Come funzionano le app di tracciamento dei contatti attive in Europa? Sono più sicure o efficaci? Ci sono alternative?

Anticamente, ci si preoccupava dell’ingerenza dello stato nella vita privata dei cittadini, ma da alcuni anni a questa parte si è aggiunto un nuovo attore nei giochi di potere politici ed economici su scala mondiale: le grandi multinazionali tecnologiche.

Tra queste, Google e Apple sono state protagoniste di vari episodi di incidenti diplomatici, portando in superficie nuovi dilemmi etici e sfide per il settore privato e quello pubblico, soprattutto per quanto riguarda la privacy.

Ad esempio, quando può chiedere lo Stato a un’azienda di hackerare uno dei suoi dispositivi? In che casi è lecito che una o due multinazionali decidano gli standard di una tecnologia e quando, invece, violano le norme europee antitrust? E ancora, durante una pandemia e nel momento in cui è vitale implementare strumenti efficaci per controllare i contagi ed evitare la formazione di nuovi focolai, chi deve avere la ultima parola? La mega-azienda che, teoricamente, difende i propri clienti o i governi che devono lanciare campagne di prevenzione e lotta contro la malattia?

Sono domande complesse, basate su questioni altrettanto complesse e trovare una risposta univoca non è certo facile. Tanto per cominciare, dovremmo dire che dipende dalla legislazione di ciascuno stato. Ad esempio, in Cina non si sono fatti tanti problemi (dato che si tratta di un regime autoritario) al momento di scegliere tra privacy degli utenti ed efficacia del tracciamento, sopprimendo la prima per ottenere la seconda. Tuttavia, in altri paesi come l’Italia o la Francia, si devono tenere in conto molti più fattori e la scelta tra questi due grandi valori (riservatezza e monitoraggio efficace) diventa più complicata.

Se vuoi approfondire questo argomento, ti consigliamo l’articolo di Internazionale sulle app di contact tracing in Europa e nel mondo.

Privacy o efficacia?

Apple e Google hanno rilasciato il codice dell’API per sviluppare app di terze parti per la notifica di esposizione, come la chiamano loro per non dire apertamente “tracciamento dei contatti”. Dicono di averlo fatto per migliorare la compatibilità tra dispositivi e sistemi operativi e, soprattutto, per garantire ai propri utenti il rispetto della privacy.

I governi, Regno Unito e Francia in testa, si sono lamentati, sottolineando che la tecnologia sviluppata dai due colossi dell’high-tech non è molto precisa nella rilevazione delle distanze tra i dispositivi, il che può portare a molti falsi positivi e negativi: esposizioni che non sono avvenute davvero e mancate rilevazioni di contatti ravvicinati con persone infette.

Bending Spoons, gli sviluppatori di Immuni, dando sfoggio della tipica diplomazia e retorica italiane, hanno dichiarato a Repubblica che è perfettamente normale aspettarsi falsi positivi.

Ma il dilemma su questa coppia di valori non finisce qui, anzi si complica quando cominciamo a parlare di funzionalità del servizio e di raccolta dei dati.

Sistema centralizzato contro decentralizzato

Immuni utilizza un sistema di raccolta dati decentralizzato, ovvero i dati vengono salvati sul telefono ed è l’utente a decidere se e quando inviarli al server di analisi centrale. La Francia, invece, ha scelto un’app basata su un modello centralizzato, in cui tutte le attività vengono monitorate e gestite dai server centrali. In questo secondo caso, le possibilità di controllo sul contagio e l’esposizione sono maggiori, prima di tutto perché è possibile agire in modo più tempestivo e indipendentemente dalla volontà dell’utente.

La Francia, insomma, ha dato la priorità all’efficacia nella lotta contro la COVID-19. L’Italia e altri paesi, invece, hanno deciso che il livello di efficacia delle app decentralizzate è sufficiente, e che la privacy del cittadino è altrettanto importante (ricordiamo l’opinione del garante della privacy al riguardo).

Non dobbiamo tuttavia fare l’errore di tirare le somme troppo velocemente. Sarebbe facile, e comodo, additare certi stati o le grandi multinazionali come Apple come antidemocratiche o addirittura liberticide, assolvendo altri attori che hanno pari responsabilità al riguardo. Ad esempio, ci sono paesi che stanno valutando altri sistemi, come chip indossabili, token o dispositivi diversi dal telefono personale.

Contact tracing e sicurezza per gli utenti

In questo panorama variegato, in cui ogni paese prende le proprie decisioni e la UE si siede in disparte limitandosi a dare direttive già condivise dagli stati, l’utente finale si sente disorientato. Lo dimostrano le cifre delle app di contact tracing nei paesi europei, ad esempio Immuni è ferma a 4 milioni di download, poco più del 5% della popolazione italiana.

La cosa si complica: varie regioni hanno sviluppato le proprie app per dispositivi mobili sostituendosi a quella nazionale, la cui efficacia risiede proprio nel numero di persone che la utilizzeranno.

E poi c’è il problema della mobilità internazionale e della compatibilità tra le diverse app per tracciare i contatti fuori dal proprio territorio nazionale. Utilizzare le API di Google e Apple, rispettivamente per Android e Mac OS, sembra ancora una volta la scelta più sensata. D’altro canto, è proprio grazie alla propria penetrazione nei mercati di tutto il mondo che queste grandi aziende fanno da padrone e si permettono di dire ai governi cosa possono o non possono fare.

Dulcis in fundo, per dissuadere ulteriormente i cittadini dall’uso di queste app, i media insistono sulle implicazioni per la privacy, ed ecco che il numero di download si blocca e non ne vuole sapere di aumentare.

Dal canto nostro, come operatori del settore della cybersicurezza, vorremmo spezzare una lancia nei confronti delle app di contact tracing, quantomeno in base a ciò che dichiarano gli sviluppatori. Queste app:

  • NON utilizzano la geolocalizzazione tramite GPS
  • NON memorizzano dati personali
  • NON identificano l’utente

In compenso, tutte le cose precedenti le fanno i servizi di Google, Apple e altre multinazionali digitali. Per questo motivo, all’utente preoccupato per la propria privacy consigliamo innanzitutto di configurare in modo consapevole le impostazioni dei propri dispositivi digitali e dei servizi web che utilizza, dato che rispetto a questi le app di monitoraggio dei contatti sono molto meno invasive.

Inoltre, almeno in questo caso molto particolare, ricordiamo che il tracciamento digitale è l’unica misura di sicurezza realmente efficace contro la riattivazione di focolai della malattia COVID-19, mentre quello manuale è assolutamente insufficiente contro di essa.

Per una volta, forse dovremmo preoccuparci di più dei virus biologici e non di quelli informatici, tanto più che se vogliamo proteggere al meglio la nostra privacy, possiamo sempre contare su un buon antivirus e su una VPN leggera.

Buona navigazione e buon contact tracing!