[Guerre di Rete] Contact Tracing: a che punto siamo
Le ultime novità e analisi sulle proposte di tracciamento contatti
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.66 - 12 aprile 2020
Oggi si parla di:
- tracciamento contatti
Intanto Buona Pasqua. Questa newsletter oggi esce un po’ più ridotta per le festività, ma ho deciso ugualmente di uscire (solo giornalisticamente, tranquilli) per seguire alcuni temi importanti che si stanno sviluppando in questi giorni, soprattutto quello del contact tracing. È importante monitorarlo bene ora e stare attenti a come verrà sviluppato dai governi perché potrebbe incidere su aspetti importanti delle nostre società, specie in Paesi democratici.
Dunque, a che punto siamo con questa storia delle app di tracciamento dei contatti? Ne avevo scritto la scorsa settimana in questo approfondimento per Valigia Blu (se non lo avete letto e vi interessa il tema meglio partire da lì). Nel mentre sono arrivate sia diverse novità, sia nuove considerazioni da più parti.
L’app italiana: a che punto siamo
Tanto per cominciare la ministra dell’innovazione Paola Pisano è intervenuta in Commissione Trasporti della Camera per spiegare a che punto è il processo di adozione di una serie di tecnologie per il monitoraggio dell’epidemia, e grande attesa c’era ovviamente per la questione della app di tracciamento dei contatti.
Qui di seguito mi limito a riportare quanto uscito sui media.
La valutazione delle proposte sarebbe già terminata, e secondo la ministra l’app dovrebbe avere le seguenti caratteristiche: “non ha l’obiettivo di geolocalizzazione ma quello di tracciamento/memorizzazione per un determinato periodo di tempo degli identificativi dei cellulari con il quale il nostro è venuto in contatto ravvicinato. Questo accade se in entrambi i cellulari è presente l'applicazione di tracciamento”.
Quindi - scrive il Foglio - la app farà utilizzo della tecnologia bluetooth, non ci sarà tracciamento degli spostamenti degli utenti, e userà metodi di anonimizzazione per evitare che le persone contagiate siano identificate.
“Secondo Pisano i dati raccolti dalla app quando entra in contatto con un altro cellulare dotato di app saranno di tre tipi: l'identificativo dell'altro cellulare, la distanza del contatto (cioè a quanti metri l'uno dall'altro si trovavano i due utenti) e la sua durata. Il fatto che ancora non siano stati individuati i soggetti pubblici a cui sarà affidata la gestione della app e dei dati che la app produrrà è sintomo del fatto che alcune parti (fondamentali) del progetto sono molto lontane dalla realizzazione”.
I dati - scrive La Stampa - rimarranno sul dispositivo dell’utente, ma a un certo punto necessariamente dovranno confluire in un sistema centrale di controllo: “verranno raccolti da un soggetto pubblico competente”, saranno cancellati quando non serviranno più, il codice della app sarà aperto, la app su base volontaria, per la sua efficacia servirà il 60 per cento di adozione.
Specifica di più StartMag: “Il ministro ha anche chiarito “che raggiunta la finalità perseguita, tutti i dati ovunque e in qualunque forma conservati, con l’eccezione di dati aggregati e pienamente anonimi a fini di ricerca o statistici, siano cancellati con conseguente garanzia assoluta per tutti i cittadini di ritrovarsi, dinanzi a soggetti pubblici e privati, nella medesima condizione nella quale si trovavano in epoca anteriore all’utilizzo della app di contact tracing”.
Il Garante per la Privacy, Antonello Soro, ha posto alcuni paletti - scrive Ansa - come la necessità di una legge o di un decreto legge per la sua implementazione e la necessità di un "consenso non condizionato" da parte del singolo cittadino.
Quindi ricapitolando: i principi su cui dovrebbe basarsi la app sono: codice aperto, volontarietà, uso del Bluetooth per tracciare contatti di prossimità e non geolocalizzare le persone, minimizzazione dei dati e cancellazione una volta raggiunta la finalità, gestione da parte di un soggetto pubblico.
