[Guerre di Rete - newsletter] Contact Tracing e la solitudine dei centralizzati
E poi un po' di vecchio cyber spionaggio
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.70 - 10 maggio 2020
Oggi si parla di:
- app di contact tracing, in Italia e in Europa
- spionaggio
Anche questa settimana il tema delle app di tracciamento contatti è stato piuttosto dominante, in Italia e all’estero. Nel mentre però continuano a sbucare proposte di ogni tipo e di ogni soggetto per sorvegliare, guidare e limitare i movimenti delle persone nei più svariati contesti, dalle spiagge agli asili, senza che ci sia lo stesso livello di attenzione che è stato prestato finora all’app.
Le accuse alla ministra Pisano e le repliche
Ma partiamo dal nostro Paese e dall’app italiana, Immuni, sviluppata da Bending Spoons. A inizio settimana il Foglio spara ad alzo zero sulla ministra Pisano. In sostanza, è la tesi del quotidiano, la ministra non avrebbe ascoltato la raccomandazione della task force di esperti di testare due app in contemporanea (una era Immuni, che comunque si trovava “in uno stadio più avanzato” a detta degli stessi tecnici, e l’altra era CovidApp), e avrebbe scelto direttamente la prima, attribuendo però la scelta alla task force, con conseguente sconcerto di alcuni.
Nei giorni seguenti c’è poi stata una audizione riservata del Copasir, il comitato parlamentare per la sicurezza della Repubblica, dove la ministra avrebbe rivendicato la responsabilità di fare una scelta in tempi brevi senza attendere oltre. In audizione, scrive Corriere, "l’opposizione prende la palla al balzo e parte all’attacco”. Ma “Pisano respinge ogni accusa: «Il documento dei tecnici dice che la soluzione migliore sarebbe stata avere una sperimentazione in parallelo ma sottolinea anche che una delle due app, Immuni, è in uno stadio più avanzato». Nelle ultime settimane, per altro, il governo era stato criticato per non aver ancora scelto l’app, dopo averne parlato a lungo, dopo aver creato una task force con 74 persone. Anche da qui, forse, è nata la scelta di accelerare, evitando una doppia sperimentazione che probabilmente avrebbe allungato i tempi. «Il governo — dice ancora Pisano — si è assunto la responsabilità di fare una scelta, perché è questo che deve fare il decisore politico. E lo ha fatto tenendo conto delle indicazioni contenute nel documento tecnico»”.
(Vedi anche la replica della ministra al Foglio).
Sulla scelta dell’app da parte del ministero dell’Innovazione ma anche sulla doppia decisione di seguire prima uno standard europeo, e poi di modificare in corsa lo stesso per adeguarsi alla soluzione Apple-Google, torna anche l’agenzia AGI, secondo la quale la ministra “ha chiarito che gli esperti avevano individuato in Immuni e Covid-app le due soluzioni tecniche migliori, suggerendo sì di testarle entrambe, ma riconoscendo alla prima uno "stadio di sviluppo più avanzato" verso lo standard europeo Pepp-Pt, allora individuato come standard comune di tracciamento per l'area Ue. Sarebbe stato questo quindi, spiegano dal ministero, l'elemento in più che ha portato il governo a scegliere l'app sviluppata dalla società milanese Bending Spoons”. Sulla scelta, aggiunge, “ha pesato anche l'urgenza di prendere una decisione in tempi celeri. A scompigliare le carte ci hanno pensato però nel frattempo Google e Apple che hanno ufficializzato la loro collaborazione nello sviluppo di un protocollo comune per il tracciamento dei contagi tramite Bluetooth. Questo modello sarà quello adottato anche dal governo italiano per Immuni”.
(Riguardo a CovidApp, l’altra app segnalata dalla task force, “basata su un sistema centralizzato che non si appoggia a Apple e Google”, su Corriere c’è un’intervista a uno degli ingegneri che ci hanno lavorato).
Immuni: decentralizzazione, monitoraggio sintomi e casi a livello regionale
Ma torniamo invece a Immuni. Interessante anche quello che dice Paolo De Rosa, il responsabile tecnologico del dipartimento della ministra dell’Innovazione Paola Pisano e uno dei tre coordinatori della task force, al Corriere: “Immuni dava più garanzie di interoperabilità e anonimizzazione dei dati, era a uno stadio di sviluppo più avanzato e nel confronto con diversi soggetti istituzionali era emersa l’urgenza di procedere. All’esito di questo confronto, la ministra Pisano e il ministro Speranza hanno comunicato al Presidente Conte la scelta di Immuni accompagnando la comunicazione con l’invio di tutte le relazioni e gli atti di valutazione compiuti dalla task force”.
