[Guerre di Rete - newsletter] Contact Tracing: avanza il modello decentralizzato?

Le novità sulla app italiana e i dettagli delle soluzioni

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.68 - 26 aprile 2020

In questo numero di parla di :
- l’app di tracciamento contatti, ancora

Cosa sappiamo ora sulla app
Finalmente sull’app di tracciamento contatti italiana, Immuni, sappiamo qualcosa di più (se vi manca l’antefatto, ne ho parlato nella newsletter della scorsa settimana). Sono infatti usciti alcuni importanti chiarimenti. Innanzitutto è uscita una comunicazione del ministero dell’Innovazione che toglie di mezzo alcuni dubbi e dice che:
- l’app sarà volontaria
- funzionerà via Bluetooth (no Gps, no geolocalizzazione)
- si baserà su codice aperto, open source (licenza Open Source MPL 2.0) e “suscettibile di revisione da qualunque soggetto indipendente voglia studiarlo”
- i dati, raggiunta la finalità perseguita, verranno cancellati, “con l’eccezione di dati aggregati e pienamente anonimi a fini di ricerca o statistici”
- l’intero sistema integrato di contact tracing dovrà “essere interamente gestito da uno o più soggetti pubblici”
- l’applicazione “non dovrà accedere alla rubrica dei contatti del proprio telefono, non chiederà nemmeno il numero e non manderà SMS per notificare chi è a rischio”

Volontaria senza se e senza ma
Il commissario per l’emergenza Arcuri è arrivato anche al punto di definire una “farsa” la voce (riportata da alcuni media) che la app potesse essere obbligatoria, quanto meno necessaria per alcune attività. Arcuri ha escluso categoricamente che la app possa funzionare da “lasciapassare”, alludendo semmai ad alcune facilitazioni di natura sanitaria (Askanews). Bene dunque la volontarietà e il non considerarla un lasciapassare. (En passant, cassate da Arcuri anche le voci sui braccialetti).

Sarà però da approfondire questa parte sulle funzioni sanitarie aggiuntive, tanto più che Arcuri c’è tornato ancora ieri, aggiungendo dettagli: “Per step successivi arriverà ad essere strumento costruito intorno al diario sanitario di chi la userà, sarà non solo alert ma anche per le politiche sanitarie da remoto. I contagiati e i loro contatti stretti potranno colloquiare col sistema nazionale da remoto” (Ansa).
Ecco sarebbe utile capire come funzioneranno queste funzioni sanitarie aggiuntive, e come si integreranno con la app di contact tracing vera e propria.

(Rispetto invece alla composizione societaria delle aziende che hanno sviluppato l’app, se ne parla in questa intervista dell’ad di Bending Spoons, la software house coinvolta su Immuni, a Corriere)

Centralizzare o non centralizzare, questo è il problema
A restare amletica era invece l’adozione di una soluzione (un protocollo) centralizzato oppure decentralizzato, e quale nello specifico. La citata comunicazione del ministero prendeva evidentemente tempo su questo aspetto, vista anche la velocità degli sviluppi dello scenario internazionale al riguardo e il relativo dibattito tecnico-scientifico (vedi scorsa newsletter).
“Il sistema di Apple e Google che sarà pronto in maggio e sul quale potranno appoggiarsi le app nazionali — e dovranno farlo affinché il Bluetooth svolga il compito richiesto —prevede che i dati sugli incontri fra gli individui, utili ad avvisare chi si è trovato vicino a qualcuno poi rivelatosi positivo, vengano gestiti direttamente dagli smartphone dei singoli”, scriveva in quei giorni Martina Pennisi su Corriere. “È quanto chiedono anche il Parlamento europeo e i firmatari della lettera aperta del Nexa Center for Internet and Society del Politecnico di Torino, che scrivono: «La memorizzazione dei dati deve essere completamente decentralizzata. I dati, opportunamente protetti con sistemi di anonimizzazione o di pseudonimizzazione, devono essere conservati localmente sui dispositivi, dove deve avvenire anche il calcolo del rischio di infezione. Se sarà necessario l’utilizzo di server centrali, dovranno essere trasmesse a tali server soltanto chiavi anonime e temporanee corrispondenti agli utenti infetti, in mondo che non sia consentito di risalire all’identità delle persone». I governi, compreso il nostro – proseguiva Corriere - “guardano invece a una gestione centralizzata non solo delle chiavi degli infetti ma anche dei codici degli incontri, così da avvisare materialmente chi è a rischio e avere più informazioni su cui lavorare”.

