12 Maggio 2020
Guerre di Rete newsletter

CORONAPP E10S03 – Decimo Episodio Stagione Terza App di tracciamento contatti dei contagiati, a che punto siamo?


di Carola Frediani



Abbiamo scelto di pubblicare questo articolo di Carola Frediani, esperta di cyber-security, che può sembrare una scelta insolita per il nostro sito. Infatti, è molto specialistico e potrebbe risultare un po’ ostico, ma mette a disposizione una serie di informazioni ben scritte, ben documentate e spiegate in modo chiaro. Conoscenze che offrono maggiori strumenti di comprensione e di scelta, anche rispetto ai rischi di sottrazione dei dati personali da parte delle Big tech che mettono a disposizione le API per lo sviluppo della app. L’articolo chiarisce che uno dei punti cruciali è il modello che si sceglie: centralizzato o no.

Buona lettura.

La redazione



«Il Consiglio dei ministri ha dato il via libera al decreto legge che contiene, tra le altre cose, il quadro normativo in cui si andrà a inserire l’adozione di Immuni, la app scelta dal governo per fare il tracciamento dei contagiati da coronavirus. Al suo interno ci sono poche novità e molte smentite di alcune delle ipotesi fantasiose fatte circolare in questi giorni dai media, complice una comunicazione istituzionale poco trasparente», scrive Il Foglio. «La app non sarà obbligatoria, non ci saranno braccialetti elettronici stile arresti domiciliari, chi non la utilizza non subirà alcun tipo di limitazioni»

E ancora: «I dati di prossimità dei dispositivi saranno resi anonimi o, se non è possibile, pseudonimizzati; in ogni caso è esclusa la geolocalizzazione dei singoli utenti», scrive Altalex. «La conservazione dei dati relativi ai contatti, anche nei cellulari, sarà limitata al tempo strettamente necessario; l’utilizzo dell’applicazione e della piattaforma e i trattamenti dei dati personali saranno interrotti nel momento in cui sarà decretata la cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020; entro la medesima data saranno cancellati o resi definitivamente anonimi tutti i dati personali trattati».

Qua il comunicato del governo.

Qua il decreto.

Qua il parere del garante della privacy, che si esprime in modo favorevole. È interessante però una nota del garante. Quando dice che la norma «non specifica chiaramente se si intenda optare per la conservazione dei dati in forma centralizzata ovvero decentrata. In ogni caso, la centralizzazione richiederebbe in sede attuativa la previsione di misure di sicurezza rafforzate, adeguate alla fattispecie».


Questo dubbio – ovvero se, in base alla norma, la raccolta e conservazione dati sarà centralizzata o decentralizzata – sembra aleggiare anche in altri commentatori e articoli, da Agenda Digitale a Wired a Key4biz che oltre a ciò specifica: «I dati raccolti da Immuni saranno conservati in parte sul telefonino degli utenti e in parte all’interno di un server italiano della pubblica amministrazione gestito da Sogei, mentre PagoPa avrà il ruolo di sviluppo dell’app e del coordinamento tecnologico insieme al nostro dipartimento per la trasformazione digitale» (mentre Wired qua analizza le relazioni della task force).

Stando alle recenti dichiarazioni politiche (a partire da quelle della ministra Pisano) e alle indiscrezioni giornalistiche uscite nei giorni scorsi, l’Italia avrebbe però ormai svoltato verso un modello decentralizzato.

Lo ribadisce Alessandro Longo sul Sole: «L’app sfrutterà il framework reso disponibile da Google e Apple, che è ispirato al protocollo DP-3T di tipo “decentralizzato” (che fa capo all’Ecole polytechnique fédérale de Lausanne, Svizzera). Ogni dispositivo dotato dell’app genera un proprio Id, un codice identificativo temporaneo, che varia spesso, anonimo e che viene scambiato tramite bluetooth (low energy) con i dispositivi vicini (in base a parametri da fissare, ma Arcuri dice: quelli a meno di due metri per almeno 15 minuti). I cellulari conservano in memoria gli Id degli altri cellulari contattati e i metadati (durata dell’incontro tra i dispositivi, forza del segnale percepito). Tutti questi dati sono crittografati in modo robusto. Per ciascuno di questi contatti, l’app stabilisce un rischio contagio grazie a questi dati, con un algoritmo in via di affinamento. A intervalli di tempo i cellulari scaricano da un server, che da noi sarà a gestione pubblica, gli Id dei cellulari di chi è risultato positivo a un tampone. Se l’app ritrova questo Id all’interno della propria memoria con un livello di rischio giudicato sufficiente, fa apparire una notifica con un messaggio pre-impostato, a cura dell’autorità sanitaria».

