Sì degli Stati membri dell’Unione Europea sulla interoperabilità tra le diverse applicazioni mobili di contact tracing

Dopo essere stata utilizzata in via sperimentale nelle regioni Puglia, Marche, Abruzzo e Liguria, a partire da lunedì 13 giugno l’app Immuni è già attiva in tutto il territorio nazionale e può essere scaricata gratuitamente su gran parte degli smartphone oggi in commercio, quindi dalle piattaforme Apple StorePlayStore. L’applicazione, progettata per il tracciamento dei contatti e per ricevere notifiche nel caso si sia entrati nelle vicinanze di persone poi risultate positive al coronavirus, è stata sviluppata per conto del governo (a titolo gratuito) dalla giovane startup milanese Bending Spoons in partnership con il Centro Medico Santagostino (coinvolto per la gestione dei dati sanitari) sia per iOS (il sistema operativo di iPhone) sia per Android. Bending Spoons è un’eccellenza italiana affermata nel suo settore, primo sviluppatore di app in Europa: con una dozzina di app, 270.000 nuovi utenti al giorno e 45,5 milioni di fatturato (nel 2018). Fondata a Copenhagen nel 2013, nel 2014 è tornata in Italia, Paese di origine di quattro dei suoi cinque partner, e nei suoi uffici di Milano lavorano oggi oltre 150 dipendenti. 

L’approccio decentralizzato

Prima di giungere alla versione definitiva l’app ha dovuto tuttavia seguire un percorso irto di ostacoli. Si sono resi necessari infatti nel corso del tempo vari interventi e modifiche per far fronte alle numerose critiche rivolte da esperti informatici e da alcuni giuristi per via di problemi legati alla privacy e alla sicurezza. Si è passati così da un approccio centralizzato a uno decentralizzato con l’adozione di un modello più aderente alle stesse normative europee in tema di privacy. Con il primo il governo centrale avrebbe potuto controllare le informazioni dei singoli cittadini riservate senza che l’utente potesse esercitare alcun controllo. Avere dei dati centralizzati può essere molto pericoloso in quanto nulla vieterebbe ad un governo un uso distorto delle informazioni per esercitare una maggiore sorveglianza nei confronti dei cittadini. Queste critiche iniziali hanno convinto i decisori politici e gli sviluppatori a puntare su una soluzione in cui i dati venissero minimizzati e conservati per un periodo limitato di tempo (entro dicembre). Con il modello decentralizzato i dati rimangono sul nostro dispositivo e l’identificativo viene condiviso solo in caso di notifica. Altro significativo obiettivo raggiunto: l’applicazione da proprietaria oggi viene rilasciata in modalità open source, quindi con minori rischi in termini di vulnerabilità. 

Il modello decentralizzato adottato fa riferimento al protocollo rilasciato lo scorso mese di aprile da Apple e da Google – le due compagnie che controllano la quasi totalità dei sistemi operativi degli smartphone in commercio – e che utilizzano lo standard di comunicazione BLE (Bluetooth Low Energy). Funziona così: ogni smartphone genera una chiave identificativa anonima alfanumerica (ID) che viene conservata solo nel dispositivo. Ogni volta che due cellulari si trovano a una certa distanza per un determinato intervallo di tempo essi si scambiano, attraverso il protocollo Bluetooth, il proprio identificativo anonimo. Poi deve essere il singolo utente a decidere cosa fare: ad esempio se un individuo sa di essere positivo, quelli che risultano essere stati vicini a lui per un certo periodo di tempo ne vengono informati. Qui entra in campo una figura importante: l’operatore sanitario che, dopo aver identificato (ad esempio tramite test) un nuovo caso di COVID-19 durante l’intervista di contact tracing, riceve dal paziente i codici dei contatti. L’operatore mette quindi in rete la lista dei codici (quelli dei contatti, non quelli del malato di COVID-19, che rimane dunque totalmente anonimo). “Questa lista – spiega Stefano Zanero, professore di Cybersecurity al Politecnico di Milano – raggiunge tutti i cellulari dotati dell’app. Solo il cellulare che si ‘riconosce’ in uno di quei codici avvisa con notifica l’utente, che quindi è l’unico a sapere di avere avuto un contatto, e nemmeno ‘con chi’. Questo processo avviene tutto in locale sul nostro cellulare.”

La versione definitiva di Immuni, scaricata fino ad ora da oltre 2 milioni e mezzo di italiani, offre quindi le più ampie garanzie in termini di privacy e di sicurezza. Appaiono pertanto eccessivi i timori  di coloro che paventano lo spettro di improbabili “società della sorveglianza”. “È un’ottima applicazione” – afferma Matteo Flora, un altro esperto di sicurezza informatica, che pure non aveva risparmiato forti critiche nella fase iniziale, quando si pensava a un modello di tipo centralizzato. “L’app mi dice se il servizio è attivo o non attivo – aggiunge. “È la prima app della pubblica amministrazione ad essere fatta così bene, con una documentazione esauriente che si può trovare anche nel sito ufficiale”. Ma se l’app appare inattaccabile sul piano squisitamente tecnico, molte perplessità rimangono sulla reale efficacia dal punto di vista epidemiologico. Lo stesso Jason Bay, il ricercatore che ha sviluppato quella che forse può essere definita la app di contact tracing più efficiente al mondo – quella alla base del “modello Singapore” (solo 20 morti per 22.460 contagiati su una popolazione di 5,6 milioni di abitanti) – non cede al trionfalismo tecnologico e si esprime in questi termini: “Se mi chiedete se qualsiasi sistema di tracciamento dei contatti che passa da Bluetooth, in qualsiasi luogo del mondo, sia pronto a sostituire il tracciamento manuale, la mia risposta è inequivocabilmente no”.

