APP IMMUNI Intervista al Prof.Matteo Flora dell’Università di Pavia
Segnaliamo l'intervista al Professor Matteo Flora docente presso la Facoltà di Economia dell’Università di Pavia da parte di Daniele Nalbone giornalista che si occupa di Politica, Economia ed Urbanistica pubblicato su MicroMega.
Ricordiamo che l'Autorità Garante ha espresso parere positivo pur con qualche riserva [doc. web n. 9328050].
Il commissario per l'emergenza epidemiologica COVID-19, Domenico Arcuri, nella conferenza stampa di martedì 28 aprile non ha reso un buon servizio al Governo e, soprattutto, agli italiani. Il suo tentativo di fare chiarezza sull’app “Immuni” ha solo aumentato la confusione e le polemiche soprattutto nella seguente dichiarazione: «Al momento dello sviluppo, e lo faremo prima di introdurla sul mercato, si potrà decidere se lasciare i dati sul telefonino e-o sul server, la modalità non cambia e anche se i dati fossero sul server pubblico, comunque sarebbero criptati». Meglio di lui ha fatto il giorno dopo Vittorio Colao, capo della task force per la Fase 2, che in un’intervista al Corriere della Sera ha almeno spiegato che «non è stato scelto il sistema centralizzato, che manteneva l’identità di tutti i contatti» ma «l’altra soluzione, quella Apple-Google». Di fatto, quindi, «i contatti (e i dati, aggiungiamo noi) stanno solo sui telefonini delle persone. Quando scopro di essere contagiato sono io che metto dentro un codice, che rilascia una serie di codici alle persone con cui sono entrato in contatto». Tutto avverrà, spiega Colao, in modo anonimo. «L’individuo viene informato dal sistema, ma il sistema non sa chi sono i due; la privacy dei due individui è mantenuta».
Il sistema “Apple-Google” semplicemente non esiste e, soprattutto, non è un sistema di gestione e conservazione dei dati come sembra emergere dalle parole di Colao ma, scusate la semplificazione estrema, un "programma" che consentirà l’interoperabilità fra i dispositivi Android e iOS (Apple) delle app sviluppate dalle autorità sanitarie. Di fatto, se oggi provate a collegare un dispositivo Bluetooth Apple a uno smartphone Android il sistema operativo non lo riconoscerà. Non sarà invece così per le App "anti Covid-19", che invece dialogheranno tranquillamente (si spera, visti i possibili problemi, ancora non risolti, con i dispositivi Huawei).
Sicuramente utile per fare chiarezza su alcuni punti è la giornata del 29 aprile che ha visto il Ministro per l'Innovazione, Paola Pisano, prima spiegare in commissione la funzione, più che il funzionamento, dell'app al cospetto dei senatori per poi portare in Consiglio dei ministri il testo del decreto sul quale c’è stato un accordo di massima nella maggioranza. «Gli utenti non verranno mai geolocalizzati. L'app registrerà esclusivamente dei codici randomici inviati mediante tecnologia bluetooth», ha spiegato la ministra Pisano, che ha precisato: «Saranno cinque i punti fondamentali che l'applicazione dovrà rispettare: dovrà essere gestita da uno o più soggetti pubblici; il suo codice dovrà essere aperto; i dati trattati saranno resi sufficientemente anonimi da impedire l'identificazione dell'interessato; la decisione di usarla sarà liberamente assunta da ogni singolo cittadino e, infine, raggiunte le finalità perseguite tutti i dati, ad eccezione dei dati aggregati anonimi, saranno cancellati».
La questione centrale nel dibattito pubblico che si è generato fin dalla decisione di creare l’app è ovviamente quella della privacy. Anche qui, però, è bene mettere subito le cose in chiaro: chi installerà la app perderà “un po’” di privacy. Su questo non c’è dubbio. Ma le domande da farci sono: “quanta” privacy, e per quanto tempo.
Quanta privacy cederemo (secondo le poche informazioni che abbiamo)?
