Immuni: spunti di riflessione sulla discussa app di tracciamento anticontagio
Se ci aspettiamo che una macchina sia infallibile, non potrà essere anche intelligente.
Alan Turing
L’app Immuni, su cui si dovrebbe poggiare la Fase Due per il contenimento dell’emergenza Covid-19, tramite attività cd. di contact tracing, è stata sviluppata dalla società Bending Spoon (in partnership con Jakala e Santagostino), compagine meneghina tra i maggiori sviluppatori europei nel settore delle applicazioni ludiche. Costituita a Copenaghen nel 2013 – ma con sede a Milano – da cinque fondatori, quattro italiani e un polacco, è formata da un azionariato così articolato: i fondatori detengono un 80% delle quote, il 15% è detenuto (in stock options) dai dipendenti/collaboratori, mentre il restante 5% è ripartito tra 3 azionisti minoritari, con un 2% al NUO Capital, fondo lussemburghese operante con finanziamenti cinesi, un altro 2% alla Tamburi Investment Partners, operato per mezzo della SrL StarTip, mentre il restante 1% è nelle mani della H14, holding dei fratelli Berlusconi (la prole di seconde nozze).
Ma come si arrivati a scegliere Immuni? Ora, sorvolando sulle tempistiche e relativi bandi di gara per l’individuazione delle tecnologie utili al contenimento epidemico, sintetizziamola così: al ministero sono arrivate 1.533 proposte di dispositivi tecnologici nel campo della prevenzione e del monitoraggio pandemico da Covid-19; 823 progetti, divisi tra app e software, per il controllo dei contagi da coronavirus (319), e altre proposte tecnologiche nel settore della telemedicina (504).
In circa dieci giorni, il gruppo dei 74 esperti nominati dal Ministro Pisano – tra cui figura il prof. Colapietro, direttore del master in protezione dei dati dell’Università Roma Tre – analizzava tutte le proposte ricevute, scegliendo appunto Immuni; tra le tante escluse c’era l’app di un’eccellenza accademica mondiale nel campo dell’ingegneria: il MIT (Massachusetts Institute of Technology) di Boston, USA.
È bene chiarire come il tracciamento dei contagi sia una procedura standardizzata dall’OMS, utilizzata per le malattie infettive, seppur condotta con procedura manuale dal personale medico, mediante l’intervista sanitaria del paziente.
Vediamo ora sommariamente il funzionamento dell’applicazione Immuni, cominciando col dire quello che non potrà fare questa applicazione.
Sicuramente non ci dirà mai se e dove incontreremo persone infette, per due semplici ragioni: la prima è che nessuna applicazione, ad oggi, è in grado di prevede il futuro – domani chissà -, mentre la seconda è molto più banale, perché se qualcuno è clinicamente positivo è già in regime di quarantena, e anche qualora violasse l’isolamento, beh… mai si sognerebbe di comunicarlo tramite un’app!
Ma allora, cosa fa davvero Immuni? Sicuramente raccoglie, in campo sanitario, una serie di dati utili al tracciamento dei possibili infetti: appunto, il contact tracing.
L’App è basata sulla generazione casuale, tramite algoritmi crittografici, di una TEK (Temporary Exposure Key) dove, ad intervalli di 10 minuti e per ogni singola chiave TEK, verrà generato un identificativo di prossimità RPI (Rolling Proximity Identifier): dunque, tanto le TEK quanto gli identificativi RPI risultano i cardini fondamentali per il funzionamento di Immuni.
Continuando, per ogni TEK verranno generati RPI fino a un numero massimo di 144, dai quali non sarà mai possibile risalire alla TEK generatrice, identificativi che verranno poi trasmessi dal sistema Bluetooth, attivando in caso di sufficiente prossimità (?) idonea al contagio, uno scambio reciproco di RPI tra i device interconnessi.
Ora, nel caso in cui la persona registrata su Immuni risulti positiva al controllo sanitario – tramite tampone – solamente lei, e non altri, potrà decidere, in maniera del tutto volontaria, se comunicare il suo status di contagio, rendendo pubblica la propria TEK, quale preavviso di un possibile rischio verso altri soggetti con cui ha avuto, nei giorni precedenti, quella sufficiente prossimità utile alla verosimile infezione.
