Articolo di Paolo Attivissimo
Da giorni sto cercando di scrivere un articolo che risponda a tutti quelli che mi chiedono perché temo che un’app di tracciamento di massa finalizzata alla lotta alla pandemia da coronavirus sia inutile nel caso migliore e pericolosa nel caso peggiore. Comincio a pubblicare questa prima parte, altrimenti non ne esco più.
Di fronte all’aumentare tragico dei morti e alla paralisi delle attività che sta lasciando senza soldi per vivere tante persone, moltissimi stanno invocando un’app, sullo stile di quelle usate in Cina, a Singapore o in Corea, che consenta di tornare alla vita normale, di poter uscire di casa e di poter tornare a lavorare. La disperazione è tale che molti sono disposti a rinunciare alla propria privacy pur di uscire da questo dramma e trovano grottesca e assurda l’idea di anteporre la riservatezza delle persone alla sopravvivenza delle persone stesse.
Pensieri come “Non me ne faccio niente della mia privacy se sono morto o senza lavoro” sono molto diffusi e umanamente comprensibili. Ma il panico è cattivo consigliere, ed è proprio nei momenti di panico che bisogna essere razionali, per evitare di fare scelte che peggiorino le cose invece di risolverle.
Lascio da parte momentaneamente il fatto che la privacy è un diritto fondamentale per il quale si è combattuto a lungo, del cui valore ti accorgi solo quando lo perdi e che non va sacrificato senza pensarci bene e sottolineo che l’app di tracciamento è cosa ben diversa dal rilevamento di massa della localizzazione dei telefonini in forma anonimizzata che è già in corso per esempio in Italia e in Svizzera.
In sintesi, le mie obiezioni principali sono queste:
- Un’app, da sola, non risolverà il problema; serviranno anche misure costose e difficili, di tipo sanitario, ma temo che molti stiano pensando di limitarsi a fare l’app, che costa poco, senza fare tutto il resto, che costa tanto.
- Un’app è inutile se non la installano in tanti: come si convince la gente a installarla? La si obbliga? Se la si obbliga, come si fa? E chi non ha uno smartphone? Chi non vuole essere tracciato (non solo i criminali e i clandestini, ma chiunque abbia semplicemente una tresca sentimentale o un incontro di lavoro confidenziale)? Chi non deve essere tracciato perché per legge non deve essere tracciabile (polizia, giornalisti, medici)? Che percentuale della popolazione deve installarla affinché sia efficace?
- Un’app rischia di non funzionare: se si basa sulla geolocalizzazione dei cellulari per dirmi se sono stato vicino a una persona contagiosa, come potrà funzionare se vado per esempio in un centro commerciale, al chiuso? Chi controlla la validità dei dati raccolti? Sono previste multe per chi li altera o “dimentica” a casa il telefonino? Ispezioni? “Favorisca la patente e il cellulare, grazie”?
- Che si fa con chi viene segnalato dall’app? Supponiamo che il mio vicino di casa o collega di lavoro sia segnalato (a torto o a ragione) come contagioso. Chi vigila sul suo auto-isolamento? Qual è l’incentivo a collaborare, visto che isolarsi significa spesso perdere il lavoro? Ci sono le risorse mediche per utilizzare queste segnalazioni (per esempio facendo test, visto che per esempio in Italia non si riesce a farne a sufficienza)?
- Sarà tecnicamente gestibile l’enorme massa di dati di tracciamento? Quali risorse informatiche bisogna predisporre per poter pedinare decine di milioni di persone ventiquattr’ore su ventiquattro?
Tornando alla questione del diritto alla riservatezza:
- Chi custodirà questi dati? Gli spostamenti e le abitudini di milioni di cittadini fanno gola a moltissimi operatori: sia commerciali, sia governativi. A chi finiranno in mano? E se vi fidate del governo attuale, siete disposti a mettere una mano sul fuoco anche per tutti i governi futuri possibili?