Decentralize it
Tuttavia questo primo orientamento apparentemente centralizzato si è modificato nei giorni successivi. Al punto da far virare l’Italia verso una soluzione decentralizzata.
“'L’app Immuni per il tracciamento contatti coronavirus cambierà, ormai è deciso: e seguirà il modello più protettivo della privacy (“decentralizzato”), che è anche quello voluto da Google e Apple”, ha scritto pochi giorni fa Alessandro Longo su Il Sole. “Una scelta ormai definitiva, a quanto apprende il Sole24Ore da tutte le fonti direttamente impegnate sull'app. E anche obbligata. Per due motivi: per tutelare con maggiore forza la privacy e la sicurezza dei dati; per avere un'app che vada al meglio, dato che non rispettare le indicazioni di Apple-Google significava probabilmente condannarsi a mal funzionamenti”.

Questa svolta decentralizzata - non ufficiale, ma data per buona poi da altri media - se verrà definitivamente confermata dal governo, con tanto di dettagli tecnici, è da ascriversi probabilmente (questi almeno sono i “miei due centesimi”) alla posizione di Apple-Google, e al fatto che finora non è chiaro come potrebbe cavarsela una soluzione centralizzata (se non ci state capendo niente su questa storia del centralizzato e decentralizzato, tranquilli, tra poco andiamo molto nel dettaglio). Del resto anche la Germania, nelle ore precise in cui sto scrivendo questa newsletter, sembra aver fatto (o apprestarsi a fare) una svolta clamorosa, passando da centralizzato a decentralizzato, almeno secondo Reuters.

Quindi deve essere chiaro che questa faccenda delle app evolve, muta, svolta di giorno in giorno. Per questo è importante cercare sempre di avere notizie confermate, mettendo nel giusto contesto le altre; e seguire costantemente il tema non dando nulla per scontato.

(Ad esempio c’è ancora molta incertezza sui server che verranno utilizzati e da chi saranno gestiti; molto suggestive però alcune delle immagini circolate, di server custoditi in caserme).

Ancora su decentralizzazione e centralizzazione: le differenze

Scusate ma ora bisogna tuffarsi un po’ nei dettagli perché è l’unico modo per rispondere alle domande sul perché e sul come si debba scegliere una soluzione o un’altra, e per permettere a ognuno, in modo autonomo, di soppesare i rischi effettivi indipendentemente dalle posizioni degli uni o degli altri. Quindi pronti? (Aiuta aver letto la mia precedente newsletter sul tema qua che spiegava alcuni antefatti e lo scontro tra soluzioni centralizzate e decentralizzate).

Soluzione decentralizzata di DP-3T
La soluzione decentralizzata proposta dal protocollo/gruppo DP-3T - che raccoglie ricercatori europei sparsi tra KU Leuven, TU Delft, University College London, the Helmholtz Center for Information Security (CISPA), the University of Oxford, l’università di Torino e di cui appunto ho parlato nella scorsa newsletter - funziona in questo modo (il linguaggio che userò è volutamente non tecnico): il mio telefono con un’app compatibile con questo protocollo e attraverso il Bluetooth trasmette in giro, ad altri dispositivi a pochi metri di distanza e dotati della stessa app, dei codici identificativi anonimi casuali, delle liste alfanumeriche incomprensibili (generate da una chiave che sta sul dispositivo, ricordiamo il dettaglio) che variano ogni tot tempo (per evitare che sia sempre lo stesso codice che potrebbe portare a una identificazione), senza altri dati sul Gps (cioè su dove mi trovo) o sulla mia identità; questi altri dispositivi memorizzano i miei codici per un tot di giorni e a loro volta mandano in giro i loro. Poi qualche giorno dopo mi ammalo, mi fanno un tampone, risulto positiva. Mi chiedono se ho una app, e mi forniscono un codice di sblocco. Questo codice verrà usato per trasferire a un server i MIEI codici identificativi trasmessi in giro nei giorni precedenti (e solo i miei, non quelli di altri, non quelli con cui sono entrata in contatto). Che attraverso il server saranno diramati a tutti i dispositivi con le app (cioè questi dispositivi interrogano periodicamente la lista centrale con i codici identificativi degli infetti acclarati). Se c’è un abbinamento, se uno di quei codici sta anche salvato nel dispositivo di un altro utente (in realtà qui c’è un margine per stabilire il rischio di esposizione, quindi si può tenere conto anche del tempo e di altri fattori), l’app lo avvisa. Poi sul genere di istruzioni che riceve a questo punto dipenderà dalla app. Ma in questo schema ovviamente è l’utente che deve poi agire.

