Uno dei nodi più cruciali di un sistema di contact tracing riguarda il tipo di tracciatura da utilizzare per poter rilevare al meglio i potenziali eventi di contagio ai quali i soggetti interessati potrebbero essere stati esposti durante i loro spostamenti.
Le alternative concettualmente e tecnologicamente possibili sono essenzialmente due: o si monitora la posizione sul territorio dei cellulari mediante le funzionalità di geolocalizzazione (tipicamente via Gps), o si monitorano le interazioni fra i cellulari mediante le funzionalità di comunicazione a breve distanza (tipicamente via Bluetooth Le).
L’approccio più accurato e generale è ovviamente il primo, che prevede l’impiego delle funzionalità di geolocalizzazione presenti in ogni cellulare per analizzarne la posizione nel tempo e valutare se, e per quanto tempo, il suo portatore si è trovato in prossimità di un soggetto infetto oppure si è recato in una località bandita (ad esempio una “zona rossa”).
Questo approccio è semplice da implementare, non impone particolari oneri di calcolo al cellulare, il quale anzi svolge sostanzialmente il ruolo di semplice sonda passiva, non richiede interazioni con altri soggetti o dispositivi, e soprattutto consente analisi complete e precise: di contro, però, risulta straordinariamente invasivo della privacy dell’utente, il quale viene letteralmente seguito passo passo per vedere dove va e chi frequenta.
Così molti Paesi occidentali, soprattutto quelli sottoposti a stingenti normative sulla privacy quali il Gdpr, hanno preferito ricorrere al secondo approccio, che non usa affatto la geolocalizzazione ma si basa solo sul rilevamento delle interazioni di prossimità fra cellulari.
L’idea in questo secondo caso è che quando due cellulari appartenenti al sistema si trovano sufficientemente vicini provvedono, utilizzando uno dei tanti sistemi di comunicazione “near-field” disponibili, a scambiarsi reciprocamente un codice identificativo autogenerato, univoco ma anonimo.
Ciascuno dei due memorizzerà quindi in un proprio registro storico locale, dove verrà conservato per un certo periodo di tempo, un insieme di informazioni relativamente all’evento di contatto costituite da: l’identificativo dell’altro, la data e l’ora del contatto, la durata del contatto, la presunta distanza fra i dispositivi rilevata mediante misura dell’intensità del segnale radio impiegato per lo scambio di dati.
La successiva analisi del registro, effettuata mediante l’applicazione di opportune regole di elaborazione, consentirà di stabilire se qualcuna delle delle interazioni registrate ha costituito un rischio significativo per il possessore del cellulare stesso, perché si è trovato “abbastanza a lungo” ed “abbastanza vicino” ad un soggetto certamente infetto.
Questo approccio è ovviamente assai più complesso da implementare perché richiede la cooperazione attiva fra i dispositivi dei diversi soggetti coinvolti, ed inoltre è meno efficace dal punto di vista della prevenzione perché rileva solo le occasioni di vicinanza fra persone e non gli eventuali spostamenti in luoghi a rischio; tuttavia, essendo molto più rispettoso della privacy rispetto all’altro, è l’unico accettato da quasi tutti i Paesi occidentali, ed in particolare da quelli appartenenti all’Unione Europea.
Un secondo aspetto altrettanto critico, che anzi è probabilmente quello più discusso a livello politico in questi giorni, riguarda la scelta del modello di gestione dei dati di contatto. Anche in questo caso si danno sostanzialmente due alternative contrapposte: il modello centralizzato e quello decentrato.
Il primo approccio prevede che tutti i dati dei contatti avuti vengano inviati dai cellulari dei cittadini ad un server centralizzato, idealmente gestito da un’autorità terza ed affidabile: qui vengono elaborati, ed in particolare correlati tra loro e con le liste dei soggetti certamente positivi fornite dall’autorità sanitaria, per identificare tutti gli incontri a rischio; ogni soggetto esposto ad un potenziale contagio viene quindi avvisato della situazione, direttamente dal gestore o per il tramite dell’autorità sanitaria.
Si tratta di un approccio semplice e lineare, facile da realizzare nonché molto efficiente, il quale però ha lo svantaggio di ricorrere ad un gestore che necessariamente conosce i dati di contatto di tutti e deve poterli riferire alle identità dei soggetti coinvolti per poterli avvisare in caso di necessità. Ciò viene visto come un rischio per la privacy, e l’unico modo per ridurlo è introdurre complessi protocolli di scambio dati e di anonimizzazione che rendano impossibile anche allo stesso gestore conoscere indebitamente le reali identità dei soggetti di cui sta gestendo i dati.
Il secondo approccio è invece totalmente decentralizzato: esso fa del tutto a meno di questa “ingombrante” autorità centrale, e prevede quindi che le informazioni sui contatti avuti da ciascun soggetto vengano gestiti esclusivamente dai cellulari che le hanno generate e raccolte.
Ciò richiede tuttavia un processo ancor più complicato e farraginoso per la raccolta e l’elaborazione dei dati di contatto, che evidentemente deve svolgersi interamente “a bordo” dei cellulari e non più su server esterni specializzati. E implica, tanto per cominciare, che i dispositivi utilizzabili dagli utenti del sistema debbano possedere alcune caratteristiche hardware di livello adeguato, per essere in grado di svolgere queste elaborazioni senza penalizzarne il normale utilizzo da parte del proprietario.
