sbattendo la porta e accusando di malafede, opacità e quanto altro il Pepp-pt, come spiega TechCrunch”.
Questa virata del consorzio Pepp-Pt verso il sistema centralizzato non è piaciuta alla comunità tecnico-scientifica che ha manifestato subito il proprio dissenso.
LA DICHIARAZIONE DI OLTRE 300 SCIENZIATI PER UN’APP DECENTRALIZZATA
Oltre 300 firmatari di oltre 25 paesi stanno chiedendo un approccio decentralizzato, trasparente e “privacy-by-design” per il sistema di tracciamento dei contatti Covid-19 in una lettera aperta.
https://twitter.com/marcelsalathe/status/1252205443360993280
“Alcune delle proposte basate su Bluetooth rispettano il diritto alla privacy dell’individuo” — si legge nella lettera — mentre altre consentirebbero una forma di sorveglianza del governo o del settore privato che ostacolerebbe catastroficamente la fiducia e l’accettazione di tale applicazione da parte della società in generale”.
Inoltre c’è un chiaro segno di apprezzamento per il lavoro svolto da Google e Apple: “Per aiutare lo sviluppo della traccia dei contatti senza un database controllato centralmente che contiene informazioni private sugli individui, Google e Apple stanno sviluppando un’infrastruttura per abilitare le operazioni Bluetooth richieste in modo protettivo per la privacy. I team che sviluppano gli schemi di protezione della privacy supportano pienamente questo sforzo poiché semplifica e quindi accelera la capacità di sviluppare tali app. Apprezziamo questa iniziativa e avvertiamo di non raccogliere informazioni private sugli utenti”.
Non solo, accusano velatamente chi si vuole discostare dal modello di Google e Apple “Alcuni che cercano di costruire sistemi centralizzati stanno facendo pressione su Google e Apple affinché aprano i loro sistemi per consentire loro di acquisire più dati”.
I FIRMATARI ITALIANI
Tra i firmatari italiani troviamo 8 professori: Prof. Rainer Bauböck dell’European University Institute di Firenze, Prof. Carlo Blundo dell’Università di Salerno, Prof. Dario Catalano dell’Università di Catania, Prof. Ciro Cattuto dell’Università di Torino, Prof. Giovanni Comandé della Scuola Superiore Sant’Anna Pisa, Prof. Mauro Conti dell’Università di Padova, il Prof. Giuseppe Persiano dell’Università di Salerno, il Prof. Daniele Venturi dell’Università La Sapienza di Roma e il Prof. Ivan Visconti dell’Università di Salerno.
LA FONDAZIONE ISI DI TORINO SI È FATTA DA PARTE
Degli 8 sottoscrittori italiani spicca il nome del professor Ciro Cattuto, data scientist e digital epidemiologist dell’Università di Torino ma anche membro della Fondazioni Isi. Proprio l’istituto di ricerca sui big data torinese che faceva parte in origine dell’iniziativa Pepp-pt (insieme alla Bending Spoons) come si legge anche in un articolo di Der Spiegel a inizio aprile. Faceva parte appunto. Se andate ora sul sito del consorzio Pepp-pt, la Fondazione Isi non compare più tra gli aderenti.
Proprio due giorni fa il professor Cattuto ha scritto su Twitter che “Pepp-Pt ha svolto un ruolo chiave nel plasmare il discorso pubblico sulla traccia dei contatti. Tuttavia, le ambiguità in materia di governance e comunicazione sollevano preoccupazioni e la fondazione Isi ha deciso di ritirarsi. L’attuale crisi sanitaria richiede i più alti standard di apertura e trasparenza”.
PEPP-PT has played a key role in shaping the public discourse on contact tracing. However, ambiguities on governance & communication raise concerns, and @ISI_Fondazione has decided to withdraw. The ongoing health crisis calls for the highest standards of openness & transparency.
— Ciro Cattuto (@ciro) April 19, 2020
APP IMMUNI CON SERVER CENTRALIZZATO DUNQUE?
“PEPP-PT è diventato un database centralizzato poco trasparente e inedito di dati” ha dichiarato qualche giorno fa anche Michael Veale, Docente di diritti digitali e regolamentazione dell’Università di Londra e membro del DP-3T.
Remember this? PEPP-PT has (without notice) removed #DP3T's decentralised, privacy-preserving approach from its site. PEPP-PT stands now ONLY for an intransparent, unpublished centralised database of Bluetooth social graph data, prone to leakage and function creep. https://t.co/S3LHr0fmfM
— Michael Veale (@mikarv) April 16, 2020
Come sottolinea Dday.it, il sistema Pepp-pt “è quello su cui si basa l’applicazione italiana. Fino ad oggi non sapevamo molto di questa applicazione: ora sappiamo che quasi sicuramente sarà con server centralizzato e non utilizzerà le api di Google e Apple”.
IL TWEET DI ALBORGHETTI
Bisogna rimanere sull'obiettivo. Qualsiasi soluzione tecnologica DEVE essere #opensource e #freesoftware. Se è trasparente ovvero codice aperto non possono nascondere nulla. Mangereste un cibo senza conoscere gli ingredienti? https://t.co/o8Cu6lhzmZ @StartMagNews
— giordano alborghetti (@giordi63) April 20, 2020
APP ALMENO VOLONTARIA?