Ebbene, solo nel momento in cui la persona contagiata voglia procedere in tal senso, un operatore sanitario gli chiederà di generare dalla sua app un codice OTP (One Time Password), una credenziale a singola validità, composta da un set di 10 caratteri; poi, comunicata la password all’operatore, attenderà la corretta autorizzazione di risposta che, validandola nuovamente con l’App, permetterà di caricare, in upload, le proprie TEK generate nei precedenti 14 giorni; operazione quest’ultima che andrà però svolta in un tempo prestabilito, ovvero entro 150 secondi dalla ricezione dell’autorizzazione.
A questo punto le TEK verranno inserite nel server (SOGEI) che gestisce i dati di alert, utilizzabili dai vari utenti, mentre il backend di Immuni genererà ogni 30 minuti un file, firmato digitalmente, contenente l’insieme delle TEK dei nuovi soggetti risultati positivi; file che verrà poi eliminato, automaticamente, 14 giorni dopo la sua creazione.
A supporto di ciò, l’applicazione installata verificherà ciclicamente – circa ogni 4 ore – l’esistenza di nuovi aggiornamenti e, acquisendo i nuovi file contenenti le TEK rese pubbliche, eseguirà il match tra gli RPI ricavati dalle TEK scaricate e quelli validati nei precedenti 14 giorni già memorizzati all’interno di ciascun dispositivo, al fine di verificare la presenza di un possibile contatto di sufficiente prossimità con soggetti positivi al Covid-19.
Orbene, quando il contatto supererà effettivamente una soglia di rischio, detta total risk score, valutata per durata e prossimità tra i dispositivi, l’applicazione emetterà una notifica di esposizione, quale alert di possibile infezione; a questo punto, un messaggio inviterà l’utente positivo ad adottare alcune regole comportamentali (come la quarantena volontaria) e l’invito a contattare il proprio medico di famiglia, che provvederà poi a informare il dipartimento di prevenzione della competente ASL.
Bene, dopo aver descritto il funzionamento logico dell’app, veniamo ora al funzionamento fisico vero e proprio, ovvero: quanto è preciso e veritiero il rilevamento dei contagi? E se Immuni non funzionasse, o comunque non funzionasse come previsto?
Il grattacapo dei falsi positivi c’è, ma non ancora affrontato. Di fondo, abbiamo la tecnologia Bluetooth Low Energy (BLE), non pensata per tracciare dispositivi a raggio verificandone la distanza, ma semplicemente per collegarli tra loro.
Per far ciò andrebbe usato uno specifico algoritmo che tenga conto di taluni parametri, come la potenza e la durata del segnale durante la visibilità reciproca, considerando che il valore della potenza sarà attenuato da fattori ambientali: sicuramente maggiore all’aperto, decisamente ridotto dal mezzo (pareti, vetrate, etc) interposto tra i dispositivi, che manterranno comunque l’interconnessione, non desumendone però il reale contagio.
Un esempio banale è quello di un treno AV in transito a Roma Termini che, arrivando al binario per la sosta commerciale – durata media 10/15 minuti – troverà sullo stesso diversi passeggeri in attesa di altro convoglio: Immuni sarà in grado di distinguere fra persone a bordo del treno e quelle presenti all’esterno, che, ovviamente, non entreranno mai in contatto sanitario fra loro?
E ancora: in un normale palazzo ci sono due appartamenti confinanti, uno della scala A, l’altro scala B, divisi solamente da un tramezzo in laterizio dello spessore di 40 cm circa; ddi ue condomini (che neanche si conoscono) uno è positivo, mentre l’altro lo diventerà per il semplice fatto che i loro smartphone entreranno in contatto tecnologico, e senza mai incontrarsi… l’App farà il resto!
Due esempi, per quanto grossolani, che ci raccontano però come un possibile errore, minuscolo ma applicato a un sistema che potenzialmente coinvolge milioni di persone, possa falsare pesantemente la corretta raccolta di dati sanitari, aumentandone esponenzialmente la stima dei reali contagiati.