Dunque alcune delle differenze cruciali tra soluzioni decentralizzate e centralizzate stanno in risposte diverse alle seguenti domande, come ha spiegato Carmela Troncoso, professoressa al Swiss Federal Institute of Technology Lausanne (EPFL) e leader del progetto DP-3T in un webinar.
1) Le chiavi che creano questi identificativi anonimi trasmessi in giro dove stanno e chi le genera? (ovvero stanno sul mio dispositivo o su un server centrale?)
2) Come e dove avviene la decisione di mandare una notifica a qualcuno (sul telefono o sul server)?
3) E quali info sono caricate sul server (solo i miei identificativi o anche quelli di chi ho incontrato)?

Nella soluzione centralizzata, gli identificativi temporanei sono generati dal server (e non dal dispositivo dell’utente) attraverso un identificativo di lungo termine e una chiave, e mandati ai telefoni, i quali poi li trasmettono in giro (la domanda 1).
E quando qualcuno è infetto carica sul server gli identificativi che ha incontrato, prosegue Troncoso (la domanda 3). A quel punto il server usa la sua chiave per decifrare gli identificativi anonimi abbinandoli agli identificativi di lungo termine e usandoli per inviare notifiche agli utenti, quindi la decisione sull’invio della notifica avviene sul server (domanda 2).
Il server: nella soluzione decentralizzata ha solo la lista di identificativi temporanei degli infetti; in quella centralizzata è in una posizione di potere e “trust”, un termine tecnico che in sostanza indica che bisogna fidarsi di quello che fa e di chi lo gestisce, del fatto che gli identificativi inviati a qualcuno siano davvero casuali, del fatto che i dati sui contatti non siano lavorati in un grafo sociale, e del fatto che quei dati verranno cancellati a un certo punto, continua Troncoso.

Soluzione decentralizzata come prevista da Apple-Google
L’impianto proposto da Apple-Google si colloca nella filosofia e nei principi del modello decentralizzato (Dave Burke di Google ha detto proprio che sono stati “ispirati” da DP-3T) fornendo una API (interfaccia di programmazione, una serie di funzioni che permettono agli sviluppatori di app di interagire con la piattaforma) cui le app dei governi si potranno connettere (qui c’è uno schema del funzionamento, molto simile a quello descritto sopra).
Ricercatori del fronte decentralizzato, pur salutando con favore la scelta di campo Google-Apple, chiedono però di poter avere degli audit esterni della loro soluzione. Di poterla verificare.

Aggiornamenti tecnici di Apple-Google
In questi giorni Apple e Google hanno dato alcuni aggiornamenti tecnici sul loro sistema congiunto di tracciamento contatti, ribattezzato ora come tecnologia di “notifica di esposizione” (exposure notification). Questo cambio di nome ribadisce la presa di posizione pro-privacy.
Il senso degli aggiornamenti qui sotto descritti è di stringere ancora di più su privacy e sicurezza. Tra le modifiche annunciate, le due aziende tech hanno reso il meccanismo di generazione delle chiavi temporanee sui dispositivi ancora più difficile da attaccare e quindi più difficili i tentativi di tracciare specifici individui. Sempre in quest’ottica saranno cifrati i metadati associati ai segnali Bluetooth. Infine, il tempo di esposizione totale (diviso in unità di 5 minuti) arriverà a un massimo di 30 minuti. Sono tutte misure per rendere molto più difficile qualsiasi attacco di identificazione. Inoltre gli sviluppatori delle app potranno stabilire i loro parametri rispetto alla forza del segnale e alla sua durata per stabilire quando si è di fronte a un evento di esposizione. E questo permette alle autorità sanitarie di determinare il livello di contatto necessario per farlo definire appunto un contatto (una esposizione) a rischio.

