• Paolo Benanti

Tracciamento di Apple Google: alcune riflessioni

La scorsa settimana, Apple e Google hanno sorpreso tutti con l'annuncio che stanno sviluppando un sistema per consentire la tracciabilità dei contatti diffusa nel tentativo di contenere la pandemia di COVID-19. Lo sforzo ha appena due settimane e mezzo, hanno detto le aziende, e quindi ci sono molte domande aperte su come funzionerà. Lunedì pomeriggio, le compagnie hanno invitato a fare alcune domande, ho seguito la cosa e qui alcune riflessioni che nascono da questo confronto con i giornalisti.


L'idea di base è che, poiché quando i governi riusciranno ad appiattire la curva dell'infezione inizieranno a considerare la riapertura di parti della società, devono implementare uno schema globale di "test and trace". Ogni sistema sanitario vorrebbe testare le persone ampiamente e accuratamente e qualora si scoprissero nuovi casi, vedere con chi queste persone potrebbero essere venute in contatto durante il periodo in cui erano infettive.


Storicamente, questo è stato un processo manuale. Dall'inizio dell'epidemia COVID-19, alcuni paesi si sono rivolti a mezzi tecnologici nel tentativo di consentire alle autorità sanitarie pubbliche di trovare più persone che potrebbero essere state esposte e farlo in modo più efficiente. Premettiamo subito che ad oggi, non è chiaro se e quanto la tracciatura dei contatti abilitata per la tecnologia sia stata così efficace. Il sistema si basa sulla partecipazione volontaria, che è stata generalmente debole. E la tecnologia Bluetooth da cui dipende il sistema comporta un elevato potenziale di falsi positivi: non è abbastanza potente da distinguere tra casi in cui le persone erano molto vicine a quelle in cui si trovavano a 5 metri o più di distanza. L'interesse principale che vorrei mettere al centro di queste riflessioni - al di là della natura insolita della collaborazione tra Apple e Google - è quanto e se questo sistema possa essere efficace. Ma ci sono molte altre domande su come funzionerà il sistema che sono emerse da questa giornata di Q&A che mi sembrano altrettanto interessanti. Diamo un'occhiata a ciò che i giornalisti hanno detto e chiesto e alle risposte che hanno avuto.


La più grande preoccupazione che la maggior parte dei presenti ha espresso in merito alla collaborazione tra tecnologia e sanità è che porterà a violazioni della privacy potenzialmente dannose per i cittadini. Negli USA per esempio sono stati i senatori democratici che hanno guidato il fronte delle preoccupazioni, inviando una lettera aperta alle compagnie che esprimono le loro paure. Dalle spiegazioni fornite il sistema di Apple e Google è progettato in modo tale da massimizzare la privacy individuale; evita di acquisire dati sulla posizione e registra invece solo la vicinanza dello smartphone a quella di qualcun altro. Tuttavia, se vogliamo immaginare agli scenari peggiori, Russell Brandom analizza alcune idee su come i dati raccolti nell'ambito di questo schema potrebbero teoricamente essere identificati. Gli schemi sono generalmente così elaborati che è difficile immaginare persino un grande stato in grado di utilizzarli, anche se, almeno teoricamente, è da tenere d'occhio. La seconda serie di preoccupazioni ha a che fare con il funzionamento pratico del sistema. Apple e Google hanno risposto a molte domande sull'argomento; ecco quelle più significative secondo me.


In primo luogo, le aziende hanno affermato che, nella seconda fase del loro sforzo, quando la tracciatura dei contatti sarà abilitata a livello del sistema operativo, informeranno le persone che hanno aderito della loro potenziale esposizione a COVID-19 anche se non hanno scaricato una relativa app dalla rispettiva autorità di salute pubblica. Da quello che ho capito seguendo il Q&A il sistema operativo stesso avviserà le persone che potrebbero essere state esposte e le indirizzerà a scaricare l'app di sanità pubblica pertinente. Ciò è significativo perché può essere difficile convincere le persone a installare software; Singapore ha visto l'adozione solo del 12% della sua app di tracciamento dei contatti nazionale. Mettere notifiche a livello di sistema potrebbe rappresentare un grande passo avanti per questo sforzo, anche se richiede ancora la partecipazione delle persone e il loro accogliere l'invito a installare il software. In secondo luogo, Google in una risposta ha dichiarato che distribuirà l'aggiornamento del sistema operativo tramite i servizi di Google Play, una parte di Android controllata dalla società che gli consente di raggiungere la maggior parte dei dispositivi attivi. (Google afferma che sarà disponibile per tutti coloro che utilizzano Android 6.0, noto anche come Marshmallow, e versioni successive su dispositivi con Google Play Store). Questa soluzione sembra preferibile rispetto ad affidarsi ai gestori telefonici, che storicamente sono stati lenti a distribuire gli aggiornamenti (contemporaneamente è anche una splendida occasione per iniziare a bypassarli - ho pensato dentro di me). Resta da vedere esattamente quali dispositivi saranno idonei per l'aggiornamento, sia su Android che su iOS. Ma sembra probabile che le aziende saranno in grado di raggiungere la maggior parte dei dispositivi attivi al mondo - un'impresa significativa. (Dato correlato: qualcuno ha chiesto alle aziende di quale percentuale della popolazione che usa il sistema c'è bisogno per farlo funzionare. Risposta breve: nessuno lo sa.) In terzo luogo, le aziende hanno affermato che impediranno ogni abuso del sistema instradando gli avvisi attraverso delle agenzie di sanità pubblica. (Stanno anche aiutando alcune di queste agenzie, come il servizio sanitario nazionale britannico, a creare app per fare proprio questo). Mentre i dettagli sono ancora in fase di elaborazione e possono variare da agenzia a agenzia, Apple e Google hanno affermato di riconoscere l'importanza di non consentire l'istradamento alle persone di avvisi basati su affermazioni non verificate di un'infezione da COVID-19. Invece, hanno detto, che alle persone a cui viene diagnosticato il COVID-19 verrà assegnato un codice una tantum dalla competente agenzia di sanità pubblica, e che i nuovi positivi dovranno inserire il codice di riscontro per attivare l'avviso a tutti i contatti.



