Immuni aka Notifica di esposizione
Qualche giorno fa l’editore mi ha coinvolto in un talk show sulla famosa App Immune. Come in tutti i talk show ognuno dice la sua senza riferimento al tema e soprattutto nessuno ascolta. Ho quindi pensato di riportare qui i contenuti del mio intervento e qualche commento.
A cosa serve la App: le tre T
Nel mio intervento non ho descritto lo scopo della App e sono subito passato a descriverne il funzionamento, salvo poi scoprire che alcuni degli intervenuti e molti degli uditori, non tutti naturalmente, ne avevano un’idea molto vaga, quindi aggiungerò qui una premessa.
Fin da quando si parla del coronavirus abbiamo imparato che le epidemie si combattono con le tre T: Tracciare, Testare e Trattare. La App serve a fare il tracciamento nel modo più efficiente e generalizzato possibile. Quanto meglio si fa il tracciamente tanto meglio si possono individuare e testare i possibili contagi e quindi trattarli se necessario.
Tracciamento manuale
La pratica comune è di partire da una persona a cui viene diagnosticata la malattia e di andare indietro nel tempo e individuare tutte le persone che avrebbe potuto infettare, cioè, a quanto ci dicono gli infettivologi, le persone che gli sono state vicine (meno di 2 metri) e per un certo periodo (15 minuti).
Purtroppo questo metodo di indagine epidemiologica è oneroso perché richiede un mucchio di tempo agli operatori sanitari che interrogano il paziente, probabilmente non nelle migliori condizioni di spirito per questo interrogatorio, ed inoltre spesso lascia molte aree scoperte, perché il paziente non ricorda, o, addirittura, preferisce non raccontare certe cose “private”.
In sostanza questa soluzione va bene per indagini epidemiologiche di piccole dimensioni e per malattie di estrema gravità, dove il tempo degli operatori sanitari è ben speso e si possono impiegare operatori ben addestrati a questa funzione.
Tracciamento informatico
Un’idea un po’ più tecnologica, che oggi possiamo permetterci, è di raccogliere a priori tutti i contatti tra le persone, tanto con costa nulla e non dà nessun fastidio, e solo a posteriori, quando si sia diagnosticata la malattia a una persona, si va a ritroso a cercare tutte le persone con cui è venuto in contatto. Non è necessario interrogare il malato e non ci sono aree scure dovute a dimenticanze oppure a reticenze.
La App e il sistema informatico a cui si appoggia fanno questo. Naturalmente per far questo serve la App, serve che sia usata dalle persone, serve che sia unica per tutto il mondo (il virus non conosce i confini di regione, e di stato), serve il sistema informatico che la supporta, e infine serve che il sistema sanitario sappia poi fare le altre due T, Testare e Trattare. Se non ci sono queste condizioni tanto vale non iniziare neppure.
Se fossi il capo progetto
Detto ciò, analizzo la App e il sistema informatico, mettendomi nei panni di un capo progetto, panni che ho vestito per molti anni, e analizzandone requisiti, problemi e rischi.
Vediamo le due le componenti della prima T Tracciamento : l’identificazione dei contatti, nel raggio di due metri e per 15 minuti, e la verifica degli eventuali infetti tra i contatti raccolti, in modo da potere avvertire gli altri, i non malati, se si ritiene che il contagio fosse già trasmissibile alla data del contatto. Cioè ad uno tra le mie decine di contatti di 5 giorni fa è stata diagnosticata la malattia, e il medico ritiene che 5 giorni fa fosse già contagioso, allora il sistema mi informa, tramite la App, della cosa.
Come raccolgo i miei contatti
In generale la App sul mio telefono può usare due metodi per sapere se è vicino ad un altro telefono, con la stessa App.
Uno basato sulle mie coordinate geografiche, date dal GPS, un altro basato su un segnale radio o sonoro che ogni telefono emette e che riceve dagli altri.