Quando a un utente viene diagnosticato il contagio dal Covid-19 il suo dispositivo, sul quale è stata installata volontariamente la app, trasmetterà gli identificativi anonimi degli utenti incontrati fino a 14 giorni prima, che fino a quel momento sono rimasti solo sul suo smartphone al server del soggetto pubblico che gestisce il sistema che provvede quindi a informare gli altri utenti - che abbiano volontariamente installato la medesima app - di essere a rischio contagio perché sono entrati in contatto con una persona risultata positiva. L’applicazione non conserverà i dati relativi alla geolocalizzazione degli utenti, ma registrerà esclusivamente i contatti "anonimi" di prossimità rilevati mediante la tecnologia bluetooth low energy, che dovrebbe garantire quindi un basso consumo di energia e memoria. Il “sistema”, che sarà gestito da Sogei, Società Generale d'Informatica S.p.A., controllata al 100% dal Ministero dell'economia e delle finanze, saprà non che Mario Rossi è stato contagiato ma che X è stato contagiato e lo comunicherà a tutti gli Y e Z che sono stati a contatto con X, e quindi potenzialmente esposti al virus. Y, Z e gli altri non sapranno nemmeno dove sono stati a contatto con X e quando. Questa, quindi, è la privacy che dovremmo perdere: il “sistema” saprà che “qualcuno” è stato a contatto con “qualcuno” in un determinato giorno. Non è ancora chiaro quali dati saranno però condivisi da questo punto in poi. L’ingresso in campo “dei medici” avverrà solo se Y, Z e gli altri ne daranno comunicazione al Servizio Sanitario Nazionale. Nella bozza del decreto che abbiamo potuto visionare, però, c'è un punto non chiaro: si legge, infatti, che i dati ottenuti tramite l'app saranno "resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati (come è ad esempio un nickname). C'è quindi la possibilità che i dati siano resi anonimi solo dopo che questi abbiano lasciato il nostro smartphone. Il che non è una cosa secondaria.
Per quanto tempo?
Altra questione centrale: per quanto tempo il “sistema” conserverà i dati degli utenti? Perché è ovvio che se i dati, in una situazione di non contagio, rimarranno sui vari dispositivi telefonici, in una situazione di contagio saranno inevitabilmente trasmessi a un server che dovrà comunicare con gli altri dispositivi. Una volta comunicato alla app la propria positività al virus, quanto tempo “indietro” andrà il “server” nella raccolta dati? E per quanto tempo in avanti continuerà a raccoglierli? Fino al termine dell’emergenza sanitaria o solo nel “periodo finestra” di potenziale contagio di ogni singolo cittadino? Di certo, per il momento, si sa che tutti i dati raccolti saranno eliminati o resi anonimi – ancora non è chiaro - “entro” il 31 dicembre 2020.
I veri dubbi e le poche risposte
Per provare a fare chiarezza, se non sulle soluzioni almeno sui problemi reali che la “questione app” sta facendo o dovrebbe far emergere, abbiamo intervistato Matteo Flora, hacker e docente in “Corporate Reputation e Storytelling” presso la Facoltà di Economia dell’Università di Pavia, volto noto della rete grazie alla sua rubrica su Youtube "Ciao, Internet!".
Il dibattito sull’app è entrato nella sua fase più calda. Ma in queste settimane hai rilevato, diciamo così, un problema di comunicazione?
Più che un problema di comunicazione direi che c’è un serio problema di gestione del processo, che è diverso. Prendo il caso del commissario Arcuri e del modo in cui affronta la questione. Bene, credo semplicemente che lui non abbia proprio capito di cosa stiamo parlando. Partiamo da un presupposto: anche la soluzione “decentralizzata” tanto decantata non è una soluzione totalmente decentralizzata. A un certo punto una parte delle informazioni dovrà comunque essere centralizzato. La questione alla quale rispondere, e sulla quale non abbiamo ancora risposta certa, è: ci saranno i dati di tutti i cittadini, indipendentemente dal fatto che siano a rischio o meno, o i contatti dei soli cittadini a rischio? La strada scelta, attuando le linee Apple-Google è la seconda. Un sistema di “immagazzinamento” su un server nazionale è sicuramente il migliore ma ancora una volta bisognerà vedere se e quali dati saranno “aggiunti” a quelli di mero tracciamento, visto che si parla anche di un generico “diario clinico”.
Quali sono gli aspetti positivi di questa situazione a livello scientifico?
Il dato più importante arriva proprio dalla collaborazione tra Apple e Google: i due colossi, forse per la prima volta, hanno smesso di farsi la guerra e tutti e due gli “schieramenti” stanno avendo il massimo della trasparenza, dell’integrità. Davanti all’emergenza Covid hanno stabilito una tregua. E chi ci guadagna in questo caso è l’utente finale.
Quali sono invece i maggiori problemi che ancora abbiamo davanti?
