Immuni: come funziona l’app che traccia i contagi da Coronavirus in Italia, rispettando la privacy

Immuni è disponibile per il download!

immuni, Immuni: come funziona l’app che traccia i contagi da Coronavirus in Italia, rispettando la privacy, Shambix, Shambix immuni, Immuni: come funziona l’app che traccia i contagi da Coronavirus in Italia, rispettando la privacy, Shambix, Shambix

Qui sotto la spiegazione semplificata, del funzionamento di Immuni.

Qui il documento dettagliato sul suo funzionamento, rilasciato su GitHub (una delle piattaforme per sviluppatori più usate al mondo).
Il codice sorgente di backend  frontend è pubblicamente disponibile qui.

A Bending Spoons vanno i miei complimenti, per essersi imbarcati a titolo gratuito, in un progetto di proporzioni epiche e sotto l’occhio ed il giudizio, spesso poco informato e maldestro, di tutto un Paese ma anche del mondo.

Per tranquillizzare ulteriormente gli utenti NCORA preoccupati per la loro privacy, chiudo questo aggiornamento con l’ultima ottima notizia: le nuove API di Google, create appositamente per permettere lo sviluppo di App di Contact Tracing, consentono di non richiedere nemmeno l’attivazione della localizzazione, se l’app utilizza solo la prossimità del bluetooth, chiudendo quindi qualsiasi possibile falla o dubbio, una volta per tutte.

 

Per chi volesse approfondire il funzionamento di Immuni, oltre alla mia analisi di Aprile che rimane assolutamente valida, consiglio quella di Wired (basata sul documento ufficiale appena rilasciato).
Nell’articolo di Wired sarebbe necessaria tuttavia una precisazione: se in Android (dal 2015 con la versione 6) è vero che anche solo per la prossimità Bluetooth, un’app richieda di attivare la Localizzazione, questo non deve spaventare poiché la Localizzazione è semplicemente un insieme di funzionalità che spaziano dalla prossimità hardware al GPS, ma attivare una di queste funzionalità non significa attivarle tutte.

In altre parole, ogni volta che un’app richiede di attivare la localizzazione, non significa che utilizzi il GPS o la nostra posizione venga tracciata, potrebbe semplicemente essere perché una delle dozzine di funzionalità racchiuse dentro “Localizzazione” è richiesta, e solo quella sarà usata.

Breve premessa

Quest’analisi si basa sulle informazioni pubblicamente disponibili al 21 Aprile 2020, quindi su quello che al momento è certo e disponibile sul sito del Ministero per l’Innovazione Tecnologica.
L’analisi è confermata anche ad oggi, 1 Giugno 2020, poiché il Governo ha mantenuto tutte le promesse sui criteri che avrebbe dovuto avere l’app, senza nessun compromesso.

Come sempre quando si parla di innovazione e misure “calate dall’alto”, lo scetticismo e le paure della popolazione di finire in un Grande Fratello infernale, si fanno avanti con forza, sollevando tutta una serie di opinioni, purtroppo spesso male informate.

Alcune dichiarazioni confuse degli ultimi giorni su social, TV e giornali, denotano una preoccupante mancanza di informazione ed argomentazioni logiche, a proposito dell’app scelta dal Governo Italiano per tracciare i contagi da Coronavirus e limitare il diffondersi della patologia respiratoria ad esso collegata, COVID19.

Personalmente, mi trovo molto spesso a criticare le pratiche commerciali di app (il 90%) che trovano qualsiasi modo per aggirare le normative sulla privacy, rendendole di fatto non utilizzabili senza accettarne passivamente i termini e condizioni, per cui vi assicuro che non difenderei mai un’app che pone un reale rischio per i nostri dati personali.

Se è lecito e naturale chiedersi il perché di qualsiasi cosa, è anche lecito che, prima di esprimere un parere ed esternarlo sguaiatamente, si facciano tutte le dovute ricerche del caso in merito all’argomento, chiedendo anche ad esperti, quando possibile.

Come non mi metterei mai a parlare di pellami, né pretenderei di sapere quali cibi facciano meglio alla salute o quale macchina abbia il motore migliore, non essendo esperta in nessuno di questi campi e rispettando invece il lavoro e l’esperienza di chi lo è, sarebbe opportuno che TUTTI seguissero quest’esempio di logica e civiltà, prima di lanciarsi in crociate senza senso, mistificazioni, proiezioni delle proprie paure o vere e proprie paranoie, su amici e conoscenti.

