20 Mag “Immuni” e mazziati: sul tracciamento, il governo non sa cosa vuole

di Pietro Salinari

La prima buona pratica di un progetto informatico è stendere in partenza un modello de “l’universo del discorso”, cioè un documento in cui sono definiti gli obiettivi, le scelte di fondo, i soggetti che avranno un ruolo del progetto, le relazioni reciproche, in che modo gli strumenti informatici dovranno integrarsi nelle loro azioni. Questo documento consente di stendere delle specifiche precise, che guideranno sia la selezione dei fornitori sia i futuri rapporti tra committente e fornitori.

Il peccato originale

Il Ministero per l’Innovazione Tecnologica e la Digitalizzazione non si è attenuto a questa pratica e ha indetto un bando in cui sostanzialmente invitava le imprese a proporgli qualcosa.

Dopo poco tempo è stato comunicato che era stata scelta l’app, o meglio era stata scelta la società che doveva svilupparla e cederla allo Stato in licenza d’uso gratuita. Ovviamente la mancanza di tutti gli elementi di cui sopra rendeva quasi impossibile spiegare i criteri con cui l’app era stata scelta;

Intanto l’assenza di un modello concettuale chiaro si è ripercossa sulla qualità del dibattito, che appare disordinato e cacofonico. Si possono leggere affermazioni completamente prive di senso, come “l’app è sicura perché non usa il GPS” (il GPS non è un marchio di infamia, è uno strumento con caratteristiche che possono essere pregi e difetti a seconda del contesto, ed è proprio il contesto che non è chiaro) oppure “si è scelto un modello decentralizzato che preserva la privacy” (stessa valutazione di cui sopra: i modelli decentralizzati non hanno una superiorità intrinseca rispetto a un modello centralizzato, hanno diverse forze e debolezze).

Infine, pochi giorni fa, il 29 aprile, la ministra Paola Pisano ha presentato alla Camera dei deputati un documento che, a sua detta, avrebbe dovuto essere la “relazione contenente la descrizione puntuale delle attività sinora poste in essere per la realizzazione del sistema nazionale di contact tracing digitale”. Nelle 7 pagine dell’allegato si spiega sommariamente come avvenga la determinazione dei contatti, come avvenga l’immissione nel sistema dell’informazione relativa alla diagnosi di positività al virus. Non si chiariscono le interazioni con il Sistema Sanitario Nazionale, che vengono indicate come “sviluppo in corso”.

In altre parole il “peccato originale” della mancanza di un “universo del discorso” sembra ancora non rimediato del tutto.

All’estero scelte più chiare

Visto che in Italia la situazione è così confusa, si può tentare di capire quale dibattito si è sviluppato all’estero in tema di tracciamento dei contatti, sia che sia effettuato manualmente che con strumenti informatici.

La newsletter del MIT[1] offre un ottimo punto di partenza, avendo censito e sommariamente paragonato 24 applicazioni di tracciamento contatti in altrettanti paesi.