Coordinate geografiche
La soluzione delle coordinate geografiche è molto semplice perché se io sono in un posto e anche tu sei nello stesso posto, per 15 minuti, allora tu sei un mio contatto. Naturalmente l’informazione del contatto è data da un mio codice (ne parliamo dopo) e da un analogo codice dell’altro telefono. Non serve affatto memorizzare anche le coordinate geografiche.
Purtroppo il GPS di base non fornisce coordinate geografiche abbastanza precise, 2 metri sono una distanza molto piccola, e inoltre il GPS non funziona in ambienti chiusi, o è ancora più impreciso.
Segnale radio o sonoro
La soluzione radio, che usa il ben noto Bluetooth, nella versione a bassa energia (BLE), sembra una buona idea. Si basa su un meccanismo nato apposta per comunicare a basse distanze e consumando poco la batteria ed è molto sperimentato. Purtroppo di base con la radio non si misurano le distanze in modo preciso.
C’è una nota legge fisica che dice che la potenza di un segnale, radio e anche sonoro, si attenua con il quadrato della distanza. Quindi si passa facilmente dalla potenza del segnale ricevuto alla distanza del trasmettitore. Purtroppo la legge fisica funziona in condizioni ideali. Ad esempio gli ostacoli, compreso il corpo delle persone, attenuano il segnale. Inoltre i vari telefoni usano soluzioni tecniche un po’ diverse e quindi è necessario che i due telefoni si parlino per capirsi e verificare bene quello che uno trasmette e l’altro riceve. In sé non è un problema, abbiamo 15 minuti per capirci, ma bisogna trovare il modo opportuno di farlo.
Per nostra fortuna si studia l’utilizzo del Bluetooth da tempo, anche prima di questa nuova esigenza, per applicazioni IoT (Internet delle cose) dove diverse cose vogliono sapere la loro posizione reciproca.
La soluzione sonora, cioè emetto un bit bit a ultrasuoni, è simile a quella radio. Mi pare sia meno studiata ma è comunque già disponibile sui telefoni.
Il mio sentimento (non certezza documentata ad ora) è che si troverà una soluzione che elimina questa incertezza sulla distanza. Ci stanno lavorando i colossi Apple e Google, che questa volta si devono mettere d’accordo e non farsi la guerra, a nostro scapito, come fanno sempre.
Per prudenza, se fossi il capo progetto, chiederei anche di considerare una combinazione dei due approcci, coordinate e segnale radio o sonoro, per aumentare l'affidabilità del rilevamento.
Primo requisito aggiuntivo: affidabilità
La App nella funzione di rilevamenti dei contatti. deve essere molto, molto, sicura, cioè dare risultati giusti al 100%. Deve dare il meno possibile di falsi positivi e falsi negativi.
Falsi negativi, cioè contatti non registrati, mettono in pericolo la salute della persona che non pensa di essere in pericolo. Falsi positivi, cioè persone erroneamente indicate come contattate che vengono avvertite e si rivolgono alle strutture sanitarie intasandole inutilmente.
Ma soprattutto se la App funziona male, la voce inevitabilmente si sparge e ne segue un generale rifiuto a fare il tracciamento.
Perdere la fiducia dei propri utenti e beneficiari è il più grave disastro che può accadere ad una qualsiasi soluzione tecnica. Qui in più ci sono di mezzo gli arcani misteri dell’informatica e delle reti, per cui c’è una generale diffidenza giustificata da frequenti incidenti tecnici: “qui non funziona mai niente”. A cui dobbiamo aggiungere i “profeti di sventura” che si sentono in dovere di usare tutti i canali di comunicazione per mettere in guardia la popolazione dal pericolo del dominio della macchina (qualsiasi cosa di elettronico) sull’uomo.
Secondo requisito aggiuntivo: coinvolgimento
Per essere certi che la App faccia bene il suo lavoro di raccogliere i “contatti giusti” e per renderla veramente utile, è necessario che la App sia trasparente, cioè comprensibile, per i normali utenti. E non sto parlando di trasparenza tecnica per verifica, che è anche indispensabile.
