Introduzione

Già alla seconda settimana dall'inizio delle misure di “quarantena” adottate su scala nazionale dal governo Conte II (9 marzo 2020), era cominciata su Internet (ad opera ad esempio di figure come Fabio Sabatini e Roberto Burioni) una campagna sulla necessità di adottare un sistema di tracciamento automatico dei possibili contagi “come in Corea del Sud”.

Questa possibilità di tracciamento “di massa” sarebbe necessaria —a detta dei suddetti— per poter entrare in sicurezza nella famosa “fase 2” della gestione dell'epidemia: il rilassamento della quarantena e la ripresa della libera circolazione dei cittadini.

È con questo spirito (almeno di facciata) che l'iniziativa è stata adottata dal governo, che —con la fretta, la confusione e la mancanza di chiarezza e trasparenza che hanno caratterizzato un po' tutti gli interventi in tema “gestione dell'epidemia”— ha affidato la creazione dell'app in questione (denominata «Immuni») (archivio) alla compagnia software Bending Spoons.

Invero, le scelte fatte, le tempistiche, e la direzione verso cui sta evolvendo l'azione di governo (come ad esempio le proposte in discussione su quanto rendere volontaria l'installazione dell'app, o la sua sostituzione con braccialetti elettronici che ricordano neanche troppo da lontano quelli adottati per gli arresti domiciliari) fanno sollevare parecchi dubbi, per nulla sfumati dai continui riferimenti (riscontrabili ad esempio sulla già citata pagina dell'Agenda Digitale) a simili iniziative europee ed extra-europee.

Il sospetto maggiore che emerge, e sul quale torneremo in coda a questo testo, è che lo scopo principale di questa app non sia quello —dichiarato— di mantenere sotto controllo l'epidemia pur allentando le draconiane regole di quarantena a cui la popolazione ormai si manifesta abbondantemente insofferente e garantendo comunque la salute dei cittadini.

Nella migliore delle ipotesi, come vedremo, vista la fretta e le strategie di comunicazione adottate, sembra piuttosto che l'obiettivo principale di questa app sia invece la deresponsabilizzazione dell'azione di governo: condizionare la libera circolazione all'adozione dell'app senza risolvere i dubbi sulla sua natura diventa un modo per scaricare la responsabilità della (probabile, se non inevitabile) recrudescenza dell'epidemia nella “fase 2” a fantomatici “furbetti dell'app”.

Nella peggiore delle ipotesi, d'altronde, il tutto potrebbe essere semplicemente una “prova generale” per forme ben piú invasive di monitoraggio e controllo della popolazione —intenzionale o meno che tale sia al momento.

Ma cerchiamo di capire meglio perché, pur non essendo necessariamente opposti a priori a qualche forma di tracciamento, vi è ben ragione di dubitare della forma e dei tempi scelti al momento dal governo —e senza nemmeno cadere nel bias di una (non necessariamente immeritata) mancanza di fiducia nei confronti dello stesso.

Punto primo: priorità

Fin dai primi tempi di campagna mediatica nei per il tracciamento digitale, l'aspetto piú sospetto è stato il peso dato a tal servizio vis-à-vis con altri, ben piú importanti metodi di tracciamento e sorveglianza (attiva) della diffusione dell'epidemia, nonché del suo contenimento.

Priorità assoluta, per il corretto tracciamento dell'epidemia, è capire chi è infetto e chi no: questo richiede “tamponi a tappeto” (con buona pace di Crisanti, a cui l'espressione non piace) —il che non significa fare tamponi a tutti in maniera scriteriata, ma significa comunque fare molti piú tamponi di quanti ne sono stati fatti, soprattutto in quelle regioni come la Lombardia dove è ormai evidente pure a chi ha vissuto finora con la testa nascosta sotto la sabbia che la selettività nell'applicazione dei tamponi ha portato ad una disastrosa (se non criminale) sottostima dei contagi.

Ovviamente, questo richiede maggiore disponibilità di tamponi e minore speculazione (esempi si trovano in tutta Italia, dalla Lombardia alle Marche). Se un'azione di governo è opportuna, dovrebbe essere in primis in tal senso.

Ma non basta: avendo a disposizione un meccanismo funzionante (e possibilmente rapido) per determinare gli infetti, prima di considerare il tracciamento occorre provvedere a minimizzare le possibilità di contagio: anche in presenza di adeguato monitoraggio e tracciamento automatico, rimane aperta una finestra temporale per il contagio che va minimizzata —e la sua minimizzazione comporta un'adeguata disponibilità di dispositivi di protezione individuali (DPI): guanti, mascherine, visiere —la cui mancata distribuzione ai lavoratori (soprattutto, ma non solo, quelli ospedalieri e nelle residenze sanitarie assistenziali (RSA)) è stata grave concausa della drammatica situazione epidemiologica della Lombardia.

(E parliamo di DPI, non di costose strategie per evitarne l'uso ed abituare i dipendenti ad una superflua —dal punto di vista epidemiologico— sorveglianza continua: anche perché sappiamo benissimo cosa succede quando gli allarmi disturbano il lavoro, e non è “risolviamo il problema per cui c'è l'allarme”. Quindi parliamo di DPI —saranno anche piú economici come soluzione.)