Ma la finalità qual è? E qui la risposta non può essere solo quella di “tracciare i contatti dei contagiati”. Una volta raccolti i contatti di un contagiato, cosa succede, a livello individuale, al singolo, ma anche a livello globale? Che procedure sanitarie si attiveranno, e sono in grado di scalare su numeri che potrebbero essere molto consistenti? Come si integrano i dati della app col resto delle misure da prendere e le risorse del sistema sanitario? Con la capacità di fare test o di assistere persone che devono stare isolate? O la si userà solo per mettere in quarantena volontaria e fai-da-te migliaia di persone che secondo la app sono state vicine a un contagiato? e staranno in quarantena in casa con altre persone? e loro come si comporteranno?
(Anche sulla cancellazione dei dati, se si dice che verrà fatta al raggiungimento della finalità bisogna specificare quale sia e quando verrà raggiunta)
Le due app in pole position nella chiamata del ministero - Wired Italia
La necessità di un approccio europeo unico
Sulla questione è però intervenuto anche il Garante europeo per la protezione dei dati. “Molti Paesi dell’Unione europea, Italia compresa, stanno sviluppando l’app per fronteggiare la diffusione del virus - scrive Key4biz - ma proprio per evitare una soluzione digitale diversa per ogni Stato e non a prova di privacy che il Garante europeo per la protezione dei dati, Wojciech Wiewiórowski, è stato costretto a lanciare un appello, sia in forma scritta sia in video, a tutti gli Stati membri per lavorare insieme per sviluppare un’unica applicazione mobile per il contact tracing rispettosa dei dati sanitari anche in un periodo di emergenza, in grado di garantire trasparenza e proporzionalità dei dati ed un uso temporaneo dell’app.
Anche la Commissione europea è intervenuta con una raccomandazione. Che cosa dice? Innanzitutto chiarisce (e qui lo chiariamo per l’ennesima volta) che “il tracciamento dei contatti implica che le autorità sanitarie pubbliche individuino rapidamente tutti i contatti di un paziente Covid-19 confermato, chiedano loro di autoisolarsi, li sottopongano rapidamente a test e li isolino se sviluppano sintomi” (dunque se non siamo in grado di farlo o non è questo che vogliamo ottenere la app non serve). Poi mette in guardia dalla frammentazione degli approcci, non va bene in sostanza che ogni Stato vada per conto suo, anche perché serve interoperabilità fra queste applicazioni. E poi specifica che “un approccio comune dell'Unione alla crisi Covid-19 si è reso necessario anche perché le misure adottate in certi paesi, quali il tracciamento delle persone basato sulla geolocalizzazione, l'uso della tecnologia per calcolare il livello di rischio sanitario rappresentato da un individuo e la centralizzazione dei dati sensibili, sollevano interrogativi che riguardano numerosi diritti e libertà fondamentali [grassetti miei] garantiti nell'ordinamento giuridico dell'UE, tra cui il diritto alla tutela della vita privata e il diritto alla protezione dei dati personali. Ad ogni buon conto, a norma della Carta dei diritti fondamentali dell'Unione europea le restrizioni all'esercizio dei diritti e delle libertà fondamentali ivi enunciati devono essere giustificate e proporzionate. Siffatte restrizioni dovrebbero, in particolare, avere carattere temporaneo”.
La raccomandazione prosegue ricordando che “l'Organizzazione mondiale della sanità e altri organismi hanno inoltre lanciato un monito riguardo al rischio che applicazioni e dati inesatti potrebbero portare alla stigmatizzazione di persone che condividono determinate caratteristiche a causa del nesso percepito tra tali caratteristiche e la malattia. Conformemente al principio della minimizzazione dei dati, le autorità sanitarie pubbliche e gli istituti di ricerca dovrebbero trattare i dati personali solo nella misura in cui questi ultimi siano adeguati, pertinenti e limitati a quanto necessario, e dovrebbero applicare opportune garanzie, tra cui la pseudonimizzazione, l'aggregazione, la cifratura e il decentramento dei dati. L'efficacia delle misure di cibersicurezza e di sicurezza dei dati è fondamentale per proteggere la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati”
Chiaro no?