Il maggiore è uno e riguarda il “terzo livello”. E non capisco perché non ne parli nessuno. Faccio un esempio per spiegarlo: A incontra B. B incontra C. Nella configurazione attuale non è particolarmente semplice avvisare C se A è infetto: puoi solo avvisare B che è potenzialmente infetto. E solo quando B diventa positivo puoi avvisare C. A livello epidemiologico ovviamente si vorrebbe avvisare C, ma per farlo, nel momento in cui A diventa positivo, devi a cascata scaricare i contatti di secondo livello. Questo andrebbe spiegato e comunicato ai cittadini. Cosa che non è stata fatta.
Quindi l’app ha dei limiti importanti?
A oggi non abbiamo una app e nemmeno una versione beta. Abbiamo un primo layer, un primo livello, che è quello del contact tracing ed è su questo che si sta costruendo la app. Non sappiamo ancora nulla, e ciò è incredibile, su quella che sarà l’applicazione finale, sugli obiettivi, sulle strategie, su come interagirà con il servizio sanitario nazionale, sui presupposti scientifici e sociali su cui si fonda. Non sappiamo nemmeno quali eventuali opzioni “aggiuntive” potrebbe avere e se possa addirittura rovinare tutto quello che è stato fatto in fase di anonimizzazione del contact tracing. Anche qui faccio un esempio: inevitabilmente una persona smetterà di essere “anonima” nel momento in cui sarà infetta o potenzialmente infetta, semplicemente perché dovrà mettersi in contatto con il Servizio Sanitario Nazionale. Ebbene, basterebbe dire che nel momento in cui si scopre di essere positivi o potenzialmente infetti cessa il requisito di anonimato perché “io” devo essere sicuro che “tu” fai il test. Raccontato e spiegato in un processo aperto di gestione del processo, del consenso e delle autorizzazioni, nessuno avrebbe problemi.
Ci sono stati però aspri scontri sulla questione.
Per l’ennesima volta i critici sono stati bollati come “i talebani della sicurezza”, ma non è così. Nessuno degli esperti di sicurezza ha detto di non fare l’app, solo una piccola parte di persone vicine ai sovranisti ha assunto questa posizione. Quello che si chiede è: minimizzazione dei dati, gestione precisa di chi ha autorizzazione ad accedervi, come, e quale sarà il tempo di sopravvivenza dei dati. Dati che devono essere giusti, corretti e minimali. Fin dall’inizio avevamo davanti due strade: una coercitiva e una partecipativa. È stata scelta la seconda strada, ma per percorrere un iter partecipativo va costruita una piattaforma di consenso, e il consenso non si ottiene con informazioni frammentarie, sbagliate, contraddittorie, e soprattutto oscure. Di un oscurantismo quasi medievale. Per costruire una piattaforma di consenso vanno raccontate le scelte - perché gli utenti non sono idioti – ma soprattutto va messa in pubblico la propria vulnerabilità, va raccontato dove sono i problemi. Solo rendendo partecipi tutti degli scopi, degli obiettivi, delle problematiche e – perché no – anche dei potenziali difetti si crea il clima di trasparenza che porta a una adozione partecipata e “sociale”.
Quali sono i limiti di un’app?
Non ci sono limiti tecnici. La questione centrale esce dalla “tecnologia” ed entra direttamente nella nostra società. Faccio un esempio: sono il proprietario di una piccola pizzeria, ho sei dipendenti e una parte di loro sono in nero o con contratti “particolari”. Non sto dicendo niente di lontano, purtroppo, dalla realtà italiana. In mancanza di una visione chiara su cosa succede ai potenzialmente contagiati non mi sorprenderebbe se il proprietario di una pizzeria, ad esempio, vieterà ai propri lavoratori di installare l’app perché se un dipendente risulterà positivo, inevitabilmente i soggetti a rischio saranno i suoi colleghi. Certo, ci potranno essere responsabilità per chi tiene questa condotta illegale, ma questo temo non scoraggerà simili condotte. E allora va stabilito e poi spiegato cosa accadrà alle persone potenzialmente infette. Dopo quanto tempo gli verrà fatto il tampone? Quanti tamponi dovranno ripetere prima di essere considerati non infetti? Se introduci un sistema che in 24 ore ti consente, se non infetto, di tornare al lavoro non ci sarà nessun problema, ma se ci metti tre settimane per fare un tampone o, peggio, viene deciso che un “potenzialmente infetto” dovrà restare a casa per 14 giorni e il tampone scatterà solo all’insorgere dei sintomi, l’app sarà un fallimento perché c’è il rischio di dover restare a casa per settimane. Se fossi un imprenditore disonesto la prima cosa che farei è fare in modo che tutti i telefoni dei miei dipendenti e siano in uno stanzino a due metri di distanza uno dall’altro.