Il modello Singapore

Il capostipite di tutte le tracing app è quella sviluppata a Singapore (TraceTogether), perché è quella   adottata prima delle altre, il suo codice sorgente è pubblico e la sua filosofia ben spiegata. Questa app (come quasi tutte le altre) stima la distanza tra due telefonini in base al livello di potenza del segnale Bluetooth. Riguardo alla filosofia, cito dal post[2] di Jason Bay, Senior Director (Government Digital Services) al GovTech di Singapore che ha diretto lo sviluppo di TraceTogether[3]: “Se mi chiedete se un qualunque sistema di tracciamento contatti basato su Bluetooth, sviluppato o in corso di sviluppo in qualunque parte del mondo, è pronto a rimpiazzare il tracciamento manuale dei contatti, la mia risposta, senza se e senza ma, è No”. Dopo questa affermazione netta, Jason Bay passa a elencare tutti i motivi per cui, a suo giudizio, un’app è utile solo se è uno strumento in più, inserito in un solido sistema di tracciamento basato su “investigatori medici”. In sintesi, un’applicazione automatica genera, per sua natura, falsi positivi e falsi negativi; un tracciatore umano può correggerli integrandoli con altre informazioni che raccoglie dalle interviste o da altre fonti; un sistema automatico basato su Bluetooth non ha elementi per conoscere il contesto (il contatto è avvenuto al chiuso o all’aperto, in un locale chiuso o ventilato); il medico che svolge il ruolo di tracciatore può invece ricostruire questi elementi. Nel contempo un’app può essere un utile sussidio agli investigatori medici, perché dalle interviste si desumono subito i contatti “strutturali” (familiari, colleghi di lavoro, comunità etc.) e rimangono fuori i contatti casuali, proprio quelli che un’app può rilevare. Convinti della importanza dell’integrazione con il sistema sanitario, gli sviluppatori di Singapore hanno lavorato sin dal primo giorno in stretto contatto con le autorità del servizio sanitario pubblico; in Italia, invece, come si è accennato, questa integrazione deve ancora avenire.

Ma c’è un altro punto molto importante che discosta il sistema italiano da tutti quelli che seguono l’impostazione di Singapore, come quello Australiano o quello della Gran Bretagna; per evidenziarlo faremo riferimento alle specifiche DP-3T [4], visto che la app italiana dichiara di essere conforme a tale modello, la cui documentazione è esaustiva e pubblica[5].

Il modello DP-3T

Si tratta dell’elaborazione di un gruppo, promosso dalla École Polytechnique Fédérale de Lausanne, a cui partecipano scenziati di altre università europee, tra cui quella di Torino e di Salerno. Questo gruppo è mosso dalla preoccupazione che i dati raccolti per il contact tracing possano cadere in mani sbagliate o essere utilizzati per usi impropri (polizia, antiterrorismo etc.), e che possa verificarsi il cosidetto “mission creep” cioè la graduale o incrementale espansione di un progetto o missione, al di là del suo originale ambito o obiettivo. Questa preoccupazione è tuttaltro che infondata, e non solo con riferimento a Stati dispotici o “canaglia”: le cronache italiane sono piene d’intercettazioni telefoniche eseguite nel corso di una indagine, e trapelate a mezzo stampa nonostante contenessero conversazioni con persone non indagate e non avessero elementi di rilevanza penale, ma rivelassero comportamenti imbarazzanti o disdicevoli, ghiotto boccone per i lettori. Negli USA le rivelazioni di Wikileaks o i corposi files resi noti da Manning hanno reso palese che diverse agenzie governative avevano espanso i poteri che erano stati accordati loro ben oltre i confini iniziali.

Ma meno condivisibile, a mio parere, è la linea proposta per risolvere il problema. Infatti gli studiosi del DP-3T ritengono che una protezione legale (norme che limitino l’uso dei dati, nel nostro caso al controllo dell’epidemia, vietino la raccolta di dati non necessari, impongano limiti temporali etc.) non sia sufficiente, ma che occorra difendere la privacy “by design”, cioè attraverso il modo stesso in cui la procedura è costruita, rendendo logicamente impossibile l’accesso ai dati da parte di qualunque autorità dello Stato, Sistema Sanitario compreso. Infatti lo schema prevede che tutti i codici che identificano un contatto siano rigorosamente anonimi, e risiedano solo sullo smartphone, con un’unica eccezione: quando una persone è diagnosticata positiva al virus, gli si chiede di scaricare la sua lista di contatti su un server gestito da un’entità statale, e tutti i titolari della app potranno sapere se sono stati in contatto con un contagiato collegandosi con il server centrale e controllando se, nella propria lista di contatti, ce n’è qualcuno che corrisponde alla lista sul server, che, appunto, contiene tutti e solo i contatti dei contagiati individuati. Quindi, in questo schema, sono i titolari a essere informati automaticamente dalla app (che gestisce il collegamento al server e il controllo delle liste). Il Sistema Sanitario non ha accesso ai dati dei contatti, e quindi non ne trae nessun aiuto nel ricostruire la catena dei contatgi.