E poi: “Sul server vanno solo i codici identificativi dei soggetti infetti e i dati quantitativi sui contagiati. Il resto è sui dispositivi”.
Ancora: “l’infrastruttura è residente in Italia ed è stata affidata a un gestore pubblico, Sogei, che diventa il garante dell’affidabilità e sicurezza del backend e del trattamento dei dati”.
L’app, pronta a fine mese/inizio giugno, partirà “solo con il tracciamento”, mentre “ministero della Salute e le Regioni stanno valutando di usare l’app per il monitoraggio dei sintomi dei contatti a rischio da parte delle singole Asl”.
E si starebbe valutando “l’uso delle prime due cifre del Cap, con il consenso dell’utente, per calcolare il livello di rischio su base regionale”.
Cosa succede con gli alert?
Mancano ancora indicazioni chiare su come funzionerà la notifica, cosa verrà detto, cosa succederà dopo, che cosa dovranno fare gli utenti dopo. Una domanda essenziale, che si fanno anche fuori dall’Italia vari esperti. Qualche indicazione (ancora insufficiente però) è arrivata da alcune dichiarazioni del commissario per l’emergenza Arcuri che descrive un sistema in cui le funzioni dell’app si interromperanno con l’alert agli utenti.
“E’ importante sottolineare che allo stato dell'arte le funzionalità della app giungeranno fino all'alert del contatto con un soggetto contagiato. Questo alert avverrà con modalità previste. Una volta effettuato l'alert le funzioni della app si interromperanno. Al momento non è prevista alcuna relazione tra la app e il sistema sanitario nazionale successiva al suddetto alert".
"La app dà un alert a un device e gli dice 'sei stato in contatto per più di 15 minuti negli ultimi 14 giorni con un altro device (e anch'esso non è un nome) che risulta contagiato'. Il ricevitore del device deve attivarsi. Se il sistema sanitario regionale non è in grado di sottoporlo in fretta un tampone, non ha fatto il suo lavoro e nessuno di noi lo ha fatto". (La Stampa)
Ci saranno degli help desk e call center per sostenere la fase successiva all’alert, presumibilmente per permettere agli utenti dell’app di chiedere chiarimenti su cosa fare, sempre secondo Arcuri che ha spiegato come si stia scegliendo il soggetto per queste funzioni, così come qualcuno che si occupi della comunicazione per la diffusione dell’app.
Intanto a inizio settimana Apple e Google hanno aggiunto informazioni sul funzionamento del loro sistema. Le app dovranno essere approvate dai governi, “non potranno integrare il Gps, come auspicato anche dalla Commissione europea, o permettere ai governi di usare i dati per fini che non siano la gestione dell’emergenza Covid-19” (Corriere).
Ricapitolando - Riassuntone per chi si è perso quasi tutte le puntate
Se volete ripassare un po’ tutto il dibattito sulle app di contact tracing, su ValigiaBlu Bruno Saetta ripercorre la vicenda italiana e le principali questioni.
E potete anche leggere il mio articolo di alcune settimane fa per ValigiaBlu su Emergenza Covid-19 e misure tech, e le mie precedenti newsletter, visto che sto seguendo il tema fin dall’inizio, partendo da Coronavirus e diritti; poi Coronavirus e soluzioni tech; Contact Tracing: a che punto siamo; Contact Tracing: scontri e domande; Contact Tracing; avanza il modello centralizzato?; il punto sul Contact Tracing.
(ok sui titoli ho avuto poca fantasia).
NEL MONDO
Il fronte dei decentralizzati e interoperabili
Come appunto raccontato in questa newsletter nelle ultime settimane, a dare manforte ai sostenitori di app decentralizzate (che minimizzano i dati raccolti) è stato l’intervento di Apple e Google. Di fatto Apple ha eretto una barriera per quelle app (centralizzate) che vogliano raccogliere più dati mentre girano in background (quando non sono attive sullo schermo, non sono aperte). Per funzionare quindi queste specifiche app devono stare sempre attive, con tutti gli inconvenienti del caso (consumo batteria, scomodità ecc).