Dunque se l’app Immuni non sarà decentralizzata, come gli esperti auspicano per una reale tutela della privacy, dovrebbe almeno essere volontaria. Il condizionale è d’obbligo. Il commissario Arcuri ha dichiarato che l’app verrà utilizzata volontariamente, in linea con le raccomandazioni dell’autorità italiana per la protezione dei dati e le norme europee sulla privacy.
O FORSE NO?
Ma forse non potrebbe essere così. “Oggi si scopre che pur di farla scaricare almeno al 60% degli italiani cosicché possa essere efficace, potrebbe essere resa quasi obbligatoria. Ovvero per chi non la sceglierà, ci potrebbero essere forme di limitazione della mobilità”. Ha dichiarato Federica Zanella di Forza Italia, componente della Commissione Telecomunicazioni della Camera.
Dello stesso parere anche il deputato del Pd Filippo Sensi: “Leggo di restrizioni per chi non scaricherà la app di tracciamento, un robusto nudge per incentivare il download. Decisioni che mettano capo a cittadini di serie A e di serie B sono contro la Costituzione. Il sistema a punti lasciamolo ai paesi autoritari. Sicurezza è libertà”.
PER APP IMMUNI SERVE LEGGE?
Il commissario Arcuri ha firmato dunque l’ordinanza, ma in molti si chiedono se sia doveroso un passaggio parlamentare piuttosto che un semplice atto amministrativo. In questa direzione stanno spingendo parlamentari sia di della maggioranza sia dell’opposizione.
“È necessario che la materia venga esaminata dalle Camere, come già richiesto dalla Commissione Trasporti di Montecitorio, nell’auspicio di giungere a una norma condivisa.
Vanno assicurati la proprietà e la gestione pubblica dei dati e l’assenza di discriminazioni fra cittadini nel pieno rispetto della privacy”. Ha dichiarato il capogruppo del Partito democratico (parte della coalizione di governo) alla Camera Graziano Delrio.
CASSESE STRONCA CONTE E ARCURI: PER L’APP IMMUNI SERVE UNA LEGGE, NON BASTA UN’ORDINANZA
D’accordo anche la leader di fratelli d’Italia Giorgia Meloni: “È assolutamente impensabile che basti una semplice ordinanza per diffondere il software: un passaggio in Parlamento è d’obbligo”.
“In gioco ci sono i principi cardine della nostra Costituzione” ha sottolineato in una nota Mara Carfagna, vicepresidente della Camera e deputata di Forza Italia. Il Parlamento ha il dovere, oltre che il diritto, di esprimersi per tutelare, nonostante l’emergenza, i diritti fondamentali degli italiani che è chiamato a rappresentare”.
“Sulla ‘app Immuni‘ sono evidenti alcune gravi criticità, da molti sollevate, tra le quali: chi gestisce i dati raccolti, dove vengono conservati e per quanto e di chi è la proprietà dei dati? Garantire la protezione di diritti e dati privati degli Italiani per la Lega è fondamentale, la strada scelta dal governo è pericolosa. La nostra libertà non è in vendita”. Ha dichiarato il segretario della Lega Matteo Salvini.
ALL’ORDINE DEL GIORNO DEL COPASIR
Nel frattempo il Copasir — Comitato parlamentare per l’ordine e la sicurezza — si occuperà del tema della app per il contanct tracing durante la riunione convocata mercoledì.
Lo ha riferito all’Agi il deputato e componente del Copasir, Enrico Borghi per il quale la app “non deve essere invasiva per la vita dei cittadini, ma deve anche essere a prova di bomba per quello che riguarda la possibilità che i dati personali divengano obiettivi di Paesi stranieri. Il tema sarà perciò vagliato”.
IN ARRIVO IN SETTIMANA LE LINEE GUIDA DEL GARANTE EUROPEO PER LA PRIVACY
Infine, anche il garante europeo sulla protezione dei dati personali è tornato sulle app di tracciamento. “Legittimità, trasparenza e proporzionalità dovrebbero accompagnare qualsiasi misura intesa a combattere la pandemia Covid-19”. L’ufficio del garante europeo precisa di non esprimersi direttamente sulla app dell’Italia, “in quanto la competenza non e’ nostra ma dei garanti nazionali, in questo caso del garante della privacy italiano”.
Tuttavia sull’utilizzo di app per il ‘contact tracing’, “nel cui discorso rientra anche l’app sviluppata in Italia”, rimanda alla posizione espressa alcuni giorni fa sulle garanzie da fornire e sulle tecnologie che possono offrire più sicurezza in termini di tutela della privacy, ad esempio il ricorso al Bluetooth”. Il garante Ue “sta lavorando a delle linee guida per i garanti nazionali che verranno pubblicate in settimana”, aggiunge l’ufficio Ue.
Articoli correlati
De-escalation in corso fra Israele e Iran? Analisi e commenti
La sbandata di Cybertruck: cosa è successo al fuoristrada di Tesla
Ecco la carica degli abbonati di Netflix (celata dall’anno prossimo)
Cosa non va con Tsmc
