Parliamone con gli esperti.
Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Tanti invocano l’app anti-coronavirus
Da quando ho scritto la prima parte di questa serie di articoli dedicata alle app di tracciamento dei contatti è successo un po’ di tutto. Alcuni dubbi sono stati risolti: perlomeno in Europa, l’app non farà geolocalizzazione, si baserà solo sull’uso del Bluetooth per rilevare la prossimità, e in molti casi sarà open source e custodirà i dati localmente sul telefonino, comunicando solo quelli pertinenti al tracciamento di eventuali contatti con persone risultate poi positive.
Ma restano ancora alcuni equivoci di fondo:
- La privacy non c’entra nulla con i dubbi sull’app; arriva molto dopo nella scala delle priorità. I dubbi riguardano l’efficacia.
- Il termine “tracciamento dei contatti” è profondamente sbagliato e ingannevole. Queste app non tracciano i contatti: tracciano le possibili esposizioni al contagio. Non ti dicono “Attenzione, oggi Giorgio è risultato contagioso e sei stato vicino a lui al supermercato di via Vattelapesca sette giorni fa alle 18.27 per un bel po’, quindi potresti essere infetto, stattene a casa, ti mando un medico per farti il tampone”. Ti dicono soltanto “Attenzione, sei stato vicino per un bel po’ a una o più persone risultate poi contagiose (non so chi) nei giorni scorsi (non so quando) da qualche parte (non so dove), quindi potresti essere infetto, stattene a casa; prega che prima o poi ci sia modo per te di fare un tampone.”
In altre parole, non sono tracciatori di contatti: sono dosimetri. Come quelli indossati dai radiologi per misurare le radiazioni. Queste app misurano l’esposizione complessiva a persone risultate successivamente contagiose. Se si supera una certa esposizione, si è considerati a rischio. Non bisogna quindi parlare di tracciamento dei contatti (contact tracing), ma di notifica delle esposizioni (exposure notification).
C’è anche un altro equivoco fondamentale da chiarire:
- Nessuno sa se queste app siano davvero efficaci e che tasso di errore abbiano. Non le abbiamo mai provate prima (in particolare la versione europea). Però ci viene chiesto lo stesso di installarle e di seguire le loro istruzioni sulla fiducia, con il ricatto sociale di “se non la installi la gente muore per colpa tua”. È come se ci venisse chiesto di prendere tutti un farmaco che non è mai stato testato: certo, potrebbe guarirti, ma potrebbe anche avere degli effetti collaterali disastrosi.
Per evitare ulteriori accuse di boicottaggio o denigrazione per partito preso (o di “populismo”, come mi hanno detto alcuni), chiarisco che sono dispostissimo a installare un’app anti-pandemia e comprimere temporaneamente il mio diritto/dovere di privacy se mi si dimostra che funziona o che perlomeno non fa danni e mi si danno serie garanzie tecniche di temporaneità. La mia preoccupazione è che si faccia l’app come foglia di fico low-cost invece di fare l’unica cosa che sappiamo che funziona davvero ma che richiede soldi, organizzazione e fatica: fare i test d’infezione, farne tanti e farli prontamente. L’alternativa all’app non è stare chiusi in casa: è fare i test e ridurre al minimo i contatti fra persone.
Fatte queste premesse, passo la parola a Cory Doctorow, che ha riassunto egregiamente in un thread su Twitter alcuni altri concetti fondamentali, che riporto qui con adattamenti puramente linguistici per leggibilità.
Le app che chiamiamo di “contact tracing” non fanno tracciamento dei contatti. fanno “notifica delle esposizioni”. La notifica delle esposizioni è un ausilio utile al lavoro manuale oneroso del tracciamento dei contatti, ma non è in alcun modo un suo sostituto.
Una analisi importante del Brookings Institution (Contact-tracing apps are not a solution to the COVID-19 crisis, di Ashkan Soltani, Ryan Calo e Carl Bergstrom) esamina le limitazioni delle app di notifica automatizzata delle esposizioni, sia esistenti sia previsti, comprese quelle basate sulle API di Google/Apple.
L’analisi inizia affermando che nessuno è riuscito a gestire il tracciamento automatico dei contatti “nonostante numerosi tentativi in parallelo” e discute le limitazioni: le app “potrebbero, marginalmente e nelle condizioni giuste, aiutare a indirizzare le risorse di test diretto verso le persone a maggior rischio”.
Questo beneficio marginale ha un costo reale, sia in termini di interruzione del contagio sia in termini di diritti umani. Queste app genereranno molti falsi positivi e anche molti falsi negativi.