Però la strada scelta sull’app, come dicevamo all’inizio, è stata partecipativa e non coercitiva.
Una soluzione partecipata è l’unica che può funzionare in un regime che non richiede coercizione ma che richiede collaborazione. Ma questo deve essere strutturato per mettere a disposizione le informazioni necessarie prima della messa in opera. Attenzione: non sto dicendo prima della app, ma prima della messa in opera. Di iniziare a lavorarci. Le specifiche devi averle prima, non dopo. Altrimenti non è un iter partecipato ma solo condiviso. E sono due cose completamente differenti.
Quali sono, oggi, gli elementi che chi sta gestendo l’emergenza dovrebbe spiegare?
Dovrebbe spiegare in primis cosa ne pensano gli epidemiologi, compresa un’eventualità, quella che li vede non concordi sul fatto che l’app possa servire. Basterebbe dire chiaramente che nel dubbio si preferisce mettere in atto qualcosa di potenzialmente poco utile e non scoprire a posteriori che quella cosa era indispensabile e non è stata fatta. Secondo punto: in un sistema partecipato vanno definiti gli obiettivi che si vuole raggiungere e come si sta procedendo all’architettura per seguire quegli obiettivi. Come avrai notato non stiamo ancora parlando dell’app. Una volta e sapendo quali sono le certezze e le incertezze, andiamo a definire quali sono i dati minimali che ci servono, perché ce lo dice l’Europa. In un contesto del genere dobbiamo prendere la minimizzazione dei dati, che non è detto che siano i minimali. Non è detto che siano il minimo possibile perché possiamo avere bisogno del contatto di terza parte, ma dobbiamo dirlo. Non può essere un “intanto pesco quello che voglio, poi eventualmente vediamo”. Poi servono le parti “di privacy”, capire chi usa cosa, come e perché. Stabilito questo si inizia a fare il codice, che avrà ovviamente dei limiti, cose che puoi fare e delle cose che i programmatori ti dicono non fattibili. C’è la valutazione che può essere di fattibilità o addirittura una valutazione di fattibilità nei tempi, è normale avere una risposta a determinate istanze del tipo “sarebbe bellissimo avere tutto anonimo, ma non ce la facciamo. Oggi possiamo arrivare qui”.
Poi ci sarà la messa online, con le problematiche di qualunque applicazione. Ci saranno dei device su cui non funziona, ma quello non ha niente a che vedere con la bravura di chi fa la app ma con la frammentazione del mercato: hai 30 dispositivi Apple, circa 3mila Android, e non funzionano tutti nello stesso modo. Lo dico prima: non si giudica la qualità dell’app se su un determinato smartphone qualcosa non funziona. Però devi gestire anche questo.
Quali sono le domande a oggi senza una vera risposta?
Chi decide se sono positivo o no sull’app? Spero un sanitario. Come? Con che applicazione? Con che protocollo? Con che autorizzazioni? Dopo quello cosa succede? Tutto questo va spiegato non prima di liberare l’app, ma prima di scriverla, non dopo. Tutta questa parte va affidata a qualcuno che sappia comunicare, ma per farlo deve averne il mandato politico. Cosa che evidentemente in una struttura, quella sì, centralizzata come quella commissariale non è stata fatta.
A tuo avviso siamo al cospetto di una “soluzione” o di una “sperimentazione”?
La scienza non è così brillante come pensiamo. La scienza ha un sacco di problemi tra cui la lentezza. E il motivo è semplice: perché per essere certi delle cose abbiamo bisogno di tempo. Quindi è ovvio che siamo all’interno di una sperimentazione che contemplerà degli errori. È inevitabile e va bene così. Per questo è importante, fondamentale, un “sistema valoriale comune” che possa prendere in considerazione l’idea che magari è tutto inutile. Può succedere, potremmo scoprire che è tutto inutile, ma vale la pena di provarci con trasparenza, processi partecipati e costruendo una relazione fatta di fiducia.
Qualora scoprissimo che questa sperimentazione è fallimentare, spingere il tasto “off” sarebbe da considerare un fallimento?
No, ma in un contesto in cui non abbiamo ancora certezza dell’utilità è fondamentale una cosa: se non sappiamo per certo la necessità di cosa stiamo facendo, è necessaria la minimizzazione dei dati che collezioniamo. Anche se avessimo davanti la prospettiva di un uso dell’app, per esempio, da parte di un 10% della popolazione io dico di farla lo stesso, perché in quel 10% ci sono decine, centinaia, migliaia di vite umane.