Le 3 T

Già in piena epidemia la app veniva presentata da qualcuno come se fosse l’arma risolutiva per combattere l’epidemia nelle fasi 2 e 3, mancando però di sottolineare il fatto che perde la sua efficacia se non inserita correttamente all’interno di una strategia epidemiologica caratterizzata dalle cosiddette 3 T: testing, tracing e treatment. Il che significa: mirata estensione dei tamponi per individuare i soggetti asintomatici (testing); strategie di tracciamento dei casi (tracing), che possono essere adottate manualmente e parallelamente in maniera più efficace e veloce attraverso una tecnologia come Immuni; e quindi loro conseguente e pronto isolamento (treatment), oltre beninteso al ricorso alle indagini siero-epidemiologiche per conoscere la diffusione del virus nella popolazione. La app non può essere quindi considerata come la panacea per combattere il virus come è stata presentata erroneamente all’inizio: da sola non può fare certo miracoli in assenza di un sistema di sanità pubblica efficiente e in grado di supportarla adeguatamente. Da considerare inoltre il fatto che la maggior parte degli epidemiologi sostiene che per essere realmente efficace dovrebbe essere scaricata da una percentuale significativa di utenti. Viene citato spesso al riguardo uno studio pubblicato dall’Università di Oxford secondo il quale l’app dovrebbe essere scaricata almeno dal 50% della popolazione. Nonostante questi dubbi, quasi tutti gli esperti invitano comunque a scaricarla: anche nel caso di scarsa utilità nell’immediato l’app potrebbe rappresentare uno strumento fondamentale in vista di una possibile seconda ondata prevista da molti nell’autunno-inverno di quest’anno. È di questo avviso ad esempio l’epidemiologo Fabrizio Pregliasco: testarla ora potrebbe essere importante per il futuro. “Se fosse arrivata prima, sarebbe stato meglio – afferma. L’app ora non sarà determinante ma contribuirà a tenere sotto controllo un problema che ci terrà compagnia a lungo. Nei prossimi mesi ci potrebbe aiutare a passare una buona estate, segnalando subito i contatti potenzialmente pericolosi”.

L’interoperabilità tra le app dei paesi europei

Un altro scoglio importante da superare è legato alla possibilità di far dialogare tra di loro le varie app di contact tracing sviluppate nei vari Paesi europei. A tale riguardo gli Stati membri, con il sostegno della Commissione europea, hanno concordato proprio ieri una serie di specifiche tecniche volte ad assicurare lo scambio sicuro di informazioni tra le app nazionali di tracciamento dei contatti basate su un’architettura decentrata. Ciò riguarda la stragrande maggioranza delle app di tracciamento già lanciate nell’UE o sul punto di esserlo. Una volta introdotta la soluzione tecnica, tali applicazioni nazionali funzioneranno senza soluzione di continuità quando gli utenti viaggeranno in un altro paese dell’UE che applica anch’esso l’approccio decentrato. Con l’avvio, da parte degli Stati membri, della revoca delle restrizioni di viaggio a livello transfrontaliero in tempo per le vacanze estive, si compie così un ulteriore importante passo verso l’interoperabilità.

Thierry Breton, commissario per il Mercato interno, ha dichiarato che, “con l’approssimarsi della stagione turistica, è importante garantire che i cittadini europei possano utilizzare l’applicazione del proprio paese ovunque si trovino in viaggio nell’UE. Le app di tracciamento dei contatti possono essere utili per limitare la diffusione del coronavirus, in particolare nel quadro delle strategie nazionali miranti alla revoca delle misure di confinamento”. “Le tecnologie digitali sono essenziali per allertare i nostri cittadini in merito ai rischi di infezione e per interrompere le catene di trasmissione mentre si procede alla riapertura delle nostre società ed economie”, le parole di Stella Kyriakides, commissaria per la Salute e la sicurezza alimentare. “Invito i nostri cittadini a farne uso, poiché queste tecnologie possono essere efficaci solo se disponiamo di una massa critica di utenti e dell’interoperabilità delle applicazioni tra un paese e l’altro dell’UE. Non scenderemo a compromessi in materia di sicurezza dei dati, di diritti fondamentali e di tutela della vita privata in relazione a questi strumenti digitali”.

Le informazioni di prossimità condivise tra app saranno scambiate in forma cifrata in modo da impedire l’identificazione di una singola persona, in linea con i rigorosi orientamenti dell’UE relativi alla protezione dei dati, e non saranno utilizzati dati di geolocalizzazione. Per sostenere l’ulteriore ottimizzazione del sistema, la Commissione istituirà un servizio di gateway, ossia un’interfaccia per la ricezione e la trasmissione efficienti delle informazioni pertinenti inviate dalle app di tracciamento dei contatti e dai server nazionali. Questo servizio ridurrà al minimo la quantità di dati scambiati e, così facendo, diminuirà il consumo di dati degli utenti. Le specifiche tecniche concordate oggi si basano sugli orientamenti sull’interoperabilità concordati a maggio, che fissano i principi generali.

Sebastiano Catte, com.unica 19 giugno 2020