La App non deve soltanto funzionare “in silenzio” senza che la persona se ne accorga e senza interferire sul suo normale uso del telefono, ma deve anche avere una funzione che permetta all’utente di vedere cosa ha raccolto. In pratica devo poter aprire una finestra sul mio telefono che mi dice “oggi hai avuto X contatti, in queste fasce orarie”.
A cosa serve questa funzione.
Primo ad aiutare le persone a “limitare i contatti”. Se stiamo tracciando vuol dire che c’è un certo pericolo di diffusione, è quindi opportuno che ci rendiamo conto di quanti contatti abbiamo.
Secondo, per verificare e mettere a punto la App stessa. Noi progettisti siamo abituati a fare il cosiddetto beta-test dei nostro programmi, dopo averli testati in laboratorio. Non tutti gli utenti della App, ma molti dei più collaborativi e tecnicamente appassionati, potranno anche mandare dei riscontri al sistema informatico, tipo “mi piace” o “non mi piace” a seconda che pensino che la App tracci bene o male, in base a quanto ricordano.
E terzo, per umanizzare, rendere vicina agli esseri umani la App, che non è un forza del male che mi controlla, ma un gentile aiutante.
Uso dei contatti raccolti
Risolto il problema di raccogliere i contatti bisogna usare questa informazione per segnalare se tra i miei contatti, una persona è risultata positiva, e qui interviene il sistema informatico che supporta la App.
Soluzione semplice
Una soluzione banale è inviare ogni sera le coppie di contatti raccolti dal mio telefono a un deposito.
In questo modo, quando una persona che stava usando la App viene diagnosticata positiva, si cerca se è nel deposito, cioè se aveva raccolto nei giorni precedenti dei contatti, in pratica se era andata “in giro”. Se c’è vuol dire che ha avuto dei contatti e il sistema informatico informa, vedremo come, questi contatti attraverso la App dicendo qualcosa del tipo “un tuo contatto è risultato positivo e siete stati in contatto nel suo periodo di contagiosità, rivolgiti all’autorità sanitaria”. Non sto qui ad analizzare come poi la storia continua. Riguarda le altre T.
Le altre soluzioni
Se avete letto i giornali o ascoltato notizie e dibattiti su questa App, avrete visto che la soluzione semplice è stata subito scartata. Che ci stanno a fare centinaia di persone nei comitati tecnici e migliaia di esperti nel mondo se si usa una soluzione così semplice?
E poi qual è la prima preoccupazione che tutti, tecnici, politici e anche i miei amici nel nostro talk show, hanno sollevato? La privacy. Ma se traccio i miei contatti, io lascio una traccia, e quindi chi segue quella traccia scopre tutto di me, delle mie abitudini, frequentazioni, ecc. Infatti hanno anche deciso di non chiamarla più App di tracciamento. Anche se era la prima T alla base della epidemiologia da sempre.
Questa preoccupazione e le “narrazioni” che se ne fanno sono tecnicamente false e ideologicamente sbagliate.
Errori ideologiche sul tema privacy
Prima di dire perché è tecnicamente falsa vediamo perché è ideologicamente sbagliata visto che stiamo analizzando diritti e doveri in una società, non in una jungla.
All’inizio dicevo che uno dei problemi dell’indagine epidemiologica fatta da un operatore sanitario è che il malato potrebbe non voler raccontare di alcune sue frequentazioni, per motivi suoi. Secondo voi ha diritto un cittadino di non dire che è andato al cinema due sere prima perché era con una signora e non vuole che la moglie lo sappia? Naturalmente no, visto il rischio che abbia infettato centinaia di persone. Ma, naturalmente ha diritto di pretendere che l’operatore sanitario a cui l’ha detto, non lo racconti alla moglie. Quindi il problema della privacy dipende dalla fiducia sull’onestà e correttezza di chi raccoglie le informazioni. Non è quindi un diritto assoluto la mia privacy, a maggior ragione nella grave situazione in cui siamo.