Anche qui, se un'azione di governo è opportuna, dovrebbe essere in secundis (dopo la sorveglianza attiva) nel garantire adeguata protezione: incentivare quindi l'adozione (e la disponibilità) di DPI, a livello privato individuale nonché a livello aziendale, e punire l'inadeguatezza della stessa (ad esempio, per le aziende che venissero trovate inadempienti sulla protezione dei lavoratori durante un'ispezione —ispezioni che, altresí, non dovrebbero mancare).

Solo dopo aver dato la dovuta priorità a sorveglianza e protezione può aver senso andare a valutare l'opportunità (ben diversa dalla necessità) di forme —adeguatamente ristrette, anonime, garantite e volontarie— di tracciamento dei contatti —la famigerata “app”.

E non a caso parliamo di opportunità, e non di necessità, perché benché se ne discuta favorevolmente a livello europeo, l'efficacia (se non addirittura l'utilità) del contact tracing “digitale” nelle forme attualmente discusse rimane dubbia.

Punto secondo: il protocollo è piú importante della singola app

Condivido gran parte di quanto scritto nella Lettera aperta ai decisori del Nexa (Politecnico di Torino). Uno dei (pochi) punti su cui dissento è la richiesta: «una sola app; una sola finalità; per il tempo strettamente necessario», e specificamente la richiesta di “singolarità” dell'app.

La richiesta è accettabile nell'ottica dell'offerta “governativa”, ma è secondaria rispetto a quello che viene evidenziato nel secondo capoverso del successivo punto («trasparenze, verificabilità e sicurezza») della stessa Lettera:

Il protocollo su cui si basa l’applicazione e le specifiche dell’architettura del sistema, al pari dei documenti che hanno portato e porteranno alle scelte dei decisori, inclusa la necessaria valutazione d’impatto e i preventivi pareri del Garante della Privacy, devono essere pubblici e disponibili con licenza libera, e quindi liberamente verificabili.

Al di fuori del legal-burocratese, si vorrebbe (o dovrebbe) evidenziare l'importanza dell'adozione di un protocollo (degli strumenti —telefonini, braccialetti— tra di loro e con gli eventuali server) che sia pubblicamente documentato, verificabile, e che abbia passato il vaglio di un attento scrutinio di esperti in sicurezza e privacy.

La priorità del protocollo sull'app è essenziale, e permette —tra l'altro— la possibilità di implementazioni multiple indipendenti, evitando i rischi della monocultura.

Implementazioni multiple indipendenti aiutano a garantire la completezza della documentazione del protocollo: eventuali punti dubbi del protocollo (o suscettibili di interpretazione) potranno essere meglio evidenziati (e risolti). Implementazioni multiple indipendenti aiutano anche a garantire la correttezza di ciascuna di esse, nonché la resilienza del protocollo stesso, tramite verifica dell'interoperabilità tra le varie implementazioni.

L'obiezione (tecnica) che si potrebbe sollevare alla possibilità molteplicità delle implementazioni è il rischio della diffusione, da parte di malintenzionati, di “app” di pseudo-tracciamento, il cui vero intento sia semplicemente intrufolarsi nel cellulare dell'ingenuo utente per comprometterne la sicurezza o la privacy.

Tale rischio, benché concreto, non è legato all'unicità dell'app “ufficiale” —già adesso circolano senza ritegno truffe a base di COVID-19: già solo la propaganda pro-tracciamento ha aperto le porte alla truffa, e la difesa contro questo è un'informazione piú completa e trasparente, non l'opaca oscurità che avvolge l'attuale processo decisionale riguardo l'app “ufficiale”.

Punto terzo: trasparenza e fiducia

La questione trasparenza non riguarda solo la comunicazione verso il pubblico, ma anche le scelte adottate per lo sviluppo del protocollo e dell'eventuale app “ufficiale”.

Pecche nel procedimento si ritrovano però già nella comunicazione al pubblico: la succitata pagina di Agenda Digitale sull'app «Immuni», ad esempio, traccia dubbi paralleli tra Immuni e l'iniziativa (privata!) pan-europea PEPP-PT (Pan-european privacy-preserving proximity tracing) il cui unico obiettivo sembrerebbe di tentare una legittimazione “oggettiva” (o quanto meno europea) della scelta locale, e non solo perché rimane non chiaro quanto dello “standard” PEPP-PT verrà seguito in Immuni.

A complicare le cose contribuisce anche la recente evoluzione del PEPP-PT stesso, che sembra aver abbandonato la scelta iniziale di seguire il protocollo decentralizzato DP-3T (Decentralized Privacy-Preserving Proximity Tracing) sviluppato sotto l'egida dell'EPFL —voltafaccia che ha causato la defezione dal consorzio PEPP-PT di grossi esponenti quali l'EPFL stesso ed i suoi partner nello sviluppo del DP-3T.

Pubblicizzare quindi la (per giunta parziale) adesione di Immuni al PEPP-PT non contribuisce al clima di trasparenza e fiducia necessario per favorire la volontaria adesione degli utenti all'utilizzo dell'app.

