La privacy non è l’unico problema della proposta di Apple e Google per monitorare il coronavirus

La proposta delle due aziende è più attenta alla privacy di altre, ma senza test di massa e senza garanzie che tutte le persone possano accedere a questa tecnologia servirà a poco.

La privacy non è l’unico problema della proposta di Apple e Google per monitorare il coronavirus

La proposta delle due aziende è più attenta alla privacy di altre, ma senza test di massa e senza garanzie che tutte le persone possano accedere a questa tecnologia servirà a poco.

Venerdì scorso Apple e Google hanno annunciato una nuova partnership per sviluppare un protocollo di contact tracing. L’obiettivo è permettere ai governi di ricostruire con chi è entrata in contatto una persona infetta dal nuovo coronavirus, in modo da poter raggiungere tutti gli eventuali contagiati. La funzionalità sarà resa disponibile prima attraverso app disponibili al download, e poi direttamente come funzionalità del sistema operativo.

Con il contact tracing si cerca di identificare il percorso del virus al più presto, e impedirgli di diffondersi. Il contact tracing non è una idea nuova, ma solitamente prevede l’utilizzo di indagini tradizionali, non molto diverse da quelle a cui si è data grande rilevanza mediatica in Italia all’inizio della crisi — quando era premura di tutti i giornali raccontarci la caccia al “paziente zero.” Secondo uno studio di un gruppo dell’Università di Oxford, tuttavia, il nuovo coronavirus è troppo contagioso perché siano efficaci metodi di contact tracing tradizionali. Anche i ricercatori di Oxford sono arrivati alla conclusione che lo strumento migliore per verificare i contatti sia lo smartphone.

Nel mondo finora sono emerse sostanzialmente due soluzioni tecnologiche per controllare la circolazione delle persone. La Cina e la Corea del Sud hanno usato nei mesi scorsi la soluzione più immediata — e invasiva: utilizzare il GPS integrato in tutti i telefoni. Parallelamente, sempre in Cina, ma anche a Hong Kong e in Russia, sono stati sviluppati sistemi basati su codici QR, che vengono scansionati quando si entra in luoghi pubblici, in modo da registrare gli utenti in una specifica posizione. Si tratta di una soluzione meno invasiva, ma anche meno efficace: non solo non dice se persone sono state in contatto — all’interno di una struttura le persone possono essere anche distanti decine di metri — ma crea lunghe code e inevitabilmente tensioni.

La proposta di Google e Apple ha una peculiarità che la rende preferibile a queste soluzioni: non registra la posizione degli utenti, ma solo con chi sono entrati in contatto, e quando. Questo significa che è tecnicamente possibile ricavare dai dati raccolti in questo modo il percorso degli spostamenti, ma si tratta di un lavoro logisticamente complesso — quando il dato di fatto è che organizzazioni private e di polizia e di intelligence hanno strumenti molto più efficaci e rapidi per localizzare e “spiare” le persone.

La soluzione proposta prevede l’uso di una variante del bluetooth, Bluetooth Low Energy, tramite il quale i telefoni di sconosciuti si “scambieranno” codici anonimi generati ogni 15 minuti. Ogni telefono manterrà uno storico di 14 giorni di tutti i codici anonimi con cui è entrato in contatto, e periodicamente scaricherà da remoto la lista di tutti i codici dei proprietari di telefoni che sono stati confermati come infettati. A quel punto, e solo a quel punto, comunicherà con un server centrale confermando la possibilità che il proprietario potrebbe essere stato contagiato. Si tratta di una soluzione ben ragionata a prima vista, che risponde alle più sentite criticità su tracciamento e centralizzazione.

Il presunto anonimato dei dati raccolti, però, non è completamente garantito. Il crittografo Serge Vaudenay, del politecnico federale di Losanna, sollevava una critica simile al sistema proposto da una coalizione di aziende informatiche europee, il Pan-European Privacy-Preserving Proximity Tracing. Vaudenay spiega che, in maniera controintuitiva, “le misure di protezione della privacy possono avere effetto opposto a quello desiderato, e, nel momento in cui le persone malate vengono de–anonimizzate, si corre il rischio che anche i loro incontri diventino pubblici, creando meccanismi ricattatori.”

