L’app “Immuni” è la soluzione tecnologica nazionale che il governo italiano si appresta a varare nell’ambito di una politica di contrasto al Covid 19 che sia il più possibile compatibile con le necessità di un ritorno, per quanto possibile, a condizioni di normalità. L’app in questione è stata commissionata (gratuitamente) dal governo ad una società selezionata mediante una gara, anche in ragione delle proposte di “architettura” del software ed ha trovato infine una cornice legislativa nel decreto legge 30 aprile 2020, n. 28, ancora pendente in Parlamento, che sarà ulteriormente specificato da un successivo decreto ministeriale. Queste brevi note hanno la finalità di sintetizzare alcune conclusioni a cui si è pervenuti nell’ambito di una riflessione di più ampio respiro (pubblicata su dirittifondamentali.it), individuando l’impatto dell’app sul sistema dei diritti fondamentali.
In primo luogo viene immediatamente in rilievo che se l’Unione Europea non è stato in grado di contrastare in modo unitario il Covid 19 e di immaginare la costruzione di una app continentale, allo stesso modo riuscita bene ad orientare il processo di costruzione delle app nazionali fin dall’inizio, grazie alle sue dettagliate normative preesistenti e alle sue politiche in via di graduale definizione (come quelle sull’AI). La realizzazione di questo obiettivo era fondamentale per poter aspirare ad una certa interoperabilità delle soluzioni a livello continentale in modo da ripristinare il più possibile la libera circolazione delle persone (a fini turistici e non solo) al momento oggetto di incertezze e posizioni di sospetto. Questa inter-operatività, salvo alcune titubanze nazionali (in particolare della Francia) oggi sembra profilarsi anche in conseguenza delle novità delle ultime settimane, di cui diremo subito.
In via generale le app definibili di tracciamento sono state alcune di quelle utilizzate già nella fase acuta di circolazione del virus, per lo più da Stati asiatici (in alcuni casi anche ricorrendo alla geolocalizzazione, per non parlare di interazioni tra le app e altre tecnologie con effetti molto intrusivi). I vincoli giuridici tipici delle società occidentali ed anche le problematiche operative emerse nell’ambito di quelle esperienze hanno portato ad una più accorta e consapevole realizzazione che si è avvantaggiata dell’intervento nel “mercato” delle app nazionali di Google e Apple, a seguito di un inusuale accordo intercorso tra le due compagnie, proprietarie ed oligopoliste dei sistemi operativi più utilizzati sui dispositivi mobili su cui sarà possibile installare le app nazionali. Il loro ingresso da un lato ha consentito di imboccare senza indugi la via di una app costruita sulla cd. decentralizzazione dei dati, i quali pertanto stazionano esclusivamente all’interno dei telefonini, salvo un marginale aspetto di cui si dirà; dall’altro ha consentito di risolvere una serie di questioni relative alla funzionalità dell’app che si erano palesate in precedenza e che in parte sono state all’origine della scelte delle big tech di intervenire nel campo dettando il proprio approccio.
La soluzione della decentralizzazione dei dati imposta dai due compagnie in quanto più conforme alle proprie policies ha ribaltato un originario orientamento portato avanti da un consorzio non ufficiale pubblico-privato del quale fa parte la stessa “Bending Spoon”, la società costruttrice dell’app per l’Italia. Quest’ultima è una società di solida reputazione nel settore e riconosciuto successo commerciale la quale però in conseguenza della svolta ha dovuto procedere ad una profonda ristrutturazione dell’architettura dell’app. In un paese che regala ben volentieri i propri preziosi dati anche con forme molto intrusive agli OTT (“over the top”) è nato negli ultimi mesi un movimento di opinione di sospetto e sfiducia nei confronti di queste app, tanto più (paradossalmente, ma fino ad un certo punto) se di origine statale. Il nostro paese, peraltro, vanta tassi di diffusione delle tecnologie tali da non lasciar prevedere un’elevata diffusione dell’app in questione visto che quella più diffusa in commercio è operante all’incirca sulla metà dei dispositivi mobili. Ciò consente di immaginare che l’app dovrà convivere con strategie ben precise di tipo organizzativo e sanitario e forse in questi termini si spiegano i target di utilizzo molto bassi indicati dal ministro competente in un secondo momento rispetto alle stime iniziali.