Come funziona in generale il loro sistema
Il rilascio delle API, previsto per metà maggio, arriverà già il 28 aprile in una prima versione. “Il funzionamento di fondo del sistema di Google e Apple non cambia”, scrive La Stampa. “Quando la funzione è abilitata (attenzione: rimarrà sempre opzionale e si potrà disattivare manualmente), il dispositivo invia un segnale (in gergo “beacon”) tramite Bluetooth a intervalli regolari. Il segnale include un identificativo casuale e criptato, che cambia ogni 10-20 minuti. Allo stesso tempo il dispositivo rimane in ascolto di altri identificativi, inviati dagli smartphone vicini. Quando ne trova uno, lo salva in un database locale e sicuro e così fanno tutti gli altri smartphone “riceventi”. Una volta al giorno il sistema scarica una lista di identificativi di persone confermate come positive al COVID-19 e procede al “matching”, cioè il confronto tra la lista scaricata e quella locale. In caso di “match”, l’applicazione che si appoggia alle API avvierà una procedura di informazione e guida dell’utente, che può variare a seconda dell’applicazione utilizzata”.
“In una seconda fase, che arriverà nei mesi prossimi, Apple e Google integreranno questa tecnologia di serie a bordo del proprio sistema operativo con un aggiornamento”, scrive Wired Italia. “Obiettivo dichiarato: allargarne al massimo l’adozione, che sarà comunque volontaria. A quel punto l’operazione sarà sganciata da una app specifica e, con lo stesso meccanismo di prima, se il sistema riconoscerà tra i suoi contatti uno segnalato come positivo, manderà la notifica per scaricare i programmi di prevenzione dal coronavirus”.

Questo passaggio successivo, ancora bene da chiarire, potrebbe essere il fattore determinante nella diffusione di sistemi di tracciamento contatti (pardon, di sistemi di notifica dell’esposizione).

Soluzioni centralizzate
Le soluzioni centralizzate sono invece favorite da quei governi che vorrebbero avere più controllo sui dati, che vogliono almeno i dati di prossimità caricati su un server centrale, che vogliono poter gestire il processo di notifica agli utenti e che magari in prospettiva pensano di aggiungere/collegare alla app ulteriori funzioni sanitarie. (Va detto, en passant, che il DP-3T prevede anche la possibilità per l’utente di scegliere di condividere ulteriori dati con i ricercatori per permettere loro di ricostruire alcune interazioni fra utenti infetti e a rischio, nota TechCrunch).

Ma come si integreranno queste app centralizzate con la soluzione Apple-Google?
Questa resta una domanda aperta. Francia, UK e Germania (ora però la Germania sembra aver appena cambiato idea) starebbero infatti sviluppando delle app basate su protocolli centralizzati - quella tedesca amplierebbe la portata e le funzioni della app, integrandosi pure con i laboratori per fare in modo che chi si sottoponga a test riceva sul telefono la notifica dei risultati. La Francia starebbe facendo pressioni su Apple per rimuovere le restrizioni sul Bluetooth per la sua app che si basa su un server centrale e una autorità di fiducia.

Dicevamo delle restrizioni per questo genere di app centralizzate nel sistema ideato da Apple-Google. Che significa? Che la app non funziona se non è attiva tutto il tempo e lo schermo sbloccato. Sugli iPhone una app normale ha un accesso limitato al Bluetooth a meno che non stia in foreground – schermo sbloccato e app in uso – al fine di impedire che l’app possa tracciare utenti senza il loro consenso, spiega il Guardian. Il sistema introdotto da Apple-Google permette di realizzare app che funzionino anche in background (superando le suddette restrizioni) ma limita comunque le informazioni che possono essere raccolte. L’app di un governo “non potrà prendersi la lista di ogni altro telefono cui un utente è stato vicino”. Questi limiti “impediranno al servizio sanitario britannico - scrive il Guardian – di ottenere informazioni utili sui flussi aggregati della popolazione, tracciando incidenti mancati o ricevendo informazioni sui contatti dalle persone che si sono iscritte nel sistema ma non hanno controllato i loro telefoni”.

L’app francese
Esaminiamo ora meglio una app come quella francese, basata sul protocollo ROBERT. All’inizio il funzionamento è uguale a sopra: il telefono di un utente salva gli identificativi temporanei inviati via Bluetooth di altri utenti nelle vicinanze per un tot di tempo. Se nessuno è infetto, restano sui cellulari. Ma se io invece io risulto positiva dopo un tampone, la app caricherà sul server la lista degli identificativi temporanei degli altri, di quelli che ho incontrato e salvato negli ultimi 14 giorni. A quel punto il server avrà una lista di soggetti esposti al virus. Gli identificativi temporanei, e quello permanente, stanno sul server perché come abbiamo visto sopra è il server che li ha generati inizialmente e inviati ai dispositivi. Dunque il server centrale ha un archivio con tutti gli identificativi associati agli utenti della app. Il server a quel punto farà un calcolo del rischio delle persone che hanno interagito con il positivo sulla base di una serie di parametri legati al livello di esposizione al virus. Arrivato a una certa soglia, parte la notifica, scrive TechCrunch. Come dicevamo prima, questa struttura implica che gli utenti si fidino di chi gestisce il server, e che questo server sia sicuro anche da attacchi e attori malevoli esterni (di questi ultimi rischi parla anche il crittografo Matthew Green su Slate).

Come si muovono i Paesi
Di Francia, UK abbiamo detto. Germania e Italia sembrano entrambe virare verso la decentralizzazione.
Austria, Svizzera ed Estonia useranno app basate su DP-3T (decentralizzate), scrive Reuters.

Sarà efficace? Funzionerà? La strada delle app di tracciamento contatti è tutta in salita
La questione dell’efficacia dipende da diversi aspetti. Uno è banale ma importante, cioè ha a che fare con la percentuale di persone che dovrebbero usarla. Questa percentuale oscilla a seconda delle analisi e degli esperti. La stima più citata (proveniente dal Nuffield Department of Medicine della Oxford University) è del 60 per cento della popolazione. “La soglia da superare perché l'app di contact tracing sia utile, secondo il biologo Enrico Bucci, è il 70% degli italiani. Ovvero una quota superiore all'effettiva penetrazione degli smartphone”, notava il giornalista Raffaele Mastrolonardo su Twitter, citando Repubblica. Secondo esperti del servizio sanitario britannico (NHS), che sta lavorando a una app volontaria, l’80 per cento dei possessori di smartphone in Gran Bretagna dovrebbero usarla, riferisce BBC.
E ricordiamo che la famosa app di Singapore, TraceTogether, lanciata a marzo (anche questa volontaria), ancora pochi giorni fa era installata solo dal 12 per cento della popolazione.
L’adozione è dunque uno scoglio. C’è chi pensa che anche percentuali più basse potrebbero comunque essere utili (e lo dicono gli stessi ricercatori del suddetto studio, “un tasso di adozione del 40% è comunque associato ad una riduzione prevista del numero di vittime da COVID-19 di circa un terzo”, commenta il professor Federico Cabitza su Key4biz). Detta così ovviamente basterebbe per provarci senza dubbio. Basta tenere presente però che su questo aspetto ci sono poche certezze.
(Sull’adozione c’è però un jolly: l’intervento di Apple-Google, specie nella sua seconda fase, potrebbe riuscire a estendere l’adozione).

In ogni caso servirà una comunicazione precisa, chiara, trasparente - oltre che una app con queste caratteristiche - ben coordinata (diversamente dalle uscite scoordinate, confuse e molteplici che ci sono state finora), e ovviamente gli utenti dovranno avere la percezione che questa app sia un bene anche per loro (oltre che per la comunità) e non un impiccio o peggio uno strumento che rischia di penalizzarli, magari obbligandoli a quarantene preventive, senza test o assistenza (ricordiamo che c’è sempre la possibilità di falsi positivi).

Infatti, raccomanda l’Ada Lovelace Institute (istituto britannico che studia l’impatto dell’AI e delle tecnologie sulla società), “se si approva una app di tracciamento, questa sarà efficace se usata per integrare e assistere il tracciamento manuale (eseguito da operatori sanitari attraverso interviste ai pazienti) e se basato su test diagnostici confermati per il virus. Raccomandazione: le risorse non devono essere deviate dal tracciamento dei contatti manuale o dai test diagnostici allo sviluppo della tecnologia. L’implementazione di un tracciamento contatti digitale dovrebbe essere rimandato finché la capacità del sistema di fare test e tracciamento manuale non sia aumentata abbastanza per incontrare l’aumento della domanda causata dal lancio della app”
Traduco e rielaboro: ogni volta che qualcuno ci parla del contact tracing digitale chiediamogli anche delle misure sanitarie collegate: verrà potenziato l’attuale sistema di tracciamento manuale e interviste? e di quanto? verrà potenziata la capacità di fare test? Chi userà la app a quali condizioni avrà accesso a test?

Torniamo a quello che dice l’Ada Lovelace Institute. Per lanciare il tracciamento digitale bisogna prendere in considerazione: - come il contact tracing integrerà il tracciamento manuale; - la generale disponibilità di test per la popolazione; - il potenziale della app di raggiungere un uso coerente e ampio fra più del 60 per cento della popolazione; - una comprensione accurata dell’architettura dei dati alla base della app.
Inoltre, dice l’istituto, ci dovrebbero essere delle salvaguardie legislative che rendano illegali una serie di utilizzi dei dati raccolti. Tra questi usi illegali dovrebbero esserci: l’uso come prova nell’imposizione di sanzioni criminali o civili; l’uso in pratiche collegate a permessi di soggiorno e visti; l’uso in procedimenti legati a questioni famigliari, separazioni, affidi ecc; insomma l’uso in qualsiasi procedimento legale. E poi l’uso nelle procedure di assegnazione di benefit di welfare, l’uso da parte di datori di lavoro per alterare o terminare contratti esistenti, e altri utilizzi considerati discriminatori.

La fiducia
E quindi il tema è conquistare la fiducia dei cittadini.
“Ed è solo se i cittadini si fidano delle proprie istituzioni che la app può avere un senso, e una utilità”, scrive Fabio Chiusi su Valigia Blu. “A nulla varrebbe obbligarli, altrimenti: come ha scoperto la stessa Corea del Sud, basta lasciare il cellulare a casa, e il sistema si inceppa. E allora si viene costretti ad aumentare ancora il livello di controllo, passando — come in Corea, ma anche in sempre più paesi, dal Liechtenstein a Hong Kong — ai braccialetti elettronici. E se un giorno si dovesse accorgersi che anche quelli si possono manomettere che si fa, si passa direttamente al chip sottocutaneo? E chi non ha uno smartphone? E chi viene fermato con il cellulare scarico? E i falsi positivi che inevitabilmente si produrranno? Ma sopratutto, a che servirebbe? A nulla. Quella fiducia si può e si dovrebbe instaurare volontariamente, e proprio grazie al rispetto — trasparente — della privacy degli individui, tramite deliberazione democratica e la scelta delle soluzioni tecnologicamente meno invasive nelle vite delle persone. Perché sì, contrariamente a quanto sostengono tutti i soggetti precedentemente citati, è possibile coniugare salute pubblica e privacy, contenimento della pandemia e protezione dei diritti fondamentali”.

I rischi etici
Poi ci sono i dubbi e rischi etici. Scrive il professore di filosofia ed etica dell’informazione Luciano Floridi, “la tecnologia può aiutare, in modo sostanziale. Ma una app di per sé non ci salverà. E l’app sbagliata può addirittura non solo essere inutile, ma peggio, potrebbe sollevare problemi etici e potenzialmente esacerbare rischi legati alla salute, ad esempio generando un falso senso di sicurezza o allargando il divario digitale. Una buona app deve essere parte di una strategia più ampia, e deve essere progettata per sostenere un futuro equo (fair, nel testo inglese). Questo dovrebbe essere possibile. Ma se non lo fosse, meglio allora fare qualcos’altro”. In pratica, scrive Floridi, l’app non deve diventare parte di un gioco politico in cui il senso delle azioni prese sia solo quello di fare vedere che si sta facendo qualcosa. “Non stare al gioco politico di limitarsi a segnalare che si è provato a fare qualcosa (in effetti qualsiasi cosa)”.

Bei discorsi, ma allora i quiz che ci succhiano i dati?
Rimanendo in tema di etica e politica, c’è una postilla che va fatta a una domanda che è rimbalzata in giro, e che semplificando è più o meno questa: “Ma se noi regaliamo ogni giorno i nostri dati ad aziende, social, app, ecc, spesso in modo molto frivolo, solo per socializzare online e partecipare a passatempi e giochini, perché dobbiamo preoccuparci così tanto di una app che per una volta avrebbe invece una utilità importante, che addirittura potrebbe aiutare a ridurre morti e ammalati?”.
Risponde Philip Di Salvo su Wired: “il fatto che molta privacy sia già stata ceduta sul web non annulla il problema delle app di contact tracing – o la necessità di discuterne in modo onesto, trasparente e collettivo”.
Il punto - aggiungo - è che le implicazioni di un contact tracing centralizzato sono proprio su un altro piano rispetto alla questione dei dati ceduti per cose stupide. Spiega Andrea Gadotti, ricercatore in computational privacy all'Imperial College di Londra, “se gli utenti vengono re-identificati, è possibile ricostruire il grafo sociale — chi è stato a contatto con chi e quando — di una buona parte della popolazione. Con un po' più di fatica, è anche possibile tracciare gli spostamenti di tutti gli utenti, ovvero chi è stato dove e quando. In modo automatico e invisibile, su scala nazionale. I governi cambiano, le infrastrutture restano”.
Sempre su questo tema, sempre cioè sul tema del grafo sociale ecc, vedi anche Stefano Zanero e Matteo Flora (VIDEO): “A me che lo Stato italiano abbia i miei contatti importa poco ma se ci sono quei dati da qualche parte qualcuno se li prenderà”.
Cioè c’è un tema di sicurezza, e non solo di privacy, che spinge per la minimizzazione dei dati, ovvero per raccogliere e centralizzare meno informazioni possibili.
Senza contare che questi dati non sono più usati per mandarti pubblicità profilata, ma potrebbero essere usati - ancora, negli scenari più centralizzati, in cui la app fosse obbligatoria e ci fosse un intento preciso di chi la opera (non è il caso italiano, ribadiamolo) - per ricostruire i tuoi contatti, cioè chi vedi e quanto, e chi vedono loro e via dicendo, il grafo sociale di cui diceva sopra Gadotti. Ma anche una app che possa prendere decisioni su quello che puoi o non puoi fare, obbligarti a fare qualcosa o impedirti di fare qualcosa, a partire da una tecnologia su cui non hai intera visibilità, su cui non hai controllo, su cui rischi di non avere possibilità di appello od obiezione se pensi che la decisione presa sia ingiusta, immotivata, o errata, e su cui rischi di non poter fare optout.

E anche oggi abbiamo finito col contact tracing…..

CYBERCRIME E COVID-19
Nuovi rischi

C’è chi sta già mandando finti messaggi di contact tracing per far scaricare loro dei malware
Wla

In UK parte una campagna anti-phishing diretta contro truffatori che sfruttano la pandemia
Zdnet

ATTIVISMO E CORONAVIRUS
I lockdown nazionali stanno impedendo agli attivisti di organizzarsi e protestare. E allora si stanno organizzando online in modo creativo
Buzzfeed

CYBER
Giornalismo, attacchi informatici e attribuzione

Strumenti e consigli per giornalisti che scrivono di cyberwarfare e operazioni di disinformazione
attribution.news

LETTURE
I quattro nemici (quasi) invisibili nella prima pandemia dell’era della società dei dati
Il manifesto

CONTATTI
Sono tempi straordinari e difficili. Per questo ho deciso di ristrutturare i modi in cui posso essere contattata a seconda delle diverse esigenze. Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ (se da dentro la newsletter non si apre link basta riscriverlo nel browser).

È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).

Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O scrivermi su Wire a @carolaf. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!