In quarto luogo, le società hanno promesso di utilizzare il sistema solo per tracciare i contatti e di smantellare la rete quando non servirà più. Alcuni hanno chiesto se il sistema potrebbe essere utilizzato per altri usi, come forme di pubblicità mirata, o se organizzazioni non governative potrebbero avere accesso ad esso. Apple e Google hanno esplicitamente dichiarato di no. In quinto luogo, ho sentito nel Q&A affermazioni contrastanti sulla capacità del monitoraggio basato sul Bluetooth di misurare le distanze. Molti sostengono che il Bluetooth non era in grado di distinguere tra telefoni che erano entro un metro e mezzo l'uno dall'altro, in contraddizione con le linee guida delle agenzie di sanità pubblica, e quelli che potrebbero essere a 5 o anche a 10 metri di distanza. Tuttavia esiste una componente dello standard Bluetooth, noto come indicazione della potenza del segnale ricevuto, o RSSI, che potrebbe offrire dati dettagli dettagliati sulla posizione. Apple ha detto che l'efficacia di RSSI è sminuita da vari fattori di confusione: l'orientamento dei dispositivi l'uno rispetto all'altro, se un telefono è in uno zaino o comunque protetto dal segnale, e così via. Nel loro insieme, questi fattori minano la confidenzialità che possiamo avere nel sistema in quanto due telefoni potrebbero essere vicini tra loro. Ma continua ad essere un argomento di investigazione da parte degli ingegneri. Quindi, per concludere: ci possiamo sentire più o meno ottimisti oggi sulla tracciatura dei contatti abilitata dalla tecnologia rispetto a prima?


Un post di un noto ricercatore di sicurezza, Ross Anderson, pubblicato nel fine settimana espone molte delle preoccupazioni che condivido, più alcune in più.


"Ho il sospetto che le app di tracciamento siano davvero solo qualcosa da fare", scrive Anderson. “La maggior parte dei paesi sembra ormai oltre il punto in cui la tracciabilità dei contatti è una priorità assoluta; persino Singapore ha dovuto andare in blocco".


D'altro canto, sostiene Ben Thompson, potrebbe esserci un valore nel porre le basi tecnologiche ora per ampliare gli sforzi in seguito. Scrive Thompson: “Stanno creando opzionalità. Quando e se la società deciderà che questo tipo di sorveglianza è accettabile (e, criticamente, sviluppa gli altri componenti - come i test - di una risposta efficace) la tecnologia sarà pronta; è solo una rotazione di un interruttore per Apple e Google per centralizzare questi dati (o, forse come una via di mezzo, abilitare il software di gestione dei dispositivi mobili utilizzato dalle imprese, centralizzare questa capacità). Questo non è poco se si considera che il software non è costruito in un giorno". Continuo a pensare che è improbabile che la tracciabilità dei contatti digitali sia uno dei due o tre aspetti più importanti in un piano di risposta al coronavirus di un paese. Gli esperti che ho seguito e ascoltato sostengono tutti che il distanziamento sociale, i test su larga scala e l'isolamento delle persone malate sono significativamente più importanti. E quando si tratta di rintracciare i contatti, sappiamo che gli esseri umani spesso svolgono un lavoro migliore rispetto agli smartphone - e alcuni hanno sostenuto che è necessario assumere centinaia di migliaia di essi per svolgere questo lavoro. Allo stesso tempo, è possibile vedere come la traccia dei contatti digitali potrebbe almeno integrare altri sforzi correlati, inclusa la tracciatura dei contatti manuale. Rispetto a ciò che, ad esempio, Hong Kong sta facendo per testare e rintracciare, distribuendo bracciali di localizzazione digitali a chiunque scenda dall'aereo in aeroporto, ciò che Apple e Google hanno proposto può essere descritto solo come una mezza misura.


In Italia, leggendo il livello del dibattito e guardando a quello che si sta facendo, temo che una serie di mezze misure sia tutto ciò su cui potremo fare affidamento.

549 visualizzazioni