Apple e Google hanno dichiarato di adottare l’impostazione DP-3T, anche se, allo stato degli atti, non è ancora chiaro quanto l’implementazione sarà fedele al modello teorico[6]. Francia e Gran Bretagna hanno dichiarato di voler seguire impostazioni diverse (dalle dichiarazioni sin qui rilasciate sembra che la Gran Bretagna si ispiri al modello Singapore -Australia). Sia Francia che Gran Bretagna hanno aperto una vertenza con Apple e Google, accusati di ostacolare i loro progetti.

Come si vede l’approccio di DP-3T, che anche l’Italia dice di voler seguire, differisce su un punto radicale rispetto all’impostazione che è stata descritta nel modello di Singapore-Australia e probabilmente UK. In un caso l’obiettivo principale è quello di fornire uno strumento in più a un robusto sistema manuale di contact tracing, mentre nell’altro si crea un sistema parallelo di avviso dei potenziali contagiati, che, se vogliono, si mettono di loro iniziativa in contatto con il Sistema Sanitario[7].

Alternative di fondo

A ben vedere due alternative più profonde sono sottese alla scelta tra le due impostazioni sopra descritte, che apparentemente riguardano solo aspetti tecnico/organizzativi: una è la scelta tra massimizzare la privacy o l’efficienza dei processi di contenimento del virus. Un’altra, a mio avviso più importante, riguarda i metodi per salvaguardare la privacy: bisogna, diffidando della capacità dello Stato, non raccogliere affatto delle informazioni sensibili, anche se utili allo scopo di contenere l’epidemia[8] (questo approccio nel dibattito plurisecolare sul leviatano viene efficacemente definito “don’t feed the beast”, non nutrite la bestia.) oppure cercare, con strumenti legislativi, organizzativi, sanzionatori, autorità di controllo, controllo e mobilitazione sociale di “incatenare la bestia” (shackle the beast); questo concetto è stato trattato approfonditamente da Acemoglu e Robinson nel loro più recente libro[9]: la loro tesi è che, per gestire la complessità del mondo moderno, uno Stato deve dotarsi di nuovi potenti strumenti; questo naturalmente rischia di renderlo troppo potente, e quindi mettere in crisi i controlli e i bilanciamenti che, nel vecchio mondo, lo rendevano controllabile. La soluzione, secondo gli autori, non è che lo Stato rimanga debole, ma che, parallelamente al suo potenziamento, si evolvano anche i controlli, sia istituzionali, sia legati alla mobilitazione popolare.

Situazione in Italia

Nello specifico del nostro caso, bisognerebbe anche riflettere sulle implicazioni in altri campi di un’eventuale scelta che implica l’impossibilità di potersi fidare della riservatezza di un organo dello stato per custudire dati sensibili: per esempio come fidarsi della conservazione del Fascicolo Sanitario Elettronico, che contiene tonnellate di dati sensibili? E dati gli inconvenienti relativi alle intercettazioni, vista l’incapacità dello Stato di mantenere la riservatezza, bisogna renderle impossibili?

Va tenuto presente che i paesi che hanno attuato un contact tracing robusto, e misure obbligatorie di quarantena, hanno potuto applicare un sistema di “chiusure di precisione”, chiudendo un singolo locale e mettendo in quarantena persone, evitando la “chiusura a tappeto” di comuni o regioni, e la chiusura di impianti industriali; grazie a queste misure si è impedito che la curva dei contagi divenisse esponenziale e questo ha consentito di contenere il numero di morti a poche decine e una caduta del PIL sensibilmente inferiore a quella prevista per l’Italia.