Anziché analizzare analiticamente il contenuto nel decreto legge è sufficiente descrivere le caratteristiche fondamentali della app e individuare qualche nucleo problematico. In sede di qualificazione alla luce delle funzioni commesse non si tratta di un’app di tracciamento ma di notifica rispetto ad esposizioni rischiose. Non segue movimenti, ma riconosce eventi. Diventa pertanto determinante definire quali sono questi eventi, le esposizioni rischiose che portano al trigger, il grilletto. Data la tecnologia utilizzata, il bluetooth, l’intervento delle big tech è stato importante anche per ottimizzare la potenza del segnale (molto variabile variabile in base ai modelli) e renderla il più possibile uniforme rispetto alle prescrizioni legislative in tema di distanziamento fisico. Ma va detto fin da ora che centrare appieno l’obiettivo non pare del tutto possibile per ragioni varie, e che in definitiva una cosa sono le norme sul distanziamento fisico in occasione dei contatti sociali e altre le specifiche tecniche che consentiranno all’app di funzionare per quanto possibile in modo efficace segnalando un rischio.
Non bisogna dimenticare che il bluetooth ha quale modo di operare l’invio di segnali intermittenti che delineano un raggio – o meglio una circonferenza – di azione. Pertanto sfugge a questa tecnologia la possibilità di un tracciamento in senso proprio (del resto fuori dall’intenzione del legislatore) e d’altra parte non ha tra le sue caratteristiche una grande precisione, che sarebbe richiesta dal rispetto delle norme sul distanziamento. L’interposizione delle cosiddette “API” tra l’app e i sistemi operativi garantisce un’ottimale funzionamento anche in background e un risparmio energetico notevole che allo stesso tempo tendono a conseguire anche una maggiore fiducia da parte degli utenti, rispetto a quanto evidenziato da precedenti esperienze. In queste occasioni si era verificato un numero elevato di falsi positivi e di falsi negativi. Nel caso di Singapore quasi la metà dei contagi era sfuggito ad un’app dalle funzionalità più intense di “Immuni” ma che interagiva male con i sistemi operativi e che non è stata utilizzata in modo corretto. Se cerchiamo una potenzialità offensiva dell’app nei confronti dei diritti fondamentali va detto che essa appare eseguire in modo assai blando le famose tre dell’Organizzazione Mondiale della Sanità: non solo non traccia ma neanche consente (nel senso di obbligare) di trattare in senso proprio. Essendo basata integralmente sulla volontarietà in ogni momento essa può non essere installata, e quindi a maggior ragione se installata può non essere utilizzata. Eventuali incentivi sono possibili ma in tal caso bisognerebbe fare i conti con rischi di mendacità e di accentuazione di un uso non corretto, e comunque dovrebbero essere compatibili con la natura dell’app.