Quali dati vede o memorizza l’app?

Facciamo il punto della situazione: come funziona quest’app, perché è sicura e non deve destare preoccupazioni Orwelliane (invasione di Privacy, imposizioni maligne dello Stato, rilascio di informazioni private o dei luoghi in cui siamo stati e tante altre assurdità che ho letto in giro) e perché è importante che tutti la installiamo (appena sarà pronta).

Il primo punto, essenziale: l’app NON salva i dati personali di NESSUNO.

Semplicemente perché non ne ha bisogno, non è quello per cui è stata pensata.
L’app è stata pensata, semplicemente, per notificare le persone di essere stati a contatto ravvicinato ad una persona risultata poi positiva.
Questa funzionalità, che potrebbe sembrare banale, è in realtà la formula vincente per non ripiombare tra 2 mesi, nella situazione di fine Febbraio, con un contagio incontrollato senza riuscire a mettere in sicurezza né i probabili nuovi casi, né le loro famiglie.

Quindi, rassicuratevi, allo Stato non interessa cosa fate e dove, vuole semplicemente che veniate a conoscenza subito della vostra situazione di pericolo, in modo che possiate prendere le adeguate misure, nel più breve tempo possibile.

Perché abbiamo bisogno di quest’app o del contact tracing in generale?

Il fulcro dell’app, o meglio il motivo per cui è un bene che sia stata pensata e richiesta dallo Stato:
Meno tempo passato infetti senza saperlo = meno persone contagiamo = meno contagi = meno misure restrittive = più vita normale per le persone e per le aziende.

Avendo quindi sciolto i primi dubbi sulla memorizzazione di dati personali e scopo dell’app, passiamo ad una spiegazione semplificata di come funziona il tutto.

Come funziona Immuni?

Abbiamo detto che l’app non salva nessun dato, da nessuna parte. In realtà c’è una cosa che salva, ma solo sul proprio telefono: dei codici numerici anonimi (chiamati ID, ad esempio ABC1234XYZ).
Questi codici corrispondono ai device di altre persone (es. smartphone), che hanno anche loro l’app, ai quali ci siamo avvicinati nel tempo, in un determinato momento.
Non viene mai salvato il luogo, quindi la posizione o dove siete stati di recente, semplicemente non è necessario!
Perché? Perché abbiamo appena detto che lo scopo dell’app è solo quello di farvi sapere che siete stati a contatti con un infetto.
Che fosse a Firenze, dietro l’angolo, sul confine con il Molise o in cantina, non fa alcuna differenza. Potreste essere infetti ed è quella l’unica cosa che conta.

Infatti, delle centinaia di app proposte allo Stato (319), sono state scartate tutte quelle che usavano il GPS come tecnologia, proprio perché incompatibile con la privacy e non fondamentale, in favore invece della tecnologia BLE, che è semplicemente il Bluetooth (a basso consumo energetico) che tutti usiamo (es. per le cuffie o casse esterne) ed è una tecnologia “end-to-end” tra i device, vale a dire che non richiede la comunicazione verso terzi, verso qualche azienda, lo Stato o server particolari.
Nessuno, tranne il vostro cell e quelli intorno, sanno di essere stati vicini, esattamente per la natura stessa della tecnologia (che ha un range di circa 15m, ma negli smartphone comuni, difficile raggiunga più di 5-7m).

Quindi, la vostra posizione, non solo non è tracciata in alcun modo, ma non è proprio rilevante ai fini delle notifiche su possibile contagio.
Certo sarebbe utile avere una mappa con tutti i contagi in tempo reale – verissimo! – ma proprio per tutelare la privacy degli italiani, non si può fare, quindi chiuso il discorso e chiuse, spero, anche le paure e dubbi in merito.

Ok, quindi abbiamo detto che nell’app non è memorizzato nulla, solo dei codici anonimi. E quindi che succede poi?