Ma, come dicevo, la trasparenza può (ed anzi deve) andare oltre. Un aspetto evidenziato ad esempio anche nella succitata «Lettera aperta ai decisori» è la necessità di codice aperto e licenza libera (FLOSS: Free/Libre Open Source Software) per l'app in questione. Questo rientra piú in generale nell'iniziativa europea Public money, public code, ma nello specifico è una necessità per assicurare il pubblico sul fatto che l'app faccia tutto e solo quello che viene pubblicamente dichiarato faccia, nel modo in cui dice di farlo.

La soluzione FLOSS per l'app risulterebbe non solo in maggior fiducia (o quanto meno minore scetticismo) nei confronti dell'app “ufficiale”, ma permetterebbe anche a chi preferisse “non fidarsi” comunque dei binari ufficiali di compilare da sé l'app (o affidarsi a repository noti per l'automazione del processo “dal sorgente all'eseguibile”, come F-Droid).

L'eventuale timore che app “non ufficiali”, magari modificate, possano creare problemi si dovrebbe piuttosto riflettere sull'inadeguata sicurezza del protocollo utilizzato, riportandoci alla superiore importanza di questo rispetto all'app: se il protocollo è talmente fragile da non poter reggere app “non ufficiali”, allora è altamente a rischio di attacco da parte di malintenzionati, e va pertanto evitato indipendentemente dall'apertura del codice dell'app.

Un discorso analogo varrebbe ovviamente non solo per l'app (lato client), ma anche per la sua controparte lato server, soprattutto nel caso di scelta di una soluzione centralizzata piuttosto che distribuita. Ovviamente nel caso del server è molto piú difficile verificare che il codice del server eventualmente pubblicato corrisponda effettivamente a quello utilizzato.

Benché l'impatto di questa incertezza sia limitato nel caso in cui il protocollo e l'app rispettino non solo i requisiti di trasparenza e sicurezza, ma anche quelli di anonimia (non c'è da preoccuparsi che il server possa tenere dati non anonimi oltre il previsto, o cederli a terze parti, se non vi sono dati non anonimi esposti dal protocollo), rimane comunque preferibile una soluzione in cui il problema non si ponga affatto: in termini di trasparenza e fiducia, è quindi preferibile di gran lunga una soluzione decentralizzata.

L'importanza dell'aspetto fiduciario (e quindi della trasparenza senza la quale esso viene a mancare) è evidenziato anche nella succitata review dell'Ada Lovelace Institute, nonché nella Lettera aperta ai decisori del Nexa: l'eventuale efficacia del contact tracing richiede un'installazione “di massa” (oltre il 60%), e questa può essere raggiunta solo con una di tre opzioni: la coercizione (obbligo ad installare l'app), il plagio/inganno (terrorismo psicologico, condanna emotiva a chi vi si oppone), o la convinzione —e quest'ultima, volendo rispettare la facciata dell'“installazione volontaria”, richiede fiducia nei confronti della specifica tecnica adottata per il tracciamento.

Incamminàti sulla strada sbagliata

Diventa quindi palese come, anche concedendo ai “decisori” il beneficio del dubbio sulle miglior intenzioni (che notoriamente lastricano la via dell'Inferno), la strada su cui ci si sia incamminati al momento non sia quella piú saggia.

Manca la priorità necessaria alla disponibilità dei tamponi, senza i quali l'app è inutile.

Manca la priorità necessaria alla disponibilità di dispositivi di protezioni individuali, senza i quali l'app è di scarsa utilità.

Manca la necessaria trasparenza nello sviluppo del protocollo e dell'infrastruttura a cui l'app dovrebbe poggiarsi.

Sono state fatte scelte discutibili, se non addirittura sospette, circa la natura stessa dell'architettura adottata (centralizzata, piuttosto che decentralizzata).

Manca —manifestamente— l'intenzione di mantenere pubblico il codice dell'app.

Ed a causa di tutto questo, viene a mancare la capacità di convincere in maniera naturale i cittadini sulla sua adozione.

Porre rimedio senza mettere a rischio —anzi, migliorando— la potenzialità utilità dell'app: un cambio di direzione, una maggiore trasparenza sul processo decisionale e nello sviluppo del protocollo, l'adozione di una soluzione decentralizzata, richiedere all'esecutore l'apertura del codice sorgente —tutto ben alla portata del governo, avendone la volontà.

Ci troviamo davanti invece ad una strategia comunicativa che rivela ben altri intenti: dalla proposta di rendere l'app obbligatoria se non sarà adottata da un numero sufficiente di persone in maniera spontanea, al “no-trax” pubblicizzato da Burioni per bollare chiunque critichi le tempistiche ed i risultati delle attuali scelte governative —come se alla base di tali obiezioni vi sia una imprescindibile opposizione al tracciamento, piuttosto che le ragionevoli perplessità sugli specifici aspetti della sua realizzazione.

Sarebbe ben piú facile convincere la popolazione all'adozione spontanea dell'app mettendo tutto in chiaro. Come ha risposto Paolo Attivissimo a Burioni:

Non no-trax, ma no-tricks.