Così abbiamo visto che vari Paesi europei hanno adottato un approccio decentralizzato alle loro app, in alcuni casi come scelta consapevole pro-privacy ma in altri, molto più pragmaticamente e forzosamente, per evitare questi problemi e il conseguente rischio di fallimento delle app. In questo fronte ci sono almeno Austria, Estonia, Finlandia, Portogallo, Svizzera, Germania e, stando a quanto dichiarato finora, Italia. Questi Paesi hanno appena delineato una tabella di marcia per far dialogare fra loro le varie app nazionali in modo da gestire anche viaggi all’estero. Il documento è firmato anche da due esponenti di PagoPA e del ministero dell’Innovazione italiano. Questo è un altro tassello che porterebbe a far dominare un modello decentralizzato.
Per ora comunque solo l’Austria ha lanciato un’app, Stopp Corona, sviluppata da Accenture con la Croce Rossa, e scaricata finora da 570mila utenti, scrive Reuters. Ma anche questa app è stata ed è rivista in corsa. Mentre un prototipo per la app svizzera è testato in questo momento da alcuni volontari dell’esercito.
La solitudine dei centralizzati
Alla fine, in Europa e sue vicinanze, sono rimaste principalmente Francia e Uk a voler un modello centralizzato per le app di tracciamento contatti, in opposizione a quello proposto (forse dovremmo dire imposto) da Apple e Google.
L’ira francese
Così ora la Francia, che sta cercando di far decollare la sua app centralizzata fra mille difficoltà, sembra essere piuttosto seccata con le due aziende tech, specie Apple.
“Apple avrebbe potuto aiutarci a fare meglio. Non lo hanno fatto per una ragione che mi è incomprensibile e penso sia spiacevole”, ha commentato con acidità il ministro per il digitale Cedric O, rileva Bloomberg. “Una azienda che non è mai stata in migliori condizioni economiche non sta aiutando il governo a combattere la crisi. Ce ne ricorderemo”.
Ora Parigi punta a iniziare i primi test per la sua app in questi giorni su 100 volontari, per poi arrivare al lancio ufficiale il 2 giugno. Dovevano partire già l’11 maggio, ma lo strumento non era pronto e il Parlamento voleva avere voce in capitolo (il voto è previsto il 25 maggio). In più stavano provando a negoziare con Apple/Google per riuscire a far funzionare meglio la propria app centralizzata (che vuole raccogliere più dati a livello centrale e gestire il processo di notifica/alert agli utenti esposti) con l’architettura decentralizzata di Apple/Google.
Le ambasce inglesi
In quanto alla Gran Bretagna, sono state sollevate varie perplessità sulla app di contact tracing proposta, a partire da un’analisi della ong Privacy International secondo la quale la app include richieste di permesso per accesso alla localizzazione(Bloomberg). Ma ancora più interessante l’affermazione centrale dell’analisi (per altro non stupisce, da quello che sapevamo): che l’app funzionerebbe solo in foreground (cioè con schermo attivo, e non in background) sugli smartphone Apple, “rendendo controversa la sua efficacia”. Inoltre l’app sarebbe incompatibile con una serie di modelli Android più vecchi, tagliando fuori molti anziani o fasce di popolazione più povere.
Oltre ai dubbi sulla privacy, il modello adottato in UK ha dunque sollevato dubbi sulla efficacia del suo funzionamento, viste le restrizioni di Apple/Google su app centralizzate che cercano di accedere a più dati. Secondo il FT, una persona informata sui test condotti finora sostiene che l’app sarebbe in grado di funzionare in background in molti casi, ma non ad esempio quando due iPhone sono bloccati da mezz’ora (a meno che non si verifichino altre condizioni specifiche).
Londra sta anche guardando all’app australiana, sviluppata in modo autonomo, e che sta incontrando varie difficoltà, tra inefficienze e problemi di sicurezza. Al punto che l’Australia sembra essere ormai un esempio dell’importanza di non fare le cose di corsa (The Register). Invece un modello di cosa potrebbe andare male per un’app che raccolga i dati Gps (non sarà il caso italiano) ci arriva dall’India: qui l’app di contact tracing (obbligatoria per molti lavoratori) presenta seri problemi di sicurezza che potrebbero rivelare identità di utenti positivi (Wired).