Fare prima un pilota
Quali soni i fattori che dovrebbero guidare la scelta di una app di tracciamento dei contatti a fini di contenimento dell’epidemia? si chiede uno studio dell’Institute for the Future. Il contact tracing, una attività fatta normalmente intervistando il soggetto contagiato per identificare chi è stato a suo stretto contatto, si sta digitalizzando. A prima vista questo nuovo approccio basato sui “big data” può sembrare una alternativa promettente o una strategia complementare. Al momento però le prove della sua efficacia nel gestire epidemie sono limitate, scrivono i ricercatori. Se in alcuni contesti si ritiene (ma non ci sono le prove) che abbiano aiutato a controllare e ridurre il carico di infezioni (come col COVID-19 in Cina e Corea del Sud) in altri sono state deludenti (come con l’Ebola). Uno dei problemi del fare affidamento su queste promesse è che i governi possono finire col trascurare altre fonti di informazioni o restare indietro su altre misure di contenimento che richiedono un altro tipo di informazioni. La proposta dei ricercatori è di lanciare le app in fasi, con una fase pilota su un gruppo selezionato di utenti.
Le proposte e richieste del Chaos Computer Club
Le proposte di contact tracing - scrive una nota del CCC, una delle più autorevoli organizzazioni hacker mondiali, con sede in Germania - vanno da sistemi distopici di totale sorveglianza a metodi completamente anonimi e mirati per allertare le persone infette.
Il fatto è che una app di questo tipo è un grosso rischio perché raccoglie dati sui contatti e dati sanitari. Tuttavia c’è la possibilità di sviluppare tecnologie con privacy incorporata nel modo in cui sono progettate, e quindi dispiegare il potenziale del tracciamento dei contatti digitale senza creare un disastro per la privacy, Proprio per questo, perché è possibile farlo, bisogna respingere proposte che violano la privacy, scrive il CCC.
Che poi elenca i requisiti di queste app:
- il contact tracing deve aiutare a ridurre in modo dimostrabile le infezioni, altrimenti va terminato. Le sue applicazioni e i dati devono essere usati solo per questo scopo, spezzare le catene di infezioni.
-per essere efficace il contact tracing deve avere un alto livello di disseminazione nella società, ma questa distribuzione non può essere raggiunta con la forza o con l’imposizione di conseguenze negative su chi rifiuta.
- non ci si può basare su aspetti organizzativi per assicurare la privacy, ma devono essere implementate misure tecniche verificabili come la crittografia e le tecnologie di anonimizzazione. No al coinvolgimento di aziende che sviluppano tecnologie di sorveglianza e che stanno ora cercando di rivendersi in una operazione di “COVID washing”
- il codice sorgente per app e infrastruttura deve essere disponibile per permettere audit esterni
- è possibile fare un tracciamento contatti completamente anonimo senza server centrali onniscienti
- solo i dati e metadati minimi vanno salvati, quelli che non servono più vanno cancellati, dati sensibili vanno cifrati localmente sul telefono
- non si devono usare identificativi unici degli utenti, né si devono poter connettere gli ID con altri dati come indirizzi IP, numeri di telefono ecc e i dati del contact tracing non devono essere collegati (chained) per lunghi periodi
- i metodi che usano sistemi di localizzazione centralizzati vanno rifiutati
- non si deve poter concludere che una persone è infetta o ha avuto contatti con infetti attraverso i metadati della comunicazione
Attenzione al COVID-washing
A queste riflessioni si aggiungono quelle della ong Privacy International, che mette in guardia dall’ingresso a gamba tesa nel business dei tracciamenti di una serie di aziende già impegnate nello sfruttamento dei dati se non nella sorveglianza e nell’intelligence. Avevo toccato la questione anche nel mio articolo, ma qui c’è una lunga lista di soggetti privati che Privacy ritiene a rischio e a cui, secondo la Ong britannica, non dovremmo svendere (in senso metaforico e reale) i nostri dati.
Progetti orientati alla privacy
Come funziona DP3T, uno dei progetti di contact tracing basati su tecnologie di crittografia, anonimizzazione e decentralizzazione? Lo spiega bene un fumetto.
E più tecnicamente ne scrive anche il professore di informatica Enrico Nardelli.