Lo scrive Martina Pennisi sul Corriere: «Quindi: l’app italiana si baserà sulla tecnologia proposta dai due colossi della Silicon Valley. Proposta e imposta, perché solo le applicazioni che useranno le Api distribuite dalla Mela e da BigG potranno sfruttare interamente sugli smartphone iOs e Android il bluetooth per permettere alle persone di scaricare l’app, andare in giro ed essere avvisate nel caso si siano trovate vicino a qualcuno poi rivelatosi positivo. I governi che preferiranno fare da soli per gestire i dati sui loro server – per ora il Regno Unito e Francia, seppur in modi diversi – dovranno trovare degli escamotage tecnici per superare i limiti già emersi a Singapore e in Australia: le app devono essere aperte o essere state aperte prima del blocco dello schermo, la batteria si scarica molto velocemente e i dispositivi iOs non si riconoscono fra loro».

Anche se aggiunge una possibilità che potrebbe spiegare alcuni dei tentennamenti. Ovvero che l’ipotesi centralizzata non sia del tutto sparita dal campo, e tutto dipenda «dal margine di contrattazione [che] c’è con Google e Apple e come evolverà la strategia».

Magari, aggiungo io, si guarda cosa riesce a spuntare la Francia (e su quello tra poco ci arriviamo).


Quando arriverà l’app? Non prima di metà maggio, forse giugno.

Scrive in un altro articolo Il Sole: «Almeno la roadmap tecnologica è chiara. Apple e Google hanno annunciato di avere distribuito la prima versione Beta delle API agli sviluppatori selezionati dalle autorità sanitarie in diversi paesi, tra cui naturalmente Bending Spoons che è al lavoro per l’app Immuni. In una nota sul loro blog i due colossi hanno precisato che forniranno oggi i primi seed delle API (Application Programming Interface). L’obiettivo è quello di aiutare gli sviluppatori a iniziare i test in previsione del rilascio delle API a metà maggio. Difficile quindi immaginare che l’applicazione Immuni potrà uscire prima di giugno».

I tentennamenti potrebbero anche riguardare la difficoltà di rispondere per tempo a tutta una serie di questioni aperte, che vanno oltre i temi tecnici, alcune delle quali sono affrontate qua su La Stampa.


Intanto nel mondo, e sempre sulle app di contact tracing… […] cresce il fronte decentralizzato

Ricordiamo che Francia e UK sono i due Paesi europei (o ex-europei) che hanno scelto in modo più convinto finora la soluzione centralizzata. La Germania, che era di questo gruppo, si è recentemente sfilata a favore del decentralizzato. Mentre a essersi espressi ufficialmente per la soluzione decentralizzata sono Svizzera, Austria, Estonia, Finlandia, e ultima di questi giorni, Irlanda, cui si aggiungerebbero, in modo più ufficioso, Spagna e Italia, nota su Twitter Michael Veale, esponente del fronte decentralizzato e in particolare del progetto DP-3T.

Intanto, negli Usa, ogni Stato o città sembra andare per conto suo anche sulle app. Ma, nota Buzzfeed, il tracciamento contatti manuale resta fondamentale.


Centralizzato o decentralizzato: le differenze 2 la vendetta

Ok, torniamo a centralizzato e decentralizzato (vedi la newsletter della scorsa settimana, e quella prima). Malgrado il parlare che se n’è fatto ho l’impressione che ci sia ancora troppa confusione al riguardo. Ho capito che è sbagliato l’approccio terminologico, perché queste restano definizioni incerte o ambigue, soggette a interpretazioni. Soprattutto da parte di chi non appartiene a un ambito tecnico ma anche, con mia sorpresa, all’interno delle comunità di specialisti. Allora il mio consiglio è: quando qualcuno vi propone un modello, lasciate perdere la definizione di centralizzato o decentralizzato e chiedete semplicemente come funziona in dettaglio. Il modello può chiamarsi anche Vattelapesca, l’importante è che sappia rispondere a una serie di domande precise.


Ho fatto uno specchietto riepilogativo per orientarsi e a cui ho dato dei nomi di fantasia, perché il concetto è non farsi condizionare dalle definizioni sopra citate (per farlo mi aiuto con la valutazione d’impatto sulla protezione dei dati di app per il coronavirus elaborata dall’associazione tedesca FIfF (in inglese The Forum Computer Scientists for Peace and Societal Responsibility, gruppo di 700 professionisti del settore informatico con interesse per gli aspetti sociali delle tecnologie, grazie a Lorenzo Cristofaro per la segnalazione).

  1. Modello PIPPO (qualcuno lo chiama centralizzato, o il modello per cui si sarebbe schierato a un certo punto il consorzio europeo PEPP-PT, che inizialmente era invece aperto sia a soluzioni centralizzate che decentralizzate, o ancora il modello di Singapore):
  2. quali dati sono caricati sul server? sul server sono caricati tutti gli eventi di contatto degli ultimi giorni di una persona dopo che risulta infetta (dunque gli identificativi di chi ha incrociato e viene stimato come contatto a rischio)
  3. chi informa gli utenti stimati come contatti a rischio? il server (calcola il rischio e manda l’alert)
  4. dove avviene l’abbinamento, il match, tra l’ID di un positivo e gli ID di chi gli è stato vicino? Sul server
  5. chi genera gli ID temporanei assegnati agli utenti? il server
  6. Modello C-3PO (qualcuno lo chiama decentralizzato con possibile supporto di raccolta dati per studi epidemiologici, o il modello proposto dal gruppo DP-3T. A questo modello si ispira, più o meno, la soluzione Google-Apple):
  7. quali dati sono caricati sul server? sul server sono caricati tutti gli identificativi temporanei degli ultimi giorni della persona che è risultata infetta
  8. chi informa gli utenti stimati come contatti a rischio? lo smartphone (calcola il rischio e avvisa l’utente in locale)
  9. dove avviene l’abbinamento, il match, tra ID di un positivo e gli ID di chi gli è stato vicino? Sul telefono
  10. chi genera gli ID temporanei assegnati agli utenti? lo smartphone
  11. possono essere aggiunti altri dati se l’utente vuole? sì, il sistema prevede anche una possibile funzione di donazione dati, dove l’utente può fornire altre informazioni che supportino ricerche epidemiologiche
  12. Modello HARLOCK (qualcuno lo chiama decentralizzato puro): è uguale a sopra (a C-3PO), ma non supporta ricerche epidemiologiche, no donazione di ulteriori dati.

Ora, quali sono i rischi e le vulnerabilità per questi modelli? Li elenca la già citata Valutazione d’impatto sulla protezione dei dati di app per il coronavirus dell’associazione tedesca:

Tra quelli considerati DI RISCHIO ELEVATO:

  1. Falsi positivi

Se la app prescrive/impone autoisolamento, questo corrisponde a una decisione automatizzata con conseguenze legali. Quando è un problema? Ovviamente nel caso di falsi positivi (che potrebbero essere tanti, e comunque non è chiaro quanti). Perché gli utenti potrebbero doversi «isolare per errore, anche più volte in successione, con importanti conseguenze sociali ed economiche per loro», scrive il documento. E dunque questo rischio si può mitigare «con una efficace struttura per fare appello. Se non ci fosse questa possibilità, l’accettazione del sistema potrebbe diminuire perché le sue decisioni potrebbero essere percepite come arbitrarie».

  • Profiling comportamentale e valutazione del livello di compliance degli utenti infetti

«Gli operatori possono usare la cronologia contatti degli utenti infetti per eseguire una valutazione comportamentale: quanti contatti ha avuto con altri? Si è presa dei rischi o è stata negligente?». Questa valutazione comportamentale può essere fatta come studio epidemiologico generale, non individuale. Ma in una variante centralizzata potrebbe anche deanonimizzare le identità temporanee degli utenti infetti, scrive lo studio.

  • Deanonimizzazione degli utenti

Il rischio di deanonimizzazione per alcuni utenti è presente in entrambi i modelli. Ma nel contesto di una architettura centralizzata PEPP-PT, in cui gli ID temporanei sono assegnati dal server centrale, gli operatori possono deanonimizzare tutti gli utenti attraverso i metadati delle connessioni; e possono deanonimizzare l’intera cronologia dei contatti degli utenti che sono stati testati come positivi.

«Per questo la decisione di varianti centralizzate o decentralizzate ha notevoli implicazioni sulla protezione dei dati».

Ci sono anche altri rischi elencati nel documento, ma quelli sopra descritti sono i più rilevanti.

Mentre però sulle app nazionali c’è un percorso avviato, un dibattito pubblico e un adeguato livello di attenzione, tutto attorno sembrano proliferare soluzioni locali, specifiche, fai-da-te, lanciate da aziende e altre organizzazioni (l’ultima il braccialetto da spiaggia), che rischiano di diventare un Far West rispetto alle indicazioni di privacy e security by design date dall’Europa. E questo rischio se non sbaglio è citato anche nel comunicato del Garante.

[…]


(Guerre di Rete – una newsletter di notizie cyber n. 69, a cura di Carola Frediani, 3 maggio 2020)  

Print Friendly, PDF & Email