10 Aprile 2020 – 18:02

Contact tracing (foto: Orbon Alija via Getty Images)Chiamata a valutare le proposte di app per il tracciamento dei contagi di coronavirus, la task force nominata dal ministero dell’Innovazione si è espressa, identificando i due progetti che potrebbero correre in aiuto del governo e dei cittadini italiani.

Come confermato a Wired da due fonti indipendenti e non direttamente interessate dal bando, il primo nome della lista è quello della coppia Bending Spoons e Centro medico Santagostino, la cui prima bozza di proposta era arrivata sul tavolo del governo almeno dalla prima settimana di marzo, prima dell’apertura del bando celere indetto dal ministero, come già raccontato da questa testata. Seconda nella shortlist del governo è la proposta Covid Community Alert, formulata da un team internazionale di esperti e promossa dall’imprenditore ed ex parlamentare di Scelta Civica, Stefano Quintarelli.

Nonostante le due opzioni nella lista siano state identificate martedì, secondo quanto ricostruito da Wired, rimane il massimo riserbo sul contenuto della scelta. Perché ora la selezione deve passare al vaglio del Consiglio superiore di sanità per appurare la validità epidemiologica, del governo stesso e dal confronto con la Commissione europea. Nella sua raccomandazione dell’8 aprile, Bruxelles ha dato una settimana di tempo per “sviluppare un approccio comune” in modo da “affrontare la crisi attraverso strumenti digitali”. Tra le richieste, la più ampia tutela della privacy dei cittadini e l’interoperabilità .

Uno dei criteri sui quali si è fondato il parere del gruppo di lavoro voluto dal ministro dell’Innovazione, Paola Pisano, sarebbe proprio la capacità delle aziende o enti scelti di reagire rapidamente alle indicazioni che stanno venendo scritte in queste ore da Bruxelles. Negli scorsi giorni un partecipante al bando ha detto a Wired di aver ricevuto richiesta di assicurazioni proprio in merito alla possibilità di implementare funzioni che garantiscano l’interoperabilità della piattaforma tecnologica proposta, senza tuttavia che siano stati forniti chiarimenti tecnici in merito.

La prima scelta

La prima scelta del gruppo di lavoro è quella di cui si hanno meno informazioni pubbliche. La proposta viene da una collaborazione tra il Centro medico Santagostino, rete di poliambulatori specialistici nota per la digitalizzazione dei processi ospedalieri, e l’azienda Bending Spoons, specializzata nella produzione di alcune tra le app di yoga e fitness più utilizzate al mondo e del celebre gioco Live Quiz. Come riportato anche dal Corriere della Sera, Bending Spoons fa però parte anche del progetto europeo Pepp-Pt, che punta a offrire un protocollo di tracciamento dei contatti basato su tecnologia bluetooth, più rispettoso della privacy dei cittadini rispetto alle soluzioni gps.

D’altra parte, anche il ministro dell’Innovazione, come riportato in audizione alla Commissione trasporti, poste e telecomunicazioni della Camera, ha descritto una sorta di identikit dell’app. Tra i prerequisiti: adozione su base volontaria, soluzione open source (dunque il cui codice è pubblicamente consultabile), tecnologia bluetooth per l’individuazione dei contatti e raccolta di dati “sufficientemente anonimi”. Su quest’ultimo punto si sono osservate le critiche da parte di alcuni giuristi italiani, che ricordano la differenza tra dati anonimi e pseudo tali.

Vorrei far sommessamente notare che, tra l'altro, "dati sufficientemente anonimi" non vuol dire nulla. L'anonimato c'è o non c'è. Se è "sufficientemente" anonimo vuol dire che non c'è. Non ammette mezze misure! https://t.co/t9bD92yvHV — francesco p. micozzi (@fpmicozzi) April 8, 2020

La seconda opzione

Definita con il nome di “soluzione riservista” dalle fonti di Wired, la seconda voce della lista è anche quella di cui si conoscono pubblicamente più dettagli, come già raccontato da questa testata. Sul sito del progetto, rinnovato e con ulteriori informazioni rispetto a quanto precedentemente riportato, si sottolinea come la soluzione permetterebbe il monitoraggio anonimo “del 38% in più rispetto a soluzioni bluetooth tradizionali”. Stima di cui comunque non si precisa né l’origine né la metodologia utilizzata per ricavarla, com’è possibile notare nel documento progettuale.

In questo caso abbiamo due applicazioni: una per tracciare gli utenti, CovidApp, e un’altra invece per permettere ai medici di confermare la positività ai test dei pazienti, CovidDoc.

Secondo quanto riportato, la soluzione sarebbe in grado di “monitorare anonimamente dal 91,2% al 98,5% di tutte le interazioni tra cellulari, contro il 71,7% di tecnologie tradizionali”. Uno dei problemi evidenziati anche da Wired era l’impossibilità di implementare facilmente un tracciamento bluetooth per dispositivi iOs — problema sottolineato anche dai promotori dell’app — ma non è chiaro come sia stato risolto in questo caso.

L’app è open source e liberamente consultabile su GitHub: genera un codice identificativo per ogni smartphone e sfrutta la tecnologia bluetooth per raccogliere ogni secondo i codici degli altri dispositivi che rientrano nel suo raggio d’azione, inviando una notifica a chi si è trovato vicino a una persona infetta. In quel caso si forniscono istruzioni precise da seguire. I virologi avrebbero accesso a un pannello in cui modificare i livelli di rischio sulla base di diversi fattori, come per esempio il tempo di esposizione ai contatti e la distanza con essi.

L’app permetterebbe anche il tracciamento tramite gps su base volontaria. Non verrebbero però raccolte informazioni relativa all’Ip dell’utente né tantomeno dati personali come nome e cognome o numero di cellulare.

Gli identificativi convergono su server Amazon web service (il braccio cloud del colosso dell’ecommerce) presenti in Europa. Nell’analisi di sicurezza effettuata dall’azienda Tesla Consulting—il cui fondatore risulta tra i supporter del progetto, come indicato nel sito di Coronavirus Outbreak Control—si sottolinea come l’invio dei codici identificativi avvenga ogni 10 minuti. Inoltre, diverse vulnerabilità rilevate nell’analisi sarebbero state già risolte.

In Italia e Brasile l’app è in attesa di approvazione tecnica. Secondo la roadmap presente sul sito, il 7 aprile sarebbe stata effettuata la revisione tecnica e sulla privacy con il governo italiano. Mentre l’8 aprile è stata effettuata una demo con il ministero della Salute brasiliano. Ma il progetto sembra destinato a espandersi anche in Polonia, New York e Canada. In questi ultimi due casi sarebbe in attesa del primo incontro con il team dei tecnici. Sono già presenti articoli e riferimenti in Brasile.

Il protocollo proposto, dichiarano sul sito, è la base per mettere in piedi ulteriori servizi, come ad esempio la possibilità di raccogliere i segnali anche grazie a dispositivi dell’internet delle cose.

Le raccomandazioni e scadenze dell’Ue

Il 15 aprile la Commissione pubblicherà i dettagli per “l’approccio pan-europeo per le applicazioni mobili Covid-19” e saranno corredate da informazioni sul trattamento dei dati personali e la protezione della privacy dei cittadini. Nel processo di stesura, oltre agli stati membri, saranno coinvolti anche il Garante privacy europeo e lo European data protection board.

Fra i vari punti indicati nel documento della Commissione, si sottolinea la necessità di individuare le specifiche tecniche e garantire il massimo livello di interoperabilità. Nonostante questa precisazione, in Italia molte Regioni e singoli Comuni hanno già iniziato lo sviluppo di soluzioni proprie, come già ricostruito in un’inchiesta di Wired.

Per quanto riguarda la privacy, sarà necessario scegliere le misure meno invasive, ma comunque efficaci, come per esempio l’utilizzo di dati di prossimità raccolti tramite il bluetooth, evitando così dati sullo spostamento e la posizione delle persone. Dovrà essere garantita la massima sicurezza informatica sia per l’integrità e autenticità dei dati, prevedendo chiare scadenze e procedure per la cancellazione delle informazioni. Anche la trasparenza nelle impostazioni della privacy sarà fondamentale: solo in questo modo sarà possibile raccogliere la fiducia dei cittadini nel più grande progetto di tracciamento del mondo occidentale.