(Per altro interessante il commento tranchant di un esperto di cybersicurezza sull’app indiana: “un’app che invia regolarmente le tue coordinate GPS a un server di proprietà di un governo è un sistema di sorveglianza”).
Insomma in UK c’è apprensione e tensione, e per altro il ministro della Salute britannico, Matt Hancok, è pure accusato di stare smantellando il servizio pubblico in concomitanza con il coronavirus, incrementando l’outsourcing ai privati e aggirando le normali procedure per l’assegnazione di forniture (Guardian).
In questo contesto, il Financial Times ha appena ventilato un potenziale colpo di scena. Gli scienziati britannici avrebbero chiesto agli sviluppatori dell’app di indagare sulla possibilità di passare allo standard globale proposto da Apple/Google. Una richiesta che va ancora capita, visto che proprio l’UK (con la Francia) ha finora tirato dritto col suo modello centralizzato (e ha appena avviato una sperimentazione nell’isola di Wight). Ma evidentemente restano dei problemi e qualcuno sta valutando tutte le opzioni, anche avere pronto un piano B, se non una sorta di ritirata strategica. Quello che sappiamo è che questa seconda app del NHS (il sistema sanitario britannico) dovrebbe usare la tecnologia di Google/Apple ed essere sviluppata in parallelo, “nel caso in cui i politici decidano di passare a un altro” modello, secondo fonti del Financial Times. Per il quale i problemi tecnici con la prima app sarebbero diventati sempre più evidenti, mentre si sarebbero intensificati i contatti del governo britannico con le due aziende.
Vedremo dunque cosa succederà con l’app britannica. Il modello di tracciamento dei contatti testato attualmente dal NHS immagazzina i dati delle persone infette e dei loro contatti in un database centrale, un sistema che, secondo i suoi sostenitori, sarebbe vitale per individuare pattern di infezioni.
Mi ha colpito però un dettaglio del funzionamento dell’app almeno per come viene descritto da un diverso articolo del FT. Cioè che l’app si basa sull’autodiagnosi delle persone. Quando una persona con l’app non si sente bene e “lo dice alla app, il sistema guarda a tutti gli incontri registrati che ha avuto per valutare quali sono ad alto rischio in base alla data e alla stima di tempo e distanza. A quelle persone verrò inviata una notifica che suggerisce di iniziare ad autoisolarsi” . Ovvero l’app britannica si basa anche solo sull’autodiagnosi e non sul fatto che qualcuno sia stato ufficialmente trovato positivo?
Contact tracing: oltre la questione privacy
Si è molto parlato di privacy per queste app. Al riguardo segnalo una riflessione del ricercatore Andrea Gadotti sul modello centralizzato e decentralizzato delle app solo dal punto di vista dell’analisi dei rischi per la privacy. “Entrambi i modelli, e in particolare le loro incarnazioni nei prototipi specifici ROBERT e DP-3T, sono soluzioni potenzialmente accettabili”, scrive su Agenda Digitale. “Nessuno dei due è un sistema sfruttabile in modo diretto e immediato ai fini della sorveglianza di massa. Tuttavia, a mio avviso, il modello centralizzato è sensibilmente più soggetto al function creep, ovvero quel fenomeno diffuso per cui una tecnologia progettata per un determinato scopo viene in seguito utilizzata per scopi diversi, spesso lesivi della privacy”.
Ma, come sottolineato in questa newsletter più volte e come vorrei ancora una volta evidenziare, il tema privacy è solo una piccola parte della prospettiva, dell’impatto sui diritti, e dell’analisi del rischio. Ovvero, c’è un tema di sicurezza dei dati. C’è un tema di utilizzo di tecnologie/algoritmi per prendere decisioni automatizzate che possono incidere sulla libertà personale. C’è un tema di rischio discriminazione derivante dal non uso dell’app, o da come quest’uso possa incidere diversamente su diverse fasce sociali. C’è un tema di delega all’app di funzioni sanitarie essenziali (come la necessità di fare tamponi e test) col rischio di affidarsi a un soluzionismo tecnologico che deresponsabilizza dal dover approntare un altro genere di risposte e risorse. E così via.