Evitiamo, vi prego, che venga fuori il principe del foro che dice che ci vuole un’ingiunzione di un giudice per obbligare un paziente a raccontare con dettaglio i suoi movimenti. Qui siamo di fronte un comune problema di diritto individuale e bene collettivo. Potrà anche capitare che qualche brava persona abbia i suoi fatti privati divulgati da qualche addetto stupido o disonesto, cioè che si fa corrompere. Ma non possiamo per il rischio di alcune vittime della privacy violata, accettare le migliaia di vittime della pandemia, non combattendola al meglio.
Falsità tecniche sul rischio per la privacy
Ma passiamo alla falsità tecnica. Molte mie affermazioni sono di principio e un esperto potrebbe trovare errori o stupidaggini. Di questo non mi preoccupo, e anzi mi scuso in anticipo.
Mi preoccupano invece i lettori, se mai ce ne saranno, che sono convinti che le cose informatiche non funzionano mai, che ci sono sempre i poteri occulti che le usano per i loro interessi, e che quindi bisogna starne distanti, Purtroppo è vero che noi progettisti facciamo errori di progetto e questi causano disservizi, e anche che i poteri occulti usano tutto il possibile a loro vantaggio, ma non è “fermando il mondo” che queste cose si risolvono. Si risolvono facendo le cose bene e aumentando, non diminuendo, il coinvolgimento di tutti, anche come dicevo prima parlando del coinvolgimento.
Codici usati nei contatti
Tecnicamente i contatti consisteranno in coppie di codici, in pratica lunghi numeri, generati automaticamente e aggiornati frequentemente, per identificare in modo “irreversibile” ognuno degli utenti della App quando compaiono come una parte del contatto.
Irreversibile vuol dire che da Enrico Rusconi si può andare al mio codice 76867686254242, ma da quel numero non c’è modo, assolutamente di risalire a Enrico Rusconi. Esistono da tempo tecniche sicure per far ciò. Quindi le coppie di contatti, ovunque siano memorizzate, non permetteranno mai di risalire ai nomi delle persone per mezzo di qualsivoglia algoritmo.
A questo proposito un’altra comune falsa idea su che cosa si basa la sicurezza informatica è di pensare che si basi su tecniche informatiche segrete, che nessuno conosce salvo chi le usa. Non è così: la sicurezza è, al contrario, data dal fatto che la tecnica è nota a tutti e validata dagli esperti. C’è naturalmente una parte segreta, per esempio una chiave d’accesso che l’incaricato deve custodire e possibilmente non vendere!
Dove teniamo i contatti: soluzione 1, in un deposito?
Dove si possono memorizzare queste coppie di codici? Dal mio telefono dove li ho raccolti li mando ogni sera su un deposito centrale in un posto sicuro e custodito. Sicuro e custodito almeno come il forziere di una banca.
Sì ma si possono svaligiare le banche. In questo caso, essendo informazioni informatiche non posso aprire il deposito con la lancia termica. Posso solo corrompere l’incaricato che le custodisce. Ma non posso anche accedere al deposito e estrarre i dati che ci sono dentro e sono cifrati senza passare dall’incaricato? Secondo me no. Lo fanno nei film sulle spie ma tecnicamente, se si sono usate le tecniche giuste, senza un addetto che si fa corrompere o che usa incuria nella gestione dei dati non si accede. Almeno così dice la storia, non la letteratura, delle violazioni informatiche, anche se, nella storia, non sempre ci raccontano chi si è fatto pagare, o chi è il pollo che ha lasciato la porta aperta, o che hanno usato soluzioni tecniche deboli o “bacate”.
Ma ammettiamo che un addetto si faccia corrompere e un delinquente scarichi migliaia di contatti di Torino della settimana scorsa. Forse, ad esempio, con complicate elaborazioni può risalire a due codici che spesso sono in contatto e magari arrivare anche a scoprire chi sono, perché li vedo fisicamente sempre insieme e li ritrovo tra i contatti frequenti.
Dove teniamo i contatti: soluzione 2, solo sul mio telefono?