Succede che SE il nostro device è stato vicino ad un altro device, il cui proprietario è poi risultato positivo, il suo medico avvierà una procedura, per cui il sistema recupererà i codici anonimi dal suo device (quelli che sono stati in sua prossimità, in un x periodo e per abbastanza tempo per contagiarsi) e ci invia una notifica (dentro l’app stessa) che potremmo essere contagiati e di fare le verifiche del caso col nostro medico, tutelando quindi la nostra salute e quella delle nostre famiglie, amici, colleghi, ecc.

Nessun altro viene notificato che siamo stati potenzialmente contagiati. Né il SSN (Sistema Sanitario Nazionale), né lo Stato, né qualche server o database occulto. Lo sapremo solo noi.

Precisiamo subito una cosa: questi codici anonimi, vengono generati casualmente dalla nostra app e cambiano nel tempo (più di una volta al giorno).
Per cui nessuno avrà lo stesso ID e quindi nessuno sarà associato personalmente ad esso in modo permanente.
Il sistema, non sa a chi appartengano gli ID di preciso, sa solo di dover notificare quei device, che in quel periodo x, sono stati vicini ad un altro ID.
Quindi, più utenti nel tempo, potrebbero avere lo stesso ID, ma in momenti diversi.
Da qui si capisce che l’anonimato è appunto garantito.

L’app avrà anche una parte che aiuta l’utente a capire i propri sintomi, nel caso in cui ne abbia, e se sia il caso di chiedere un test al proprio medico.
Il funzionamento è simile a tante app commerciali che si trovano negli store (la differenza è che in quelle app tutti i nostri dati sono tracciati e venduti a terzi, senza nessun beneficio per noi). Questa parte non è necessario usarla, è solo un aiuto per la persona che pensa di poter essere già contagiata.

Ma perché dovrei installarla?

Come penso avrete capito a questo punto, l’app darebbe una “copertura ottimale” a tutti, se almeno il 60% della popolazione la installasse.
E’ fondamentale quindi che non solo chi è più pratico la installi, ma dovrebbe assicurarsi anche i proprio familiari, amici e colleghi in possesso di uno smartphone, la installino.
Tra l’altro, una volta installata, non dobbiamo fare niente, il Bluetooth a basso consumo (BLE) si accenderà da solo o visualizzerà una semplice conferma per poterlo fare.

Non tutti sono provvisti di smartphone e potranno avere l’app, vero, ma questo non toglie il semplice fatto che se tutti quelli che lo hanno, installassero comunque l’app, sarebbe ugualmente un enorme beneficio per tutti.

Più persone la useranno, più contagi potremo tracciare, più notifiche arriveranno, più sarà possibile contenere il contagio e tornare alla normalità in tempi più definiti, senza la continua incertezza su cosa succederà tra 1 mese o 2.

Ricordo inoltre, che quando sarà pronto il vaccino e la situazione si sarà normalizzata, potrete tranquillamente disinstallarla.

Quali sono i requisiti dell’app perché il Governo l’approvi?

Nelle parole del Governo, i requisiti fondamentali, di un app nazionale di contact tracing, sono quindi inderogabilmente i seguenti:

  • (a) che l’intero sistema integrato di contact tracing sia interamente gestito da uno o più soggetti pubblici e che il suo codice sia aperto e suscettibile di revisione da qualunque soggetto indipendente voglia studiarlo;
  • (b) che i dati trattati ai fini dell’esercizio del sistema siano “resi sufficientemente anonimi da impedire l’identificazione dell’interessato” [cfr. Considerando 26 GDPR] tenuto conto dell’insieme di fattori obiettivi, tra cui i costi, le tecnologie disponibili ed il valore della reidentificazione almeno in condizioni ordinarie e salvo il verificarsi di eventi patologici o, almeno, pseudo anonimi previa adozione di idonee misure idonee a limitare il rischio di identificazione degli interessati;
  • (c) che la decisione di usare la soluzione tecnologica sia liberamente assunta dai singoli cittadini;
  • (d) che raggiunta la finalità perseguita tutti i dati ovunque e in qualunque forma conservati, con l’eccezione di dati aggregati e pienamente anonimi a fini di ricerca o statistici, siano cancellati con conseguente garanzia assoluta per tutti i cittadini di ritrovarsi, dinanzi a soggetti pubblici e privati, nella medesima condizione nella quale si trovavano in epoca anteriore all’utilizzo della soluzione;
  • (e) che la soluzione adottata – nelle sue componenti tecnologiche e non tecnologiche – possa essere considerata, almeno in una dimensione prognostica, effettivamente efficace sul piano epidemiologico giacché, in difetto, diverrebbe difficile giustificare qualsivoglia, pur modesta e eventuale, compressione di diritti e libertà fondamentali”.