Ma pensiamo al futuro: qualora si riuscissero a ridurre i contagi a numeri piccoli[10], sarebbe auspicabile riuscire ad adottare questo metodo, sia per ridurre a zero i numeri piccoli, sia per stroncare sul nascere le eventuali seconde, terze o ennesime ondate; questo riaccendersi è probabile, perché è una proprietà intrinseca dei metodi basati sull’isolamento lasciarsi alle spalle, per un certo tempo, un numero consistente di persone non immuni, soggetti a essere contagiati da qualche focolaio rimasto silente in qualche parte del mondo.

In altre parole un’ efficiente e veloce ricostruzione dell’albero dei contagi, e le conseguenti azioni di diagnosi, isolamento e cura, consentirebbero di salvare vite umane, salvare l’economia e permettere il ritorno a una vita normale, evitando di ricadere nella situazione in cui si è costretti a chiusure generalizzate.

Problemi strutturali

Non mi sembra che si stia andando in questa direzione; ad oggi solo 5 regioni sono state in grado di fornire al Ministero della Salute dati di sorveglianza epidemiologica completi, il che fa pensare che il sistema di tracciamento manuale sia ancora debole. Nel contempo non sono ancora risolti alcuni problemi logistici e/o organizzativi, come il rifornimento di reagenti per i tamponi, la possibilità di reperire mascherine dei vari gradi di protezione (non solo chirurgiche che servono solo a proteggere gli altri, ma anche FFP2 o FFP3, che in certe situazioni possono preservare anche chi le porta e che prima dell’epidemia erano disponibili nei negozi di ferramenta a pochi euro), indicazioni chiare su come avvalersi dei test sierologici, su come mettere in quarantena i sospetti e come curare a casa gli ammalati.

Ma sarebbe un pecato se queste difficoltà invece di stimolarci a risolverle, ci inducessero ad abbandonare la prospettiva di chiusure mirate e non a tappeto; questa scelta ci condannerebbe ad un numero di morti e a danni economici maggiori di quelli ottenibili da stati eficienti.

Quale sarà l’efficacia di Immuni ?

Alcune fonti sostengono che sarà efficace se sarà scaricata dal 60% degli italiani, quindi circa 36 milioni. Una delle app più scaricate, WhatsApp, lanciata alla fine del 2009, è stata scaricata in Italia da circa 30 milioni di utenti in 11 anni, quindi si tratta di battere il successo di WA in pochi mesi. Comunque il numero degli smartphones in Italia nel 2018 era di circa 43.6 milioni[11], quindi si tratterebbe di raggiungere circa l’83% dei telefonini esistenti. Obiettivi ambiziosi. Va comunque tenuto presente che se due persone si incontrano, la probabilità composta che entrambi abbiano scaricato Immuni è il prodotto della probabilità che ognuno dei due l’abbia attivata; quindi se l’ha scaricata il 60% degli italiani la probabilità che entrambi l’abbiano è del 36%, se l’ha attivata il 30% degli italiani la probabilità composta è del 9% . Quindi un’ipotesi realistica è che Immuni individuerà una percentuale bassissima dei contatti. Questa percentuale sarebbe preziosa se consentisse al Sistema Sanitario di incrociare i dati che già possiede attraverso le interviste e altri interventi “umani”, è invece risibile se la si considera come il risultato di un sistema a sé stante.

In questo contesto introdurre una app, che si è deciso di non collegare al Sistema Sanitario senza che nessun politico si sia assunta una responsabilità chiara e senza che il grosso pubblico abbia la minima idea dei termini della questione, perché non esistono documenti ufficiali che spieghino chiaramente quali sono le scelte strategiche, mi sembra possa solo aggiungere confusione alla confusione.