L’app non effettua alcun tipo di diagnosi, perché lo stato di positività deriva da altri accertamenti, ma il positivo può introdurre questo stato mettendosi in contatto con i servizi sanitari ed ottenendo tramite un sistema criptato una password temporanea che gli consente di segnalarsi in maniera anonima. Di conseguenza, mediante liste scaricate periodicamente da un server pubblico, che allo stato non è stato ancora individuato ma che sarà gestito da società pubbliche e collocato sul territorio nazionale, sarà possibile notificare ad una serie di soggetti la circostanza di essere stati esposti al rischio di contagio entro l’intervallo di tempo di esposizione programmato, che attualmente sembra oscillante in un range molto ampio, tra i cinque ai trenta minuti. Mentre il soggetto positivo ha avuto un contatto con i servizi sanitari ed è sottoposto a specifici obblighi, non incombe su di lui l’ulteriore obbligo di segnalare la sua condizione di positività mediante l’app e neanche di utilizzarla. Allo stesso modo Immuni è in grado, se correttamente utilizzata, di rilevare la prima cerchia dei potenziali contagiati ma costoro non hanno alcun obbligo di contattare i servizi sanitari per monitorare la propria situazione ed accertare un eventuale contatto. A questo fine al momento dell’installazione dell’app l’utente (superiore ai 14 anni) inserirà soltanto la provincia di residenza in modo da ricevere, in occasione dell’eventuale alert a seguito della esposizione rischiosa, anche delle informazioni di tipo sanitario. Le autorità pubbliche non vengono a conoscere in alcun modo la sua identità e men che meno è possibile risalire a coloro che a sua volta sono stati a contatto con lui. La ricostruzione vera e propria delle catene di contagio è rimessa a operatori fisici e per lo più indipendente dall’app. Immuni in altre parole funziona ampiamente con dati anonimi, che dunque non richiedono un consenso, e che tra l’altro possono essere ceduti per realizzare grafi sociali sulle situazioni epidemiologiche o a gruppi di ricerca per scoprire nuove caratteristiche del virus. Ma questi dati anonimi all’occasione divengono personali in conseguenza della cd. pseudo-anonimizzazione, al solo fine di consentire l’invio degli alert non immediatamente successivi al contatto (di qualche ora, o di qualche giorno, a seconda delle circostanze), come frutto dell’intreccio dei segnali via bluetooth. A questo fine gli incontri di segnali da cui possono discendere eventi rischiosi sono conservati per almeno 14 giorni sui dispositivi.
Sebbene il commissario straordinario Arcuri abbia lasciato intendere la possibilità e opportunità di attivare ulteriori funzionalità è evidente che queste funzionalità non devono tradire il modo di essere dell’app. Con queste ulteriori funzioni forse si spiega la gelosia degli Stati nazionali a procedere ad altrettante app, in quanto forse in futuro si immagina un’integrazione con i preziosissimi database sanitari nazionali. Detto che, come è stato ben sottolineato da Oreste Pollicino ed altri, per ragioni di pubblico interesse individuati puntualmente dalle norme comunitarie (ma numerosi…) sarebbe stato possibile anche disporre di un software prescindente dal consenso sia pure con funzionalità proporzionali e limitate agli obiettivi, la scelta della volontarietà, considerata la più conforme al principio dell’autodeterminazione, è stata vista con favore dall’Europa e l’app in questione è stata valutata in maniera eccellente dall’M.I.T. sotto il profilo della sicurezza e, dopo la diffusione del codice sorgente nelle scorse ore, anche dai primi riscontri della comunità degli informatici.
La presenza di dati essenzialmente conservati sui dispositivi limita al massimo il rischio di danni importanti derivanti da attività di hackeraggio. L’open source e l’ispezionabilità del codice sorgente, appena rilasciato, dovrebbe escludere back door o falle importanti. I dati che passano attraverso il server pubblico sono criptati e viene anche prodotto un “rumore di fondo” per rendere meno captabili i segnali da malintenzionati (che ad es. potrebbero inviare alert fasulli). L’individuazione dei soggetti, poi, non è possibile alla luce delle limitazioni tecniche anche se resta di fatto la possibilità del tutto fortuita, come del resto avviene nella vita reale, che la peculiarità delle condizioni date renda possibile l’individuazione del soggetto in questione, come è avvenuto in casi estremamente limitati nell’esperienza coreana (si pensi ad un soggetto che esce di rado ma che in una di quelle rare uscite sa bene chi ha incontrato: è evidente che può ben sapere chi è il positivo). Non è da queste eventualità, fatali, che può derivare un giudizio sull’app, né Immuni ha alcune delle potenzialità diagnostiche e intrusive che si celano tra le innumerevoli possibili funzionalità di questi software che possono essere installati sui dispositivi.
Il problema maggiore forse non deriva tanto dalla potenziale lesione dei diritti fondamentali, in quanto l’app può essere utilizzata o non utilizzata e non ne discende alcun tipo di obbligo, ma dai condizionamenti di fatto che sono il prodotto della mescolanza di vincoli tecnici di costruzione e giuridici di disciplina.