Ultime Considerazioni

Una menzione speciale va alla GDPR Europea, che tutela più di ogni altro luogo nel mondo, la privacy degli utenti ed i loro dati, anche nel caso in cui l’app sia promossa da uno Stato, con regole ferree riguardo ai limiti di utilizzo e memorizzazione dei dati (che abbiamo comunque detto, non ci sono).
Inoltre, in Italia abbiamo anche due vigilanti extra: il Garante della Privacy ed il COPASIR (Comitato parlamentare per la sicurezza della Repubblica), che esistono per tutelare ancora di più qualsiasi possibile abuso dei dati sensibili della popolazione ed il rischio di sicurezza nazionale.

In molti non conoscono queste leggi e questi organi, ma il fatto che stiano analizzando accuratamente Immuni, è il segnale più forte della volontà assoluta e insindacabile, di tutelare gli italiani.

L’app è stata studiata bene ed ha tenuto in considerazione proprio tutte le questioni delicate sulla privacy e della non conservazione dei dati, a differenza del 100% di qualsiasi applicazione commerciale che usate ogni giorno e per cui accettate continuamente di venire tracciati, sia nei luoghi che negli spostamenti, nelle preferenze anche intime, fino anche a quello che scrivete sulla tastiera del cell, ogni singolo giorno.

Infine, è molto importante ricordare, che il sorgente dell’app (quindi tutto il codice dell’app) verrà reso open-source, quindi pubblico e visibile da chiunque, per cui chi ha le competenze per farlo, può controllarne ogni aspetto di funzionamento nei minimi dettagli per liberarsi da dubbi mistici, leggende metropolitane, attacchi paranoidi e cospirazioni occulte.

Lo Stato Italiano sta adottando, in tempi record, misure innovative che non devono fare paura, ma anzi venire accolte con entusiasmo senza paure dettate da diffidenza generalizzata immotivata e paura delle novità.

Consigliate questo a chi è ancora in balia di strane idee: o si sa con esattezza e cognizione di causa come funziona qualsiasi cosa, o meglio evitare commenti senza nessun fondamento (vedi quelli che associano il 5G alla diffusione del Coronavirus, tramite correlazioni senza nessuna validità scientifica).

L’unico punto in sospeso

Questo punto, non chiaro a fine Aprile, è stato risolto.
E’ stato deciso, come auspicato da sviluppatori ed esperti di privacy, di usare un sistema decentralizzato (che garantisce un livello di privacy assoluto, ben oltre quello di qualsiasi app commerciale esistente) oltre ad un sistema di sicurezza “anti-spionaggio”, per mettere al sicuro da possibili attacchi, anche quei pochi dati anonimi che l’app gestisce.

Fermo restando che non c’è invio di dati personali, ma solo di codici anonimi, c’è effettivamente 1 punto caldo in tutto questo, che è quello in fase di discussione e revisione attualmente, ed è di carattere tecnico principalmente.

Ad oggi, l’app prevede che, una volta confermato il contagio di una persona, questa dal suo cell, azioni il sistema di notifica verso i device che gli sono stati vicini (che sono salvati sul suo cell).
E’ proprio in questo momento che si pone quindi l’unico problema di tutta questa storia e le relative domande che si stanno facendo gli esperti.