Pratiche diversive

A questo proposito trovo molto preoccupanti affermazioni come quella di Arcuri in un’intervista su Huffpost del 21/04/2020, in cui dichiarava: “Senza Immuni non possiamo allentare la stretta. Requisiti fondamentali saranno sicurezza e privacy. Utile se connessa al Sistema sanitario”; o non sa di cosa sta parlando, cioè del ruolo assolutamente secondario che le app hanno avuto e stanno avendo nei paesi che hanno riportato maggior successo nel contenere il virus, e del fatto che i collegamenti al sistema sanitario sono deboli o inesistenti o sta attuando una campagna di disinformazione, per allontanare l’attenzione dai veri problemi connessi all’allentamento del lock down, nella situazione attuale italiana. Comunque la stretta la stiamo allentando e Immuni non c’è. A ben vedere far finta di credere che Immuni sia decisiva segue lo stesso schema individuato da Ricolfi per far passare il messaggio che la diffusione del contagio dipendesse soprattutto dai comportamenti dei cittadini e non dalla disorganizzazione, mancanza di chiarezza, incapacità delle autorità.

Proposte

In sintesi mi sembra opportuno non distrarsi su Immuni, concentrarsi nel risolvere tutti gli altri problemi sopra accennati, cancellare il progetto e ripartire tra qualche tempo, quando si avranno più informazioni sulle esperienze di altri paesi europei più efficienti e trasparenti del nostro e quando qualche politico si prenderà la responsabilità delle scelte e le spiegherà chiaramente ai cittadini.

[1]   https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/

[2]   https://blog.gds-gov.tech/automated-contact-tracing-is-not-a-coronavirus-panacea-57fb3ce61d98

[3]   Traduzione mia; per l’originale, tra l’altro brillante, vedi link alla nota precedente

[4]   Decentralized Privacy-Preserving Proximity Tracing, disponibili su un sito di condivisione documentazione; è impressionante vedere il livello di dettaglio e di chiarezza: vedasi il documento estensivo: https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf e una introduzione semplificata: https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Simplified%20Three%20Page%20Brief.pdf

[5]   Recentissimamente è stata pubblicata, a cura della sw house Bending spoon, anche la documentazione tecnica di Immuni, per cui il funzionamento interno dell’app è adesso del tutto chiaro. Continua a mancare una descrizione chiara del contesto e delle scelte di fondo, che dovrebbe essere fatta dal governo; per queste continuerò quindi a riferirmi alla documentazione del modello DT-3T, a cui Immuni si ispira. https://github.com/immuni-app/documentation

[6]   Il gruppo DP-3T apprezza l’appoggio di Apple-Google, al loro white paper ma si cautela: “we also strongly believe that Apple and Google should adopt our subsequent enhancements, detailed in later versions of our white paper, which increase user privacy. We also strongly encourage both companies to allow an external audit of their code to ensure its functionality corresponds to its specification”.

[7]   Se processi di automazione debbano avere come scopo sostituire lavoratori o “potenziarli”, aumentandone la produttività è un dibattito ricorrente, vedasi numerosi articoli di Acemoglu sugli effetti economici dell’Intelligenza Artifciale e “Good Job” contrapposti a “Bad Jobs”.

[8]   Per esempio nel white paper di cui alla nota 4 si sostiene che “the app does noi allempt to identify locations tha have a concentration of infected people. This is a design decision. […] In particular it avoids collecting location dala , which is highly sensitive and very difficult to publish in a privacy-preserving way.” Quindi non si decide di non raccogliere informazioni utilissime ad individuare focolari di infezione, perché sono difficili da encriptare!

[9]   Daron Acemoglu, James A.Robinson “The narrow corridor, States, Societies and the Fate of Liberty”, Penguin Books, 2020

[10] Non è affatto scontato che si arrivi rapidamente ad un numero di contagiati prossimo allo zero: errori nel determinare il momento della riapertura, disorganizzazione, mancanza dei dpi, scarsezza di tamponi etc. possono ritardare questo momento anche significativamente; tuttavia spero che prima o poi ci si arrivi, e allora bisognerà preoccuparsi sopratutto di come evitare il riaccendersi dell’epidemia, per poter tornare ad una vita quanto più normale possibile e potersi dedicare a rimediare i danni che l’epidemia ha fatto alla salute (non solo dei contagiati), all’economia e alla società.

[11] Elaborazione Censis su dati ISTAT