- Che fine faranno questi dati? Come possiamo garantire che non verranno usati per altri scopi? La pandemia da Covid-19 passerà, prima o poi, ma i dati raccolti resteranno? Un tracciamento di massa è il sogno proibito di ogni aspirante dittatorucolo e fan delle dittature (fino al momento in cui finisce sotto la dittatura di qualcun altro) e sarebbe perfetto per contrastare qualunque opposizione politica organizzata (o per sapere se e quando sei andato al seggio a votare).
- Come e quando sarà revocabile questa violazione “temporanea” della privacy? La pandemia da Covid-19 passerà, prima o poi, ma ci sarà sempre lo spauracchio della prossima epidemia che giustificherà il mantenimento della sorveglianza di massa. Oppure si dirà che l’app aiuta a prevenire il crimine (come se i criminali fossero così scemi da farsi tracciare quando vanno a rubare), quindi tanto vale tenerla. Molti diranno che per il bene comune vale la pena di accettare la sorveglianza, perché tanto non hanno niente da nascondere (fino al momento in cui si rendono conto che invece hanno qualcosa da proteggere). Chi invocherà il diritto alla privacy verrà facilmente zittito chiedendogli come mai ci tiene tanto e che cosa ha mai da nascondere se non fa niente di male. E saranno in pochi a dire “ma se non faccio niente di male, allora perché mi vuoi sorvegliare?”
La mia preoccupazione, insomma, è che si stia pensando a un’app magica che risolva tutto, ma senza neppure aver chiarito cosa farà e come funzionerà; anzi, senza neanche aver capito se funzionerà. Dobbiamo fare attenzione alla facile ma falsa dicotomia “o app, o milioni di morti”.
Rispondo subito alle contro-obiezioni più frequenti:
- “Ma tanto siamo già tutti tracciati, che male c’è?”: No, non siamo tutti tracciati. Quando vai dal medico, non sei tracciato. Quando vai a un consultorio dopo una violenza, quando vai da un andrologo, quando vai dal tuo avvocato, quando compri un giornale, non sei tracciato. Quando lasci il telefono a casa o lo tieni spento, non sei tracciato. Qui si propone di introdurre un tracciamento continuo e di massa. Un tracciamento nel quale se ti si scarica il telefonino di notte, ti bussa la polizia alla porta (come a Taiwan) o dove si è sospettati di furto perché si è passati vicino alla casa svaligiata (come negli Stati Uniti).
- “Ma tanto Google, Facebook e Apple sanno già tutto di noi”: A parte il fatto che non è vero (avete dato a Google la vostra cartella medica?), ragionare in questo modo è come dire “Mi sono già amputato due dita con la motosega, tanto vale tranciarsene un terzo”.
- “Ma tanto siamo già controllati perché il governo ci obbliga a stare in casa”. No. Un conto è tenere chiusa la porta di casa, un altro è tenere un registro di chi entra e chi esce, con chi e a che ora di quale giorno.
- “Ma allora qual è l’alternativa?” Non lo so. Come informatico, posso solo dire che questo metodo rischia di non funzionare. Se qualcuno ti avvisa che il cancro non si cura con le caramelle, non gli credi perché non sa proporti una cura che invece funziona?
La questione è complessa, insomma. Cominciamo a vedere cosa ne pensano gli esperti. Vi consiglio di leggere le loro riflessioni per intero, se possibile, prima di farvi un’opinione.