L’identificazione della persona contagiata in sé, non è un problema, visto che dal momento in cui lo è, viene giustamente presa in carico dal SSN, come qualsiasi altra volta che ci rechiamo dal medico.
Ma nel momento in cui aziona il sistema delle notifiche, il sistema potrebbe ricevere almeno un’informazione dal suo cell, l’IP (che qualsiasi sito, provider internet, app ecc. ricevono quando le usiamo, non sono da ritenersi dati strettamente personali).
Questo dato potrebbe essere usato contro la sicurezza nazionale, se un attacco li potesse vedere e memorizzare?
Se il sistema che incrocia gli ID, è “da qualche parte”, quindi un server o un database (sistema centralizzato), come possiamo essere sicuri che questo non si salvi a sua volta i codici trovati (o gli altri)?
Il Governo dice che, ammesso che questi codici vengano salvati o trasmessi da qualche parte, al fine dell’incrocio dei codici per mandare le notifiche, non li memorizzerà e che li cancellerà subito dopo.
E nel momento in cui il sistema genera la notifica verso gli ID anonimi, riceve una risposta dai device o vede dati tecnici che possono essere riconducibili ad un device in particolare (device MAC address, IP, data provider…)?

Tornando a ripetere, che i dati della persona non sono in discussione, il dubbio finale che ci sia la possibilità che un qualsiasi dato “tecnico”, seppure anonimo, possa ricollegarsi in qualche modo ad un device, sta facendo discutere molto.

Una soluzione a tutto questo, come già ipotizzato, sarebbe quella che fosse il device stesso dell’utente a mandare la notifica ai potenziali contagiati (sistema decentralizzato), essendo i codici memorizzati solo sul suo device, non comportando quindi nessuna comunicazione esterna, ma un sistema “a circuito chiuso”.

Gli esperti convergono su questa soluzione, che rimuoverebbe qualsiasi dubbio e possibilità di problemi di sicurezza nazionale e privacy, anche per i più restii.

Link utili

DDay – Review del Codice di Immuni
Comunicazione ufficiale del Ministero dell’Innovazione Tecnologica in merito ad Immuni (21 Aprile 2020).
Approfondimento di Agendadigitale.eu
Sistema centralizzato VS decentralizzato
Domande e approfondimenti
Limiti tecnici di iOS e Android

Domande & Risposte

D: Rimane solo un piccolo ma sostanziale open point: se esisterà un server centralizzato (anche se ibrido), ci sarà potenzialmente un problema di privacy e sicurezza. La soluzione PEPP-PT non è attualmente quella da preferire.

R: Concordo. Aspetto con molta impazienza il sorgente.

D: C’è un dato che vorrei capire meglio come venga realmente tutelato ed è questo:
SE il mio device è stato vicino ad un altro device, in qualsiasi momento, il cui proprietario è poi risultato positivo, il medico avvia la procedura di notifica dal cell del contagiato. Non vedo una block chain nel sistema o meglio nella app, forse mi sbaglio.

R: Utilizzare la blockchain sarebbe stato il massimo, ma penso che i tempi di realizzazione non sarebbero stati utili, oltre al fatto che la blockchain, per funzionare, ha bisogno di una potenza di calcolo, che seppur diffusa tra tutti gli smartphone, potrebbe creare problemi di performance o batteria ai device.
Per rispondere, cito: “Quando uno dei soggetti che ha scaricato l’app risulta positivo al virus, gli operatori sanitari gli forniscono un codice con il quale questi può scaricare su un server ministeriale il log degli ID con cui è stato in contatto nei giorni precedenti (a un metro, per un numero sufficiente di secondi), così da consentire il loro “abbinamento” agli utenti che hanno scaricato l’app.”
“A questo punto un algoritmo scarta gli ID non rilevanti, per ridurre il rischio di falsi positivi, che valuta la vicinanza fra i dispositivi e tempo di esposizione fra gli stessi e restituisce un valore di “rischio contagio” e genera un elenco di persone da avvertire tramite smartphone.
Il server quindi (la soluzione attualmente ipotizzata, un sistema quindi centralizzato) invia una notifica ai dispositivi di persone potenzialmente a rischio, che arriva tramite l’app.”
In altre parole, l’algoritmo non sa chi siano le persone degli ID, sa solo di mandare una notifica a quell’ID che in quel momento ha avuto quell’associazione con ID infetto insomma.
Una precisazione sull’ID: è temporaneo, varia spesso e quindi non è assegnato fisso nel tempo ad un device/utente.