Il rischio discriminazione
Ciò detto segnalo un’interessante analisi di Lawfare blog sui punti critici delle app di contact tracing al di là della questione privacy. Come dicevo molti di questi li avrete visti trattati o accennati qua. Ma ritrovarli assieme in una sola analisi (cofirmata per altro da Susan Landau) è stimolante, anche se il focus è in questo caso sulla società americana (ma testimonia che il dibattito su questi temi è davvero globale e no, non siamo noi italiani che ci siamo fissati).
In sostanza l’articolo archivia la questione privacy considerandola in buona parte per ora risolta dallo schema Apple-Google, e si concentra su altre criticità, tra queste il tasso d’adozione, il rischio di un alto numero di falsi positivi (persone cui è segnalato di essere a rischio in quanto esposte a un contagiato e che invece non sono davvero a rischio per una serie di motivi, magari perché per la app sono state vicine ma una parete sottile invece le separava), una forte richiesta di tamponi che non si riescono a fare (e se il tasso di falsi positivi fosse alto sarebbero pure inutili), un falso senso di sicurezza indotto in alcuni utenti dall’app con un rilassamento di altre norme igieniche, e infine, il centro dell’articolo, il rischio che questa tecnologia abbia ricadute negative (o escluda) categorie più deboli. Ad esempio chi fa lavori in cui è spesso a contatto con flussi di persone potrebbe rischiare di essere segnalato più volte come contatto che è stato esposto al virus, anche se magari indossava e seguiva specifiche protezioni (esempio: un cassiere del supermercato).
Lawfare Blog
Il Far West dei braccialetti
È ormai chiaro che su questa storia del Covid-19 c’è il rischio di incorrere in un Far West tecnopolitico. Così c’è chi propone il braccialetto che ti sgrida se ti tocchi il viso, quello per le spiagge che suona se ti avvicini a un’altra persona, e via dicendo. Ma le proposte che più lasciano perplessi sono quelle che vorrebbero usare simili dispositivi sui bambini.
Una scuola dell'infanzia nel Varesotto avrebbe infati acquistato dei braccialetti, collegati ad un'app, per i bambini, dai 4 ai 6 anni, e per tutto il personale per facilitare il rispetto del distanziamento sociale. I dispositivi sono già stati acquistati, costeranno alle famiglie un supplemento di circa 10 euro sulla retta mensile, scrive Key4biz. “Prima ancora che i potenziali e devastanti effetti sul piano della protezione dei dati personali - commenta sulla stessa testata l’avvocato Francesco Micozzi - prima ancora che l’esigenza di tutela (che può essere, comunque, soddisfatta in altri modi) si è pensato a quali devastanti effetti può avere il meccanismo mentale secondo cui ‘avvicinarsi alle persone è male’ e ‘sorveglianza generalizzata è bene’? È possibile non riuscire a percepire quanto tale proposta sia, di per sé, abominevole?”
Intanto nel mondo c’è chi si inventa anche robot che pattugliano i parchi per tenere le persone distanti. Quando vi dicono “nulla sarà più come prima”, pensate a questo video.
SPIONAGGIO
Sulle tracce di Scaramouche
Il 5 maggio la Germania ha emesso un mandato di arresto per un cittadino russo, Dmitry Badin, accusato di essere dietro l’attacco informatico (iniziato con delle mail di phishing) che nel 2015 colpì il Parlamento tedesco. Per l’accusa Badin sarebbe un membro dell’unità di elite 26165 dedicata all’hacking del GRU, i servizi segreti militari russi. Ovvero di quel gruppo che spesso è definito dai ricercatori come APT28. Lo stesso Badin era già ricercato dall’FBI per gli attacchi informatici all’organizzazione antidoping WADA e l’attacco al comitato nazionale democratico (noto come DNC hack). Ora una indagine su fonti aperte di Bellingcat sostiene che l’uomo (che avrebbe usato l’username Scaramouche) sia effettivamente parte del GRU e che sia implicato in più attacchi.
UFFICIO
Il boom delle tecnologie di controllo in ufficio (Wired UK)
INTERCETTAZIONI
Le trascrizioni delle intercettazioni: una terra senza regole e garanzie (Filodirittto)
GDPR
L’Ungheria sospende la Privacy ed il GDPR (Il Sole 24 ore)
SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ (se da dentro la newsletter non si apre link basta riscriverlo nel browser).
È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).
Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O scrivermi su Wire a @carolaf. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!