I problemi di privacy non sono gli unici, e nemmeno necessariamente i più gravi, almeno finché l’uso di questi servizi resterà facoltativo. La natura centralistica della distribuzione di iOS e Google Play Services invece lascia un enorme potere decisionale nelle mani delle due aziende: il sistema non è “centralizzato” in senso informatico, ma tutto il potere decisionale non si sposta dalla California. In particolare, non è chiaro chi stabilirà quali organismi statali potranno interfacciarsi a questi dati. Nei documenti ufficiali si legge che la tecnologia sarà disponibile “solo a scopi di contact tracing da autorità della sanità pubblica, per la gestione della pandemia.” Ma non c’è nessuna indicazione dell’autorità che stabilirà chi sono queste altre autorità — lasciando presumere che lo decideranno le due aziende.

Il sistema presenta anche altre diverse criticità, come sottolineato dal crittografo Matt Tait. Nei documenti attuali non è esattamente chiaro chi stabilirà lo status di infetto di una persona, avviando il percorso descritto sopra. Probabilmente “servirà un meccanismo di autenticazione per medici.” Lasciare questa parte dello sviluppo del servizio in mano alle varie autorità nazionali espone il sistema ad abusi che è facile immaginare.

Inoltre, sebbene molto migliore di sistemi basati su codici QR, non è ancora chiaro quanto il “campo d’azione” dei beacon Bluetooth Low Energy sarà utile nel raccogliere questo tipo di dati — potrebbe rivelarsi troppo “permissivo,” producendo dati troppo dettagliati, oppure potrebbe perdere importanti contatti. Si tratta, comunque, di una soluzione imperfetta.

Un ultimo problema è tecnologico e classista: la scelta di Bluetooth Low Energy ha assolutamente senso nell’ottica di preservare la batteria degli strumenti — che l’uso anche saltuario di GPS distrugge — ma lo stack Bluetooth, in particolare su Android, è molto fragile, e in versioni non aggiornate quando crashava non c’era modo di farlo ripartire senza spegnere e riaccendere il telefono. Non trattandosi di un uso attivo, gli utenti non avranno probabilmente modo di monitorarne il funzionamento, creando “buchi” forse anche di giorni.

Nell’eventualità di una seconda crisi simile a questa, inoltre, il servizio potrebbe non essere effettivamente utilizzabile per i lavoratori costretti a continuare ad uscire: essendo mediamente meno benestanti, potrebbero essere in possesso di telefoni che hanno versione precedenti dello standard Bluetooth, senza la funzionalità Low Energy — diffusasi tra il 2013 e il 2014. In Italia, in particolare, sono molto più diffusi telefoni relativamente più economici secondo i dati citati da AppBrain. Il secondo telefono Android più diffuso in Italia, il Huawei P20 Lite, ha noti problemi con la funzionalità del bluetooth, così come il terzo, il Samsung Galaxy A50.

Infine, tutto l’impulso tecnologico per risolvere il problema del contact tracing non risolve il problema centrale: la mancanza di una migliore mappatura del contagio dipende principalmente dall’incapacità da parte dei sistemi sanitari di effettuare un numero sufficiente di test. Negli Stati Uniti, ad esempio, si sta dibattendo aspramente sul numero di test che servirà fare quotidianamente per permettere alle persone di tornare al lavoro in sicurezza prima della distribuzione di un vaccino. Secondo le stime più conservatrici sarà necessario arrivare a fare almeno 500 mila test al giorno, ma c’è chi sostiene ne servano il doppio — e chi non vede speranze di far “riaprire il paese” senza una vera e propria rivoluzione del sistema sanitario, parlando di più di 20 milioni di test al giorno. Senza questa seconda parte dell’equazione fare contact tracing sostanzialmente non serve a niente, ed è per questo che non si può non guardare con sospetto le tentazioni di sorveglianza di tanti stati che stanno speculando su soluzioni solo tecnologiche al problema.

Segui Alessandro su Twitter

—Continua a leggere:

Nella gestione dell’emergenza la Lombardia continua a sbagliare tutto
5 buoni motivi per smettere di idolatrare Giuseppe Conte