Se voglio evitare il rischio che ho descritto, anche se mi sembra un rischio remoto e irrilevante, posso tenere i dati solo sul mio telefono. Vedremo cosa cambia nell’uso.
Ma intanto se mi rubano il telefono, possono fare quelle cose che farebbero sul deposito centrale e in più un contatto lo conoscono per certo. Terribile, la mia privacy è violabile e quindi da buon samurai … mi suicido.
E quindi: dove teniamo i contatti: è irrilevante!
“Chi se ne frega” se, con tutta quella fatica scoprono vicino a chi ero la settimana scorsa. Qual è il valore di questo tipo di privacy, naturalmente confrontata con la battaglia contro la pandemia. Forse qualche mafioso, terrorista o simile, è interessato a proteggersi da questo rischio, non penso siano interessati i comuni cittadini, e comunque non io. L’altra sera in un talk show un giornalista ha detto “non userò la App perchè non voglio che si possa sapere dove sono stato ieri”, purtroppo il conduttore non gli ha chiesto “perché?”.
Ritengo quindi questo dibattito tra deposito centralizzato e distribuito, tecnicamente molto stimolante, ma sostanzialmente irrilevante. Se non ha impatto sull’affidabilità e efficienza del sistema di tracciamento, concordo che è più elegante quello distribuito. Se invece ne riducesse affidabilità e efficienza, meglio centralizzato
Una persona con la App risulta ammalato
Ma vediamo cosa capita quando si trova un malato, in relazione al funzionamento del sistema. Al malato si chiede se ha la App installata e da questa si estraggono i suoi codici usati nei contatti. Ce li deve dire (in modo informatico naturalmente), altrimenti era inutile fare il tracciamento.
Differenza tra deposito centralizzato e distribuito
Se il deposito contatti è centralizzato, in un millisecondo l’autorità che sta facendo il tracciamento viene a sapere che enne persone, cioè contatti, sono potenzialmente coinvolte. Non sa chi sono, non sa dove è avvenuto il contatto, sa solo quando.
Se invece il deposito non è centralizzato, l’autorità trova le enne persone tra i contatti nel telefono dell’ammalato.
Non c’è quindi differenza fra centralizzato o distribuito?
Dipende. Se la tecnica di rilevamento dei contatti sui telefoni garantisce la simmetria, cioè io ho te tra i contatti e tu hai me, non c’è differenza. Se invece non fosse così, nel deposito centrale ci sono anche i contatti asimmetrici: A - B, anche senza B - Ai.
Come informare chi è venuto in contatto con un positivo
A questo punto, l’autorità pubblica deve informare i contatti della persona risultata positiva e quindi potenzialmente contagiosa , contatti di cui conosce solo i codici. Come fa? Ci sono almeno due modi.
Comunicazione diretta: push
Se si è previsto che l’autorità conosca la corrispondenza codice contatto - identità dell’utente della App. Cioè la App comunica questa informazione all’autorità. L’autorità informa direttamente i contatti interessati con un opportuno messaggio, speciale e cifrato, inviato alla App. Rischi per la privacy? L’autorità conosce la corrispondenza codice contatto - nome della persona. Se qualcuno corrompe chi gestisce questo elenco risale all’identità delle persone tramite il loro codice contatto. Poi cosa se ne fa, non si sa, ma non è bello!
Comunicazione indiretta: pull
L’elenco dei positivi del giorno viene messo in un deposito accessibile a tutti i telefoni con la App installata. La App di ogni telefono legge questo elenco, una volta al giorno, e se trova qualche suo contatto avverte il padrone del telefono della possibile infezione. Rischi per la privacy? L’elenco dei positivi è accessibile a tutti, ma per risalire ai nomi bisogna corrompere l’autorità che li conosce.
Confronto delle due soluzioni
La soluzione push è di una banalità evidente.
