Il lungo periodo di convivenza col coronavirus COVID-19 sta per partire anche in Italia e tra gli strumenti che verranno messi a disposizione dei cittadini per limitare la diffusione del contagio e bloccare sul nascere gli inevitabili piccoli focolai ci sarà anche l’app di contact tracing Immuni, in questi giorni al centro di un acceso dibattito politico.
Se da un lato si sta studiando come all’utilizzo dell’app Immuni dovrà essere affiancato il massimo supporto del sistema sanitario nazionale, dall’altro si è discusso per giorni, anche un po’ inutilmente, dei possibili rischi per la privacy dei cittadini. Inutilmente non perché la privacy sia da sottovalutare anche in un momento di emergenza come quello che stiamo vivendo, ma perché tutte queste importanti discussioni non sembravano aver fatto i conti con Google e Apple.
I due colossi hanno annunciato settimane fa una collaborazione per mettere a punto un sistema di tracciamento volontario degli utenti basato sulla tecnologia Bluetooth Low Energy per contrastare la diffusione del coronavirus COVID-19. E c’è chi, come la Francia che si è mossa in anticipo rispetto altri Paesi, si è inevitabilmente trovata davanti alle giuste limitazioni messe in campo da Apple e Google, che puntano a tutelare nel modo più assoluto la privacy dei loro utenti.
Google, Apple e la privacy degli utenti
Il sistema messo a punto da Apple e Google, proprietarie dei due sistemi operativi per mobile più diffusi al Mondo, iOS e Android, prevede che ogni smartphone sia in grado di generare un codice identificativo anonimo che verrà scambiato con gli altri smartphone, via Bluetooth, con cui si entrerà in contatto per un determinato periodo di tempo – si ipotizza superiore almeno ai 30 secondi, così da escludere i passanti che inevitabilmente si incontreranno per strada – e in un determinato spazio dettato dai limiti della stessa tecnologia Bluetooth.
Questi codici, secondo quanto deciso da Google ed Apple, saranno conservati per un periodo di tempo – si ipotizzano i 14 giorni massimi di incubazione del nuovo virus – nei dispostivi degli utenti, che saranno chiamati a compilare volontariamente un diario dei sintomi e ad indicare, grazie alla collaborazione delle autorità sanitarie, l’eventuale positività al COVID-19.
In caso di positività, l’utente potrà inserirlo nell’app e solo a quel punto i codici identificati conservati nel suo dispositivo – il proprio codice identificativo e quello dei dispositivi con cui è entrato in contatto nelle ultime due settimane – verranno caricati su un server che provvederà poi ad inviare a tutti gli smartphone che utilizzano l’app l’elenco dei codici.
Nel momento in cui l’app riconosce il proprio codice identificativo invierà una notifica all’utente per avvisarlo di essere entrato in contatto, nelle ultime due settimane, con una persona risultata positiva al COVID-19 e fornire le indicazioni necessarie da seguire. Ed è qui che dovrebbero intervenire le autorità sanitarie, anche soltanto dando priorità a questi utenti per eseguire tutti i test del caso.
Il metodo di Apple e Google, in definitiva, prevede che i codici generati e scambiati dagli smartphone vengano conservati negli smartphone e raggiungano un server soltanto nel momento in cui viene accertata la positività di un utente. Anche in quel caso, però, a raggiungere il server sarà soltanto l’elenco dei codici scambiati da quello specifico smartphone negli ultimi 14 giorni, così da permettere la procedura di notifica.
Il problema delle app già esistenti
Le app già sperimentate in altri Paesi, dalla Francia a Singapore, ma anche la stessa Immuni nella versione beta attualmente in fase di test, hanno scelto l’approccio opposto: i codici identificativi non vengono generati dallo smartphone degli utenti, ma da un server che li conserva e li gestisce. Questo significa che, come spiega oggi Il Sole 24 Ore, “c’è un luogo dove ci sono sia i dati di contatto sia le chiavi con cui renderli potenzialmente identificabili“. E questo, va da sé, rappresenta un potenziale rischio per la privacy dei cittadini.
Alla questione della privacy si affianca un problema piuttosto importante che rischia di compromettere l’utilizzo dell’app da parte dei cittadini. Apple e Google, sempre per tutelare la privacy degli utilizzatori, non permettono l’utilizzo in background per le applicazioni che usano il Bluetooth poi raccogliere informazioni che vengono poi esportate dallo smartphone.
Questo significa che per il corretto funzionamento dell’app non conforme agli standard decisi da Apple e Google – è il caso della Francia e di Singapore – gli utenti devono tenere aperta l’applicazione quando si trovano in situazioni potenzialmente a rischio, vale a dire quando sono in luoghi in cui sono presenti altre persone. Tenere l’app attiva, non in background, significa non poter utilizzare lo smartphone per altre attività – come consultare i social network, effettuare una chiamata e giocare ad un videogioco – con un consumo enorme di batteria.
Quante persone decideranno di utilizzare un’applicazione in mobilità che necessità di rimanere aperta e non permette di effettuare altre attività con lo smartphone? Pochissime. Ed è per questo che gli utenti della Francia o di Singapore si stanno lamentando e non stanno utilizzando l’app in modo efficace.
Qual è la soluzione?
La Francia ha iniziato a fare pressioni ad Apple affinché rimuova quella limitazione e permetta il funzionamento dell’app anche in background, ma Apple ha replicato con un sonoro no, anche perché aprire quelle porte alle richiesta francese andrebbe a creare un precedente che potrebbe aprire a richieste simili da parte di altri governi e altre entità.
Per l’app Immuni, invece, si è deciso di aderire allo standard dettato da Apple e Google, anche se questo significherà che né il governo o chi per lui, né i due colossi tech avranno a disposizione quei dati per delineare, ad esempio, una mappa dei contagi o una panoramica più globale della diffusione dell’epidemia di COVID-19. In questo modo la privacy degli utenti sarà tutelata e spetterà alle autorità sanitarie raccogliere le statistiche nel modo più tradizionale: effettuando i test ai cittadini.
Accettare il modello di Google ed Apple significa quindi avere un’app perfettamente funzionante anche in background, e quindi utilizzabile dai cittadini senza alcun fastidio o consumo eccessivo della batteria, con la certezza che i propri dati siano al sicuro.