Il loro rilevamento di prossimità non rileverà le persone che non hanno uno smartphone e/o non hanno la competenza tecnologica per installare queste app. Questo gruppo corrisponde parecchio ai gruppi più a rischio: gli anziani e i poveri.
L’epidemiologia è uno sport di squadra e le persone più vulnerabili sono le più preziose della squadra. “La nostra app ti dirà se sei venuto a contatto con una persona infetta (ma non se quella persona appartiene al gruppo più probabilmente infetto)” è una promessa tradita alla base.
Queste app invieranno un avviso di allerta quando la tua auto chiusa è al semaforo accanto a un’altra auto chiusa a bordo della quale c’è una persona infetta e in molte altre situazioni nelle quali non c’è rischio di contagio.
Queste app non sono in grado di distinguere fra la tua prossimità a qualcuno che indossa una mascherina mentre anche tu ne indossi una e la tua prossimità a qualcuno che ti sta leccando gli occhi mentre ti tossisce in faccia.
Inoltre anche un “contatto autentico” con persone contagiose non significa che sei per forza infetto. Un R0 di 2-3 per persone che non prendono alcuna precauzione significa che di tutte le (centinaia di) persone con le quali viene a contatto una persona malata, in media saranno due o tre quelle che s’infetteranno.
Questo vuol dire che le app che contrassegnano qualunque contatto anche breve con persone contagiose genereranno tantissimi falsi positivi, mentre quelle che ignorano questi contatti genereranno tantissimi falsi negativi.
I ricercatori di sicurezza conoscono bene questo fenomeno: forse lo conosci anche tu. Probabilmente hai incontrato tantissimi avvisi di sicurezza emessi da siti che parlano di problemi con i loro certificati crittografici. In teoria, questo potrebbe indicare che qualcuno ha sferrato un attacco man-in-the-middle contro la connessione alla tua banca, al suo sito d’incontri o all’ufficio del tuo medico. In pratica, però, significa quasi sempre che qualcuno ha dimenticato di rinnovare il certificato. Praticamente tutti gli allarmi che hai mai ricevuto sono stati falsi allarmi. Ed è per questo che tu e io e tutti clicchiamo su “OK” e li ignoriamo. Ed è per questo che i criminali informatici continuano a vincere: sanno che quando realmente si spacceranno per il tuo medico o per la tua banca ignorerai l’avvertimento del tuo browser e manderai loro la tua login e la tua password.
Un’app di notifica delle esposizioni che si dimentica di notificarti quando sei a rischio e in più spesso ti notifica quando non lo sei diventa un fronzolo peggio che inutile, oltre che uno spreco di tempo e denaro e una distrazione.
Ma c’è di peggio, perché installare app che tracciano gli spostamenti degli utenti su miliardi di dispositivi è di per sé un’impresa rischiosa: qualunque difetto in quelle app espone al rischio di attività ostile miliardi di proprietari di dispositivi.
Qualche scenario:
- un’interferenza nelle operazioni di voto che contrassegna falsamente un seggio elettorale come focolaio d’infezione
- un imprenditore che attacca un rivale facendo false asserzioni riguardanti la sede del rivale
- troll che seminano il caos for the lulz [per divertimento]
- manifestanti che scatenano il panico come forma di disubbidienza civile
- agenzie di intelligence straniere che chiudono intere città nei paesi avversari
Gli sviluppatori e pianificatori di Google e Apple sono stati molti trasparenti a proposito dei propri piani ma devono fare di più ed essere schietti sui limiti dei loro strumenti, compreso il fatto che questi approcci non devono mai essere utilizzati da soli.
Poi ci sono le questioni di diritti umani, con le app che diventano obbligatorie e poi sancite permanentemente, come sono diventate permanenti le misure di sorveglianza post-11/9. Queste non solo indeboliranno i diritti umani tramite la sorveglianza, ma aumenteranno le diseguaglianze, rendendo dei paria sociali, privi di accesso ad aziende o servizi, le persone che non possono permettersi uno smartphone: i poveri.
Gli autori di queste app fanno una serie di raccomandazioni legali e di policy che riducono la probabilità che avvenga tutto questo, comprese misure di scadenza automatica, limitazioni agli scopi, regole contro le costrizioni, e altre misure che riducono il danno che queste app possono causare.
Il messaggio di fondo è questo: queste app hanno già un’utilità limitata, e quella poca utilità che hanno peggiorerà se non le facciamo bene.
Concludo con una frase di Stefano Zanero, professore associato del Dipartimento di Elettronica, Informazione e Bioingegneria e Politecnico di Milano, ed esperto di sicurezza informatica e informatica forense, uno dei tanti che hanno contestato il modello centralizzato scelto inizialmente dal governo italiano, che riassume perfettamente il senso di tutto questo: