4 May 2020 – 18:15

(Foto: Apple)Se non fosse già chiaro, Apple e Google hanno ribadito che non si può fare un’app di contact tracing per il coronavirus efficace se non si sta alle loro regole. I due colossi della tecnologia, che all’inizio di aprile si sono alleati per superare gli ostacoli tecnici nella comunicazione bluetooth tra i dispositivi delle loro scuderie, hanno fissato i paletti che devono rispettare le autorità sanitarie intenzionate a integrare l’interfaccia di Apple e Google sulla propria applicazione di tracciamento del contagio.

Alcuni di questi principi possono sembrare scontati, altri, almeno in Italia, sono già dati per assodati. Altri ancora, però, sgombrano il campo da alcune questioni su cui la politica ancora si interroga. Perché, se vogliono una app che funzioni su un grande numero di dispositivi, i governi devono attenersi alle sei regole made in Cupertino & Mountain View.

Per esempio: non deve essere volontario solo il consenso ad adoperare l’interfaccia per lo scambio di dati tra dispositivi, ma anche per la condivisione del risultato di un test positivo serve il via libera dell’utente. Dev’essere esplicitamente vietato che le app possano accedere ai dati di localizzazione del dispositivo (visto che la soluzione bluetooth è stata preferita proprio per la maggiore tutela della privacy) e i database devono raccogliere la minima quantità di dati, da usare solo nel contenimento del Covid-19 (detto altrimenti: usi per marketing e pubblicità mirate sono vietati). Infine, Apple e Google concederanno l’uso della loro applicazione solo per una app per paese. L’obiettivo è spingere per un’adozione su larga scala dello stesso sistema (senza il quale, l’efficacia del tracciamento digitale diminuisce) ed evitare frammentazioni (benché le aziende siano disponibili per sostenere approcci regionali).

I meccanismi di funzionamento

L’interfaccia della “notifica di esposizione”, come i due colossi hanno preferito ribattezzare il contact tracing con una verniciata più gradevole all’opinione pubblica, sarà pronta entro la metà di maggio (successivamente sarà integrata di serie con un aggiornamento del sistema operativa, ma attivata sempre solo dietro consenso esplicito). Ed è quindi lecito aspettarsi che non possano partire prima i programmi nazionali che hanno integrato le app all’interno dei loro sistemi di tracciamento. Lo stesso ministro dell’Innovazione, Paola Pisano, in audizione alla Camera dei deputati il 30 aprile ha confermato che “l’Italia baserà la sua applicazione sul modello che ci garantisce maggiore affidabilità e funzionamento su tutti i device nonché tutela della privacy, ossia il modello di Apple e Google”.

L’interfaccia prende corpo, dopo il rilascio di alcune beta la scorsa settimana. All’utente che scaricherà la app sarà chiesto se vuole abilitare il sistema per ricevere notifiche se è entrato in contatto con una persona risultata positiva al Covid-19. Incontrando altri dispositivi su cui è attivo il programma, lo smartpho scambierà via bluetooth le (low energy, che consuma poca batteria) pseudonimi random, che cambiano ogni quindici minuti circa (per ridurre il rischio che siano intercettati e attaccati da criminali informatici). Ogni giorno la app archivierà sul dispositivo una lista di “nomi di fantasia” con cui è entrata in contatto, con informazioni sulla distanza e sul tempo trascorso insieme (da un minimo di cinque minuti a un massimo di 30) per circa 14 giorni.

Se l’utente fa il test e si scopre positivo al coronavirus, gli sarà richiesto se vuole condividere la sua lista di contatti. Insieme al risultato del test potrà ricevere una password con cui caricare le informazioni e la data dell’esame (la scelta di questo meccanismo è affidata ai governi). A quel punto tutti gli altri dispositivi, collegandosi ai server delle autorità sanitarie (che in Italia saranno gestiti da Sogei), potranno scorrere la lista degli pseudonimi di soggetti affetti da Sars-Cov-2 e, se ne trovano uno che combacia con il proprio database, spedire una notifica con le misure da prendere (modello decentralizzato). Dall’isolamento volontario a una chiamata a un centralino dedicato o al medico di base. In ogni momento le persone potranno cancellare i dati e disabilitare le funzioni della app.

Braccio di ferro politico

Che i governi si attengano alla linea dei due colossi è quasi scontato, anche perché molte delle linee guida rispecchiano, almeno per l’Europa, i principi di difesa della privacy contenuti nel Gdpr, il regolamento europeo sulla protezione dei dati. E benché si possano trovare espedienti per consentire l’identificazione di smartphone tra le diverse scuderie (Bending Spoons, la società a cui è stata appaltata la app italiana, nella relazione dei tecnici del governo affermava, prima dell’accordo Apple-Google, “di poter tracciare correttamente il 94% dei contatti di tipo Android-Android e iOs-Android”), la soluzione confezionata da Cupertino e Mountain View sgombera il campo da molti ostacoli e offre una piattaforma interoperabile, obiettivo irrinunciabile per la Commissione europea per poter riaprire le frontiere.

D’altronde, le aziende hanno fissato paletti stringenti e aumentato la sicurezza informatica della piattaforma, adottando l’Advanced Encryption Standard: il protocollo matematico, autorizzato e adottato dall’Istituto nazionale per gli standard e le tecnologie del governo statunitense, che garantisce anche la protezione di documenti top secret della Nasa. Per i governi, tradotto, significa stare al gioco dei due giganti e accettare le loro condizioni. Dal modello decentralizzato al non ficcare troppo il naso nella tecnologia Apple, come pretende la Francia.