La soluzione pull è sicuramente fattibile ma è tecnicamente più rischiosa: nel mondo ci sono decine di migliaia di positivi al coronavirus al giorno, in ogni parte del mondo, e ogni giorno miliardi (pandemia mondiale) di App vanno a leggere questi elenchi. Sono accessi non pressanti come tempo, posso anche saperlo ore dopo di un nuovo malato e con scambio di dati piccoli. Sicuramente il sistema informatico non crollerà per questi miliardi di accessi giornalieri. Vero? Quando mai si sono visti sistemi informatici crollare per troppi accessi.
L’unica differenza è sul rischio, percepito o reale alla privacy. In sostanza, per la soluzione push ci vuole, sulla App da installare, una bella casella con “acconsento” che l’autorità gestisca la corrispondenza tra il mio codice contatto e la mia identità. Non acconsento che sia divulgata, acconsento solo che sia gestita con la massima cautela, e solo al fine di informarmi se sto rischiando l’infezione.
Veri rischi dell’uso della App
Se ci togliamo il paraocchi della paranoia anti-informatica e della privacy, i veri rischi sono:
Le altre due T
Il sistema sanitario, del paese o del mondo, non ce la fa a Testare e Trattare i casi. Dargli in pasto più sospetti può solo aggravare la cosa.
Liberi tutti: eccesso di sicurezza
Confidando, troppo, nello scudo magico della App, le persone incrementano i loro comportamenti a rischio, non curano distanziamento e igiene, non prestano attenzione ai sintomi della malattia. L’eccesso di sicurezza è spesso la contropartita della tecnologia, spesso se di cattiva qualità e mal comunicata.
Il requisito del Coinvolgimento, che citavo prima, potrebbe forse, in parte, mitigare questo rischio.
Post scriptum: è il momento buono per ragionare sulla privacy
Come spesso, nelle situazioni di gravi emergenze siamo di fronte alla scelta tra diritti individuali e bene collettivo. Un ben noto esempio sono le violazioni del diritto alla privacy dei singoli per fronteggiare criminalità e terrorismo. Non sempre queste scelte hanno portato ai risultati attesi e quindi si è creata una ipersensibilità ai diritti violati senza motivo.
Purtroppo un effetto negativo di questa ipersensibilità dei cittadini ha indotto le autorità politiche di mezzo mondo, alimentate dalla solite buone intenzioni, a creare un gigantesco castello di carte di norme legali a “protezione” del diritto alla privacy o in generale alla gestione dei dati personali.
Come sperimentiamo tutti, ogni giorno ci viene chiesto, in continuazione, per ogni cosa, se “accettiamo” o “accordiamo” qualcosa di relativo alla raccolta e all’uso dei nostri dati personali. Chi mai dice no e chi mai capisce cosa e perché lo chiedono? Parlo di noi normali esseri umani, non dei super professionisti della materia.
Qual è l’effetto di ciò. Siamo più “protetti”? No, e non solo, ma abbiamo perso ogni sensibilità al problema, cioè non stiamo attenti quando dovremmo, e abbiamo comunque interiorizzato una diffidenza generica per l’uso informatico dei nostri dati e in generale per i sistemi informatici.
Vediamo, ad esempio, che alle proposte di generalizzare l’identità digitale e la gestione informatica dei nostri dati vengono fatte mille obiezioni da chi teme l’evoluzione della maturità informatica dei cittadini, e vuole tenerli più sotto controllo. Non è nulla di nuovo. È lo stesso meccanismo che ha fatto creare una mole ingestibile di leggi e di regole burocratiche. Se da una parte ci sono fini giuristi, esperti di leggi, procedure e tutela del cittadino, che lavorano in buona fede, dall’altra penso che loro stessi cadano nella trappola dei politici disonesti che invece traggono il loro potere dal tenere il paese in uno stato di arretratezza e immobilità.
Se useremo bene le misure informatiche per contrastare la pandemia e metteremo nella giusta prospettiva i diritti individuali, tra cui la privacy, e il bene comune, forse ne trarremo anche il vantaggio di una maturazione consapevole e non timorosamente paranoica dell’uso dei dati informatici nella nostra vita.