Il dibattito online
Sempre sul tema segnalo questo dibattito (cui io stessa ho partecipato insieme a molti altri) Covid-19: quali dati per quali diritti? organizzato da Condivisi, The Humans (VIDEO)
Il colpo di scena
La discesa in campo di Apple e Google - che hanno annunciato di voler rendere possibile il contact tracing via Bluetooth sui nostri telefoni - potrebbe cambiare i termini della questione. Che è complessa, e malgrado si parli dei due giganti che già posseggono una infinità di dati su di noi, la loro proposta appare tecnicamente valida. Per capirci, è un assist per i progetti in corsa più orientati alla privacy, e infatti così viene salutata da alcuni attivisti o ricercatori (ci sono anche quelli che hanno altri dubbi ma li vediamo dopo).
In sostanza - scrive Il Sole 24 Ore - “Apple e Google stanno collaborando a una tecnologia di contact tracing per COVID-19 che sia efficace e che rispetti la privacy degli utenti. Il focus, si legge nell’anuncio sul blog, è l'interoperabilità dei sistemi operativi e il progetto sarà in due fasi. La creazione di API da mettere a disposizione degli sviluppatori incaricati dai singoli governi di progettare le app per il contact tracing. E lo sviluppo di una piattaforma Bluetooth che è la tecnologia che anche il ministro Pisano sembra volere adottare per l’app che la task force sta studiando in questi giorni. Google e Apple, precisano, non svilupperanno app di tracciamento dei contatti. Collaboreranno invece alla tecnologia sottostante per consentire agli sviluppatori di creare app migliori nel massimo rispetto della privacy.”
Vedi anche l’articolo di Corriere (paywall).
Per spiegazioni più tecniche consiglio questo articolo di Wired US.
Reazioni
Dicevo delle reazioni positive di alcuni ricercatori ed esperti. Ad esempio, secondo alcuni, “l’annuncio di Apple e Google fornisce un ENORME sostegno al DP3T (progetto decentralizzato e attento alla privacy, vedi sopra in newsletter, ndr) contro soluzioni centralizzate, che *non funzionano più” al suo interno [cioè nel sistema proposto dalle due multinazionali]”, twitta Michael Veale.
Reazione e opinione simile di Francesca Bria, presidente del Fondo Nazionale Innovazione e fondatrice del progetto europeo DECODE, per la quale l’annuncio sostiene e permette di far scalare l’approccio decentralizzato e pro-privacy europeo per implementare il contact tracing in modo responsabile. Anche il giornalista Andy Greenberg, che dice: “non un sistema perfetto come capacità di individuazione; inoltre, a seconda di come è implementato, come privacy. Ma potrebbe essere una parte importante nello sforzo di tornare alla normalità”.
A fare le pulci tecniche alla proposta Google-Apple, ci pensa però Moxie Marlinspike di Signal (thread Twitter, ma è tecnico, siete avvisati). Questo tipo di critiche e analisi sono ulteriormente sviluppate da un noto attivista, hacker e ricercatore italiano, Jaromil (inglese, su Medium), che tra le altre cose scrive che anche per progetti corretti dal punto di vista della implementazione tecnica rispetto alla privacy ci sono comunque rischi di correlazione di dati sui grandi numeri, specie quando il sistema è gestito da giganti tech che già hanno tante informazioni.
Perplessità e critiche anche da un noto e indiscusso attivista per la privacy, Wolfie Christl. Da notare però: le sue critiche investono soprattutto l’idea del tracciamento e di come potrebbe essere implementato dai governi (ad esempio, l’obbligatorietà); lo stesso Christl riconosce che la proposta Google-Apple “certamente non sfrutterà questi dati” anche se “appoggiarsi a loro certamente rafforza il loro monopolio”: E che potrebbero comunque utilizzare male i loro termini di servizio, e “diventare fornitori di identità per alcune misure” (qua il thread).
APPROFONDIMENTI E LETTURE
Quando la paura del coronavirus incontra i timori per il 5G
Valigia Blu
Come l’estrema destra ha creato la più potente tecnologia di riconoscimento facciale Huffington Post (inglese)
Il virus ha cambiato il modo in cui stiamo su internet
NYT
CONTATTI
Sono tempi straordinari e difficili. Per questo ho deciso di ristrutturare i modi in cui posso essere contattata a seconda delle diverse esigenze. Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ (se da dentro la newsletter non si apre link basta riscriverlo nel browser).
È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).
Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O scrivermi su Wire a @carolaf. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!