Del resto, per dimostrare quanto detto possiamo utilizzare l’indice di propagazione R-zero – ne abbiamo sentito parlare in queste settimane -, ovvero la capacità infettiva che un soggetto positivo ha di contagiarne altri, oggi stimato per il Covid-19 con un coefficiente di 2.5 persone sane per ogni positivo.
Banalmente, se descriviamo una semplice esponenziale y=2x dove: 2 è il coefficiente arrotondato, x il numero delle persone incontrate in un giorno, e se consideriamo x=10 le persone incontrate avremo un 210, ma se fossero 100 avremo un 2100, due risultati decisamente ben diversi e molto preoccupanti ai fini medici.
Cambiando argomento, passiamo al tema della compiance in ambito di privacy: il Garante nazionale per la protezione dei dati personali si è espresso al momento favorevolmente, poiché analizzando la valutazione di impatto – seppur in una sorta di in limine litis – ha ritenuto opportuno sottolineare una serie di misure (informativa, possibilità di disattivazione, valutazione di impatto, misure di sicurezza, tempi di conservazione, etc.) volte a rafforzare la sicurezza dei dati delle persone che utilizzeranno l’applicativo, misure che andranno adottate nell’ambito della sperimentazione del Sistema Immuni, così da garantire la risoluzione di ogni residuale criticità.
Inoltre l’Autorità, sotto l’aspetto del trattamento dei dati personali, si è interessata anche dei ruoli dei tre diversi attori coinvolti nella gestione: se da un lato il dicastero della salute è il titolare del trattamento, dall’altro tanto SOGEI – gestore del backend – quanto il MEF – gestore della tessera sanitaria – risulteranno i responsabili esterni del trattamento dati.
Ma il Garante è andato oltre, perché non ha soltanto autorizzato il relativo trattamento dati del contact tracing, ma ha anche consentito la raccolta di ulteriori informazioni, i cd. dati di analytics, per finalità emergenziali di sanità pubblica.
Invero, oltre al Garante, anche il COPASIR ha posto delle osservazioni sull’app Immuni; rilievi contenuti nella relazione inviata alle Camere, dove si evidenziano i rischi sui quali il governo dovrà porre la giusta attenzione: la vulnerabilità in tema di sicurezza informatica, i rischi di possibili attacchi, di sicurezza geopolitica, della sfera privacy e del trattamento dei dati personali ma, soprattutto, l’inopportuna dipendenza che si crea avendo un solo e unico operatore.
Un ulteriore accento è posto dal Comitato sul ruolo che Immuni dovrà avere in supporto al sistema sanitario, tanto da raccomandare che l’uso di tale tecnologia di tracciamento svolga una semplice funzione complementare alle tecniche di tracciamento manuale codificate, evitando che il contact tracing sostituisca l’attività territoriale dei sanitari competenti.
C’è di più: i parlamentari si sono soffermati sulla composizione societaria di Bending Spoons, sottolineando come questa sia, sì, partecipata saldamente da soggetti italiani ma accendendo un’attenta riflessione sul frazionamento del capitale, in particolare su quello detenuto da un fondo internazionale in capo ad una società d’affari (famiglia PAO-Cheng) di Hong Kong, finanziariamente operato da un uomo d’affari cinese.
Peraltro, il Comitato di controllo ci ricorda come la legislazione cinese sulla sicurezza nazionale, obblighi tutti i cittadini e le aziende a fornire un supporto informativo a favore delle autorità militari, di polizia, e alle agenzie di intelligence della Repubblica Popolare Cinese.
In conclusione, anche al di la dell’azione filantropica degli sviluppatori (avranno mai un vantaggio in termini di Marketing & Corporate Intelligence?) e pur tralasciando problematiche tecniche, criticità di privacy e sicurezza nazionale, questioni etico-sociali, insomma, in ultima analisi: ci sono i presupposti di base statistici, rapportati alla popolazione, affinché un’app di questo genere possa avere il giusto risultato anche quando, ad oggi, solo il 50% circa degli italiani ha scaricato un’app “generalista” come WhatsApp?
Articolo a cura di Giovanni Villarosa
Giovanni Villarosa, laureato in scienze della sicurezza e intelligence, senior security manager, con estensione al DM 269/2010, master STE-SDI in sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence.