In assenza di un database centralizzato di contatti, il procedimento impiegato per rilevare eventuali incontri a rischio prevede che ogni dispositivo mantenga al suo interno lo storico dei contatti avvenuti nei giorni precedenti, sotto forma di identificativi anonimi, e riceva periodicamente dalle autorità sanitarie elenchi di identificativi altrettanto anonimi associati a soggetti accertati come positivi: a questo punto ogni dispositivo dovrà verificare se qualcuno di tali identificativi a rischio compare nel proprio elenco di contatti, e in caso affermativo avvisare l’utente o l’autorità sanitaria di riferimento.
In questo modello sorge ovviamente il problema di come le autorità sanitarie possano conoscere quali identificativi sono associati a soggetti certamente positivi, per poterli diramare a tutti gli utenti del sistema: l’idea è quindi che ciascun utente, una volta che abbia la certezza di essere positivo (ad esempio, a seguito dell’esito di un tampone), trasmetta volontariamente all’autorità sanitaria, sempre in forma anonima, la lista degli identificativi da lui utilizzati negli ultimi giorni, per consentire all’autorità stessa di comporre le liste di verifica da trasmettere a tutti gli altri utenti.
Entrambi questi approcci concettuali sono stati rapidamente codificati in altrettanti modelli di riferimento, sviluppati da parte di consorzi industriali ed accademici internazionali come standard aperti e liberi per consentirne una rapida ed interoperabile diffusione.
In particolare il modello centralizzato prende il nome di Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), mentre quello distribuito si chiama Decentralized Privacy-Preserving Proximity Tracing (DP-3T): entrambi fanno uso di Bluetooth LE per la rilevazione dei contatti e di crittografia avanzata per la generazione degli identificativi anonimi o pseudonimi, ma differiscono ovviamente per il modello di gestione e trasmissione delle informazioni di contatto.
Il primo tuttavia è stato criticato da molti osservatori in quanto piuttosto invasivo e poco rispettoso della privacy, mentre il secondo è molto più ben visto in quanto giudicato conforme alla normativa europea sulla protezione dei dati personali (Gdpr). In effetti molti Paesi europei stanno adottando soluzioni basate sul protocollo DP-3T, con le rilevanti eccezioni di Francia e Regno Unito che invece stanno optando per soluzioni centralizzate.
In questa diatriba tecnico-filosofica sullo standard da utilizzare si è da poco e prepotentemente inserito un nuovo ed importante player costituito dall’insolita alleanza tra Apple e Google: i due giganti tecnologici, che assieme possiedono praticamente il monopolio mondiale sull’ecosistema degli smartphone, hanno infatti stabilito di fare fronte comune nella lotta al Coronavirus ed hanno così a temo di record sviluppato ed offerto ai Governi un loro proprio meccanismo per il tracciamento dei contatti.
Volendo essere estremamente rispettoso della privacy degli utenti, questo sistema si basa esclusivamente sul rilevamento delle interazione di prossimità e non fa uso di alcuna forma di geolocalizzazione del dispositivo: non a caso il suo scopo è stato definito come exposure notification e non più contact tracing, proprio per allontanare sin dal nome ogni possibile sospetto di interferenze con le libertà personali e la privacy.
Ma l’idea vincente è che tutto il meccanismo sarà implementato direttamente a livello del sistema operativo del cellulare (rispettivamente, Ios e Android) e non dipenderà dunque dalla presenza di specifiche app: con ovvii vantaggi in termini di efficienza, funzionalità, efficacia e sicurezza. Naturalmente le app serviranno sempre, in quanto faranno tutto il resto del lavoro quale ad esempio l’interfacciamento con l’utente e con le autorità sanitarie: ma per rilevare le interazioni di prossimità esse potranno utilmente sfruttare l’apposita interfaccia applicativa (Api) che sarà inserita all’interno di Ios e Android mediante un apposito aggiornamento disponibile dalle prossime settimane.
In questa inedita operazione congiunta, Apple e Google hanno anche dettato ai governi delle regole precise e rigide per l’utilizzo del loro sistema, fatte apposta per salvaguardare al massimo i diritti e le libertà dei soggetti coinvolti. In particolare: l’utilizzo della Api di Exposure Notification è riservata alle autorità sanitarie governative, le sole entità che potranno sviluppare app in grado di sfruttarle; tutte le app dovranno ottenere il consenso esplicito dell’utente prima di poter sfruttare le Api, e l’utente deve poter revocare tale consenso in ogni momento a sua discrezione; un secondo consenso esplicito dovrà essere richiesto all’utente prima che egli possa condividere con le autorità sanitarie i propri dati di salute e la lista dei contatti avuti; tutte le raccolte di dati da parte delle app e delle autorità dovranno essere ridotte al minimo ed venire utilizzate solo per la gestione sanitaria (in particolare: i dati non possono essere ceduti a terzi e/o utilizzati per mandare pubblicità o altro).
Inoltre Apple e Google si riservano il diritto di eliminare dai propri sistemi operativi le API di Exposure Notification al termine dell’emergenza, identificata preliminarmente con la fine del 2020, per eliminare alla radice il rischio che esse possano essere utilizzate più a lungo del necessario e soprattutto sfruttate per creare sistemi di tracciamento finalizzati ad altri scopi meno nobili.