Ho chiesto a Sarah Jamie Lewis di OpenPriv (già nota per il suo lavoro sulle falle del voto elettronico svizzero), che ha scritto un bel thread pubblico sull’argomento. Mi ha scritto questo:
Per quel che ne so, esiste una sola proposta di fornire un’app di segnalazione che protegga la privacy [HelpWithCovid], e proviene da (credo) il MIT, ma non ha né fondi né una tabella di marcia. Credo che cominceremo a vedere una sorveglianza di massa molto più in fretta di quanto sia possibile sviluppare e applicare una soluzione che tuteli la privacy. Sorvegliare i metadati dei telefoni è banale e molti governi hanno già una certa infrastruttura di supporto. Se sia utile, non ne sono certa. È sicuramente più uno strumento di feedback (per esempio quante persone ci sono in una certa area e stanno violando l’isolamento / dove assegnare risorse) che di sorveglianza di una persona specifica. La maggior parte degli operatori telefonini ha già le risorse tecniche per gestire cose come, per esempio, i grandi eventi sportivi.
Ho sentito anche Mikko Hypponen, di F-Secure:
Se il governo crea un’app di tracciamento, che può essere usata dai cittadini per segnalare le proprie condizioni e la propria localizzazione, è ottimo. Ma se il governo inizia un tracciamento di massa non volontario di tutti, è molto più complicato. Il mio consiglio è fare in modo che il tracciamento degli spostamenti dei cittadini resti volontario il più a lungo possibile. Il tracciamento non volontario è un cambiamento molto importante: non va usato se non è assolutamente necessario, va abolito permanentemente appena possibile e va fatto il più trasparentemente possibile.
Raccomando inoltre di leggere queste fonti, che forniscono moltissimi dettagli su come funzionano realmente le app di cui si parla tanto e le misure sanitarie e di sorveglianza prese nei paesi solitamente citati come esempi virtuosi di controllo della pandemia:
- Bruce Schneier e la Electronic Frontier Foundation (che fra l’altro sollevano la questione spinosissima di cosa succede se una persona viene identificata erroneamente come da mettere in quarantena: esiste una procedura di ricorso e rettifica?).
- La spiegazione in video di Alex Orlowski di come “una App per fermare il #COVID19 come la coreana non funzionerà”.
- Il Post (in Corea del Sud la “riduzione dei contagi è stata attribuita soprattutto all’impiego estensivo dei test per identificare rapidamente i casi positivi, isolandoli dal resto della popolazione, mentre non è ancora chiaro se i sistemi di sorveglianza abbiano avuto un ruolo rilevante”).
- Il Garante per la protezione dei dati personali italiano, Antonello Soro (“[…] mi sfugge l’utilità di una sorveglianza generalizzata alla quale non dovesse conseguire sia una gestione efficiente e trasparente di una mole così estesa di dati, sia un conseguente test diagnostico altrettanto generalizzato e sincronizzato. Premesso questo, non esistono preclusioni assolute nei confronti di determinate misure in quanto tali. Vanno studiate però molto attentamente le modalità più opportune e proporzionate alle esigenze di prevenzione, senza cedere alla tentazione della scorciatoia tecnologia solo perché apparentemente più comoda, ma valutando attentamente benefici attesi e “costi”, anche in termini di sacrifici imposti alle nostre libertà”).
- Il Comitato Europeo per la Protezione dei Dati dell’UE (“even in these exceptional times, the data controller and processor must ensure the protection of the personal data of the data subjects […] any measure taken in this context must respect the general principles of law and must not be irreversible. Emergency is a legal condition which may legitimise restrictions of freedoms provided these restrictions are proportionate and limited to the emergency period.”).
- L’ex Garante della privacy italiano Francesco Pizzetti su Formiche.net.
- Covid-19 e protezione dei dati personali, de L’Asino di Buridano (“L’elemento attrattivo che induce all’utilizzo di tale app è la possibilità di controllare se nelle vicinanze ci sono altre persone contagiate. Per questo l’applicazione ha potuto riscuotere successo anche tra i non contagiati, considerato che in Sud Corea si è imposta la quarantena anche a coloro che sono entrati in contatto – anche essere stati nella stessa stanza di un individuo che ha mostrato i sintomi del Coronavirus – con un infettato.”).
