Una delle strategie che i governi europei e mondiali pensano di utilizzare per gestire la cosiddetta “Fase 2” della pandemia di coronavirus riguarda il tracciamento dei contatti delle persone attraverso una app. Negli ultimi giorni in Italia si è sviluppato un fervente dibattito su quella che ormai è più che un’ipotesi, al punto che il governo ha stipulato un accordo con gli sviluppatori di una app che si chiamerà “Immuni”.
Nei primi giorni che hanno seguito l’annuncio si è alzata una fitta coltre di confusione su come effettivamente funzionerà l’applicazione, sull’effettiva possibilità dei cittadini di utilizzarla o meno e sui rischi per la privacy e la sorveglianza in mano allo Stato.

La confusione è alimentata da molti fattori. Da un lato la scarsa conoscenza e consapevolezza che molti hanno su come funzionano le nuove tecnologie. Sui social network, ad esempio, non è raro imbattersi in post che confondono la profilazione commerciale con la geolocalizzazione o il tracciamento che, pur riguardando tutti la privacy, sono aspetti diversi che riguardano anche dati personali potenzialmente diversi. “Se usate Facebook siete già controllati e potete scaricarvi la app”, ha scritto qualcuno. Ma non è esattamente così.
Dall’altro lato, l’iniziale poca trasparenza da parte del governo e degli sviluppatori stessi della app ha alimentato i dubbi, le perplessità e anche i sospetti. Ieri, però, il Ministero dell’Innovazione Tecnologica ha diffuso un comunicato che chiarisce molti aspetti.

Tracciamento, come funzionano le app

Per spiegare in modo chiaro ma puntuale lo scopo, il funzionamento e i rischi connessi alle app di contact tracing ci siamo affidati ad Andrea Gadotti, ricercatore in Computational Privacy all’Imperial College di Londra.
“L’attività di contact tracing esiste da molto tempo – precisa il ricercatore – però adesso se ne sta parlando per utilizzarla sugli smartphone in modo più o meno automatico. Le app di questo tipo, in teoria, dovrebbero essere semplicemente un modo per permettere agli individui di sapere se sono entrati in contatto con delle persone potenzialmente infette”.

Il funzionamento di queste app può avvenire in due modi diversi. Da un lato utilizzando il Gps, quindi la geolocalizzazione, dall’altro utilizzando la tecnologia Bluetooth.
“Quasi tutte le proposte avanzate per il funzionamento di queste app hanno accantonato l’idea di utilizzare il gps – spiega Gadotti – perché quei dati, dal punto di vista della privacy sono molto più sensibili, perché sono più facili da reidentificare”.
Tutte le app in discussione, dunque, utilizzano la tecnologia Bluetooth, che è quella che entra semplicemente in comunicazione con gli altri smartphone nelle vicinanze, ad esempio segnalando la presenza di una persona potenzialmente infetta.

I problemi, però, non sono definitivamente risolti, perché tutte le app di contact tracing devono mandare qualche tipo di informazione a un’autorità centrale, che potrebbe essere il Ministero della Salute. Questa autorità dovrebbe solo avvisare i contatti a rischio e non è necessario che sappia l’identità di questi ultimi. Affinché ciò avvenga, possono essere utilizzati dei codici numerici al posto dei nomi. Fin qui tutto bene.
“Il problema è che in alcuni casi questi codici numerici – osserva il ricercatore – possono essere re-identificati e quanto è facile farlo dipende dal protocollo che gestisce questi dati”.

In alcuni protocolli c’è il potenziale rischio che un’autorità sociale possa ricostruire il “grafo sociale” della popolazione, cioè la cronologia di chi è entrato in contatto con chi. “In uno scenario distopico – prosegue Gadotti – l’autorità centrale potrebbe addirittura ricostruire tutti gli spostamenti di tutte le persone e ciò potenzialmente darebbe il via ad una sorveglianza di massa governativa. Ciò potrebbe ovviamente colpire gruppi di attivisti o minoranze a rischio di discriminazione”.

In quale categoria si colloca l’app “Immuni”

Sull’app “Immuni”, quella che il governo italiano intende adottare, non si avevano molti dettagli fino a martedì scorso, quando è arrivato il comunicato del Ministero dell’Innovazione che ha chiarito molti dubbi.
“Nel comunicato ci sono alcuni punti molto positivi – osserva Gadotti – Il primo è che il codice dell’app sarà completamente libero e aperto, in modo che gli esperti di sicurezza, ma anche ogni cittadino, possano verificare il reale funzionamento. Il secondo aspetto positivo è che anche l’app ‘Immuni’ non utilizzerà i dati sulla geolocalizzazione”.

Per quanto riguarda il protocollo utilizzato, invece, entrano in campo Google ed Apple, che nei giorni scorsi hanno annunciato di voler implementare gli smartphone che loro controllano con il protocollo più rispettoso della privacy tra quelli proposti da alcuni gruppi di ricercatori.
“Immuni”, in questo scenario, adotterebbe due fasi. Nella prima utilizzerebbe un protocollo contestato da diversi esperti, adeguandosi in un secondo momento, una volta che Google ed Apple avranno rilasciato l’aggiornamento, ad uno standard più sicuro.

Come dovrebbe comportarsi il cittadino?

Se la app che verrà utilizzata in Italia non è completamente esente da rischi, almeno nella fase iniziale della sua adozione, come dovrebbe comportarsi il cittadino? Aspettare che subentri l’aggiornamento di Google ed Apple?
“Questa decisione spetta al singolo – risponde il ricercatore – Uno dei principi importanti per la privacy è il controllo sui propri dati, che può essere messo in pratica solo se c’è un’informazione dettagliata sul funzionamento e il cittadino capisce anche i rischi. Io mi auguro che il governo e i giornalisti facciano anche più chiarezza su quali saranno i meccanismi finali dell’app”.

ASCOLTA L’INTERVISTA AD ANDREA GADOTTI: