Dalla app Immuni
al governo dei dati

Marco Baldi

di Marco Baldi*

In questi giorni nelle Marche, oltre a Puglia, Abruzzo e Liguria inizia la sperimentazione della nota app “Immuni” per il tracciamento dei contatti al fine del contenimento della pandemia da Covid-19. L’uso di questo genere di app, e prima di esso lo spostamento online della gran parte delle nostre attività, dalla scuola al lavoro, ha attirato come non mai l’attenzione dei cittadini sul tema dei dati e della loro protezione.
Come sempre, qualcuno grida allo scandalo ed evoca il grande fratello di Orwell, il più delle volte senza un motivo reale, magari per il solo fatto che si accorge all’improvviso che il proprio smartphone contiene una voce relativa alle notifiche Covid-19 ed immagina di essere già tracciato. In realtà, nei giorni scorsi gran parte dei nostri smartphone sono stati automaticamente predisposti, tramite gli aggiornamenti periodici, all’uso delle loro tecnologie di comunicazione da parte delle app di tracciamento. Questo grazie ad una pronta e congiunta risposta tecnologica a tale necessità da parte di Apple e Google, che con il progetto “Exposure Notifications” hanno reso i nostri smartphone pronti ad accogliere le app di tracciamento (una per nazione, ufficialmente approvata dal Governo) ed ad utilizzare protocolli validati e interoperabili tra le varie nazioni. Aspetto, questo, di fondamentale importanza affinché l’azione di tali app sia efficace anche a cavallo dei confini nazionali. Peraltro, sia l’uso di tali app che la loro capacità di notificare agli altri un’eventuale positività saranno su base volontaria, condizione richiesta dagli stessi Apple e Google per usare la loro tecnologia. E finché non si attiveranno tali funzioni volontariamente, i nostri smartphone da soli non faranno un bel niente.
Il principio di funzionamento delle app di tracciamento si basa infatti sulla trasmissione periodica di un breve segnale radio, detto in gergo “beacon”, che può essere ricevuto da tutti coloro che usano la stessa tecnologia entro un determinato raggio di prossimità. Tale segnale contiene un identificativo pseudo-casuale che cambia continuamente, e che viene registrato da chi si trova entro il raggio di prossimità prestabilito. Nel caso un utente riceva un esito clinico di positività e scelga di condividerlo nella piattaforma tecnologica, gli identificativi usati dallo stesso utente nei giorni precedenti verranno resi pubblici su un bollettino digitale, da dove tutti gli altri utenti potranno riceverli. Così facendo, e confrontandoli con quelli da loro registrati, essi scopriranno di essere stati in prossimità di un utente positivo, senza ovviamente scoprirne l’identità.
Tale protocollo è stato sviluppato da un’ampia comunità di ricercatori, ed è progettato per garantire la privacy. Come tutti i protocolli di cybersecurity, certamente può essere soggetto ad attacchi, e già diversi attacchi sono stati congetturati dalla comunità scientifica nazionale ed internazionale. Tuttavia, come sempre nell’ambito della cybersecurity, i protocolli possono essere migliorati, e certamente lo saranno nell’ottica di diventare sempre più robusti. Se da un lato la preoccupazione verso la protezione dei nostri dati è più che legittima, ed anzi benvenuta, dall’altro essa non dovrebbe prendere la forma di un’ansia nei confronti di un ipotetico nemico orwelliano, ma piuttosto quella di una cautela quotidiana, a maggior ragione in questo periodo di smart working e didattica a distanza. In Europa fortunatamente è in vigore già da due anni una delle più avanzate regolamentazioni sulla protezione dei dati dei cittadini, la General Data Protection Regulation (GDPR). Cionondimeno, pure nel pieno rispetto della GDPR, molti servizi che usiamo quotidianamente (spesso per scopi molto meno nobili del contenimento di una pandemia) risultano voraci dei nostri dati, e noi raramente ce ne preoccupiamo. Per esempio, è stato recentemente rilevato che le precedenti versioni dell’app Zoom, molto usata in questo periodo per fare videoconferenze, erano affette da diverse vulnerabilità che potevano ad esempio consentire ad estranei di prendere il controllo delle nostre webcam. Oppure, e ancora peggio, vi sono app che usiamo o lasciamo usare ai nostri figli per scopi di intrattenimento che invece hanno come scopo la violazione della nostra privacy e l’acquisizione dei nostri dati, e sostanzialmente registrano tutto ciò che noi facciamo, vediamo o ascoltiamo con lo smartphone. Si tratta però di app che vengono comunque installate milioni di volte, accettando (magari senza leggerlo) il relativo consenso e conferendo loro tutte le autorizzazioni che richiedono, e quindi tutelando chi le sviluppa e diffonde rispetto alla GDPR. In questo scenario, in cui ciascuno di noi ha la sua “scatola nera” rappresentata dal proprio smartphone ed il proprio “digital twin” rappresentato da tutto ciò che egli condivide, diventa di primaria importanza il governo dei dati. Certamente governare i propri dati, innanzitutto conoscendoli, è la prima forma di difesa verso i pericoli del mondo digitale. In secondo luogo, l’Amministrazione Pubblica deve evolvere altrettanto velocemente verso il governo dei dati dei propri cittadini. Ad esempio, governando i dati, Google ci sa dire che durante la pandemia nelle Marche il settore della vendita al dettaglio e delle attività ricreative ha subito un calo del 28% semplicemente guardando ai dati di mobilità registrati con Google Maps. Analogamente, l’accesso ai parchi è aumentato del 16%. In un contesto come questo, l’Amministrazione Pubblica non deve cadere nel classico errore di “reinventare la ruota”, fornendo ai cittadini nuove piattaforme da popolare con nuovi dati, che spesso rimangono deserte, inutilizzate o sottoutilizzate. Al contrario, l’Amministrazione Pubblica deve dotarsi di nuove competenze e capacità, al fine di intercettare e governare i dati che i cittadini già stanno producendo in enorme quantità, e da essi ricavare conoscenza in merito ai cittadini stessi, alle loro abitudini ed alle loro necessità, conoscenza imprescindibile come supporto alle decisioni di un’amministrazione pubblica contemporanea. Un primo passo in tal senso potrebbe essere la costituzione di un’anagrafe comunale capace di raccogliere anche le identità ed i recapiti digitali dei cittadini, oltre a quelli tradizionali. Già conoscere banalmente un indirizzo email (quando non anche uno o più profili social, o lo SPID) di ciascun cittadino basterebbe ad aprire nuovi canali di comunicazione tra l’amministrazione pubblica ed i cittadini stessi, rendendo accessibili e partecipati nuovi servizi e nuovi contenuti, senza la necessità di replicare piattaforme già esistenti e già usate attivamente dai cittadini.

*Candidato consigliere comunale per Macerata Insieme

App Immuni, si parte: le Marche tra le regioni pilota «Un’arma in più contro il Covid»