D: 1 Lo sento come una imposizione non una libera scelta, anche perché se non capito male vorrebbero usarla anche come sostituto della autocertificazione;
2 parli del fatto che se una persona dovesse risultare positiva e sta vicina ad un’ altra, grazie all’ app si può salvaguardare la seconda ma, se non vengono fatti i tamponi come faciamo a sapere chi è positivo? Le persone vengono messe in qurantenna a casa e dopo 15 giorni, senza sapere se sono stati veramente positivi o meno, viene permesso loro di andare in giro. In questi casi a cosa serve l’app? Queste persone che sono state in quaranten a senza tampone risulteranno per l’app come positivi? Passati i 15 giorni saranno considerati per l’app ancora positivi e contagiosi o negativi, l’app avrà certezze su quando una persona si negativizza?
La mia impressione, nella mia grande ignoranza, è che questa app voglia in qualche modo andare a coprire le mancanze dello stato, gli errori fatti e che possa crearne di nuovi. Per me, alla luce dei fatti attuali è di poca utilità senza che tutta la popolazione sia stata sottoposta al tampone o senza che almeno quelle persone in quarantenna siano sottoposte al tampone.
3 io, come detto in precedenza, faccio parte di quella massa di popolazione ignorante e credo che in casi come questi, non deva essere io ad andare a capire la maniera intrinseca di funzionamento di un app che mi si chiede di installare, ma dovrebbe essere chi mi chiede di installarla ad offrirmi le dovute spiegazioni dettagliate e comprensibili a me e a tutti.
Se chiedi a qualcuno di usare qualcosa devi fornire anche gli strumenti perché capisca che cosa gli stai chiedendo e perché, come funziona e in che modo potrà o meno portare dei benefici. Se c’è tanto rifiuto verso questa app è perché ne viene ignorato il funzionamento e ne viene messa in discussione l’utilità.

R: Su come vengano gestiti tamponi e test sierologici di massa sulla popolazione, non so dirti al momento, ma pare che si voglia passare ad uno screening di tutta la popolazione, ecco perché ha senso avere anche l’app (altrimenti da sola, servirebbe a poco, come dici, visto che la maggior parte sono asintomatici).
Non vedo quale sia l’imposizione sinceramente. E’ una misura di protezione, cosa c’è di male nello Stato che vuole tutelare i propri cittadini? Proprio non capisco.
Il 99% di quello che ci circonda, lo ignoriamo. Non è colpa nostra ovviamente, ma nemmeno dello Stato. Se non capiamo qualcosa, è nostro dovere informarci fino a dove possiamo e fidarci delle competenze di chi invece ha studiato una vita in quel campo.
Se non capisci come si operi un cuore, non ti fai operare se ne hai bisgono? Se non capisci le proprietà di una mela, smetti di mangiarla? Se non capisci come funzioni il motore di una macchina, ti rifiuti di guidarla? Non penso. Vale lo stesso discorso. Ti fidi di chi ha studiato per dirti: la mela si può mangiare e fa bene.
Capisco, a livello umano, tutti i dubbi che abbiamo, davvero, ma basta con questa diffidenza verso quello che non conosciamo, non porta nessun beneficio, a nessuno.

D: Ma qual è sto modo di fare contact tacing (efficientemente quindi non raggirabile )anonimo senza perdere la nostra privacy. A me contnua a sfuggire. O sarà facilmente raggirabile o non sarà anonimo. Per teorizzare un sistema sicuro anonimo verificabile serve la blockchain.

R: Non avendo visto il sorgente ancora, mi baso su quanto si sa pubblicamente. L’app fa pochissimo in realtà, è quasi vuota, serve solo a generare ID temporanei, che si associano a device vicini in un momento x, per eventualmente essere ripescati e notificati se siamo stati a contatto con device di contagiato. Non c’è comunicazione alle autorità.
Non ci vedo niente di sconcertante, anzi è molto banale la cosa.
La domanda vera è: ma perché tutto sto dibattito su una roba così semplice?
Se scoccia usarla, e mi sfugge veramente il motivo, tecnicamente parlando, perché la gente usa uno smartphone? Gmail? Facebook? Instagram? tiktok? Internet in genere?
Un’app che fa quasi nulla, in un modo accettabilmente anonimo, cercando di tutelare la nostra salute, perché dei nostri dati non se ne fa di niente (basta con queste paranoie del controllo ossessivo) fa schifo? Non capisco davvero.
Sì avrei preferito una blockchain anch’io, ma non si fa in 2 settimane.

Hai una domanda? Scrivila nei commenti!