- Coronavirus: l’uso della tecnologia, il modello coreano e la tutela dei dati personali, su Valigiablu, che nota che basta un solo incosciente (che in quanto tale magari non installa l’app) per causare migliaia di contagi (“La Corea del Sud è passata in pochi giorni da qualche decina di infetti a decine di migliaia. Il focolaio di coronavirus è stato per lo più la conseguenza del comportamento incosciente del cosiddetto “paziente 31″, un membro di una chiesa locale (Shincheonji) che avrebbe portato ad infettare quasi 5.000 persone (di cui 29 morte).”) e che non si tratta semplicemente di installare un’app di localizzazione (“la legge coreana (modificata dopo l’epidemia di MERS del 2015) consente alle autorità di accedere ai dati delle telecamere, a quelli di tracciamento tramite GPS da telefoni e automobili, alle transazioni con carta di credito e altri dati personali per finalità di controllo delle malattie infettive”).
- Cellulari, app e privacy ai tempi della pandemia su ZEUS News (“In Italia […] sono attualmente attive almeno due iniziative di sviluppo di applicazioni di questo tipo […] Questo processo, come molto spesso avviene nel nostro Paese, è però del tutto opaco, e questa, solo questa, è una caratteristica negativa e da avversare. Non solo perché processi che coinvolgono un’intera società democratica devono essere trasparenti per definizione, visto che non ci sono segreti di Stato in ballo, ma le vite di tutti”).
- Coronavirus, come funzionano il controllo delle celle e il tracciamento dei contagi. Il Garante: «Non bisogna improvvisare» di Martina Pennisi sul Corriere della Sera (con l’indicazione di quali operatori privati in Italia si stanno già muovendo per creare app).
- The Shield: the open source Israeli Government app which warns of Coronavirus exposure di Graham Cluley (che analizza l’app israeliana di tracciamento anti-coronavirus: è facoltativa, i dati di localizzazione restano sul telefono, ed è open source).
- L’analisi di TraceTogether, l’app del governo di Singapore, su MobiHealthNews.com (solo Bluetooth per rilevare i telefoni nelle immediate vicinanze, dati tenuti sul telefono, zero geolocalizzazione, dati cancellati dopo 21 giorni).
- La proposta di app di tracciamento decentralizzata e protettiva della privacy di Zcash (che include anche altre info su TraceTogether).
- La proposta di Pan-European Privacy-Preserving Proximity Tracing di una nascente non-profit svizzera di cui fanno parte vari istituti e università in Europa.
- Il progetto Safe Paths del MIT (dati di localizzazione salvati sul telefono, scaricati solo per chi è infetto).
- Covid Watch (app di tracciamento open source che usa Bluetooth su smartphone o altri dispositivi Bluetooth a bassissimo costo)
- Fabio Sabatini segnala uno studio che “mostra che il tracciamento digitale dei potenziali contagiati è *essenziale* per fermare l’epidemia, e suggerisce che ogni ritardo nella sua attuazione potrebbe avere un costo sociale molto elevato”). Lo studio è Quantifying SARS-CoV-2 transmission suggests epidemic control with digital contact tracing (preprint non riveduto, su MedRxiv; versione su Science).
- La discussione fra Alfonso Fuggetta, Stefano Zanero e il sottoscritto.
- Stefano Zanero: “Quando vi dicono che la Corea del Sud ha sconfitto il virus coi big data, i cellulari e le app, ricordatevi che non vi stanno dicendo una cosa corretta. Principalmente il metodo coreano si basa su molti, moltissimi test”
- Top10VPN ha pubblicato un elenco dettagliato dei paesi (una ventina) che usano forme di tracciamento digitale come misura anti-coronavirus; altre info sul tema sono su Business Insider.
Proseguirò queste riflessioni in un altro articolo. Nel frattempo, personalmente considererò accettabile un’app di sorveglianza quando i primi a essere obbligati a installarla saranno i politici che la propongono, i loro coniugi e i loro figli.
Paolo Attivissimo