Immuni non è evidentemente in alcun modo sostitutiva della regola base del distanziamento, e come si diceva un basso tasso di utilizzazione non la rende certo inutile, perché comunque consente l’emersione di un certo numero di contagi (che andranno poi trattati dai cd. tracciatori, che in numero molto significativo andrebbero assunti e di cui attualmente si sono perse…le tracce). La questione fondamentale però è legata a diversi fattori: in primo luogo una certa ottusità della tecnologia, impeccabile nell’eseguire il programma ma non certo capace di utilizzare il buon senso per valutare la situazione. Poi dalla differenza tra distanza legale e ottimizzazione del bluetooth, che non sarà mai perfettamente sovrapponibile. Ne consegue, nonostante i perfezionamenti rispetto agli esperimenti passati, nuovamente un elevato rischio di un numero imponente sia di falsi negativi che di falsi positivi. I falsi negativi naturalmente non dipendono dall’app, ma semmai dal suo scarso o cattivo utilizzo. I falsi positivi dipendono invece da quella vasta serie di situazioni che non è in grado di decifrare in maniera corretta.
La durata dell’esposizione è orientativamente parametrata sulle maggiori occasioni di contagio, ma nulla vieta che una minima esposizione non rilevata dall’app (perchè tali sono le istruzioni) possa produrre un contagio non segnalato. L’uso dell’app da questo punto di vista non deve incoraggiare uno stile di vita rischioso perchè l’assenza di alert non è perfettamente indicativo di uno stadio di negatività. Immuni del resto sarà cieca rispetto a un vasto numero di situazioni che è destinato a riprodursi in maniera frequente nei mesi estivi, dalle spiagge ai lungomare affollati. Inoltre ha dei limiti tecnici al momento insuperabili in parte per come è costruita e forse anche in parte in modo inevitabile: non è in grado di riconoscere se c’è un muro o una barriera (anche di quelle ora in uso nella ristorazione) che divida due persone, o se le persone indossano dispositivi individuali di protezione, ammesso che siano efficaci. L’eccessivo numero di falsi positivi potrebbe sollecitare troppo le strutture pubbliche che potrebbero non essere in grado di trattare tutti i casi (nella migliore delle ipotesi). Viceversa la ripetizione di alert per soggetti con vita sociale intensa, in teoria anche se rispettosi delle distanze, potrebbe portare ad un effetto di assuefazione, donando false sicurezze e comunque vanificando l’utilizzo dell’app. Come noto gli scienziati hanno contestato le caratteristiche fondamentali di Immuni ma alcuni limiti sembrano discendere piuttosto dalla tecnologia o dalla scelta del bluetooth o sono al momento ineliminabili, o infine appaiono in parte superabili ma solo con compressione dei diritti fondamentali che al momento (le condizioni del momento possono essere determinanti per queste valutazioni) appaiono non proporzionate. Una soluzione sicuramente più efficace, e anche proposta nel dibattito pubblico, ad esempio sarebbe una tecnologia che puntasse su braccialetti elettronici, la quale però sarebbe enormemente più offensiva sui diritti fondamentali e non a caso ricorda soluzioni utilizzare all’estero per limitare la libertà personale e monitorare spostamenti.
In conclusione la base legale di Immuni è sufficiente e le sue caratteristiche sono assolutamente rassicuranti. Il modo in cui i dati vengono trattati e conservati e distrutti non suscita particolari perplessità, anche se il garante per la privacy non si espresso ancora conclusivamente. Le obiezioni del Copasir sono apparsi di poca sostanze e in parte già risolte positivamente dalla società costruttrice ancor prima di essere formulate. La vera criticità dell’app sembra derivare da un lato dal rischio di bassa o scorretta utilizzazione, in parte dell’insieme dei suoi limiti tecnici. Il tutto può determinare un numero eccessivo di falsi positivi e di falsi negativi con condizionamenti di fatto, anche precisamente rimontanti all’app, rispetto al godimento dei diritti fondamentali o rispetto all’efficienza delle strutture pubbliche. Su alcuni di questi profili non c’è molto da fare, ma una campagna di informazione pubblica non solo per incentivare l’uso dell’app ma anche per spiegare come funziona servirebbe ad un uso più responsabile e utile. Ricordando che in ultima analisi il migliore soggetto per giudicare l’esistenza del rischio non è un messaggio inoltrato automaticamente da un software ma la testa di una persona che usa (abita, direbbe Heidegger) la tecnologia.