Guerre di Rete – una newsletter di notizie cyber
a cura di Carola Frediani
N.67 – 19 aprile 2020

Oggi si parla di.
– Contact Tracing, di nuovo
(dalle prossime settimane tornerò spero a occuparmi di più argomenti e più vari)

Ancora una volta questo numero della newsletter sarà dedicato in gran parte alla questione delle app di tracciamento contatti. Anche se vi confesso che sto cominciando a non capirci più niente. Ammetto che non sia il modo migliore di esordire in una newsletter che dovrebbe fare il punto su questi temi. Ma al momento attuale la confusione è grande sotto il cielo.

Le linee guida dell’Ue sulla app
Per cui partiamo dalle cose facili. Ovvero da uno dei pochi dati certi: la posizione ufficiale dell’Unione europea sulle app di contact tracing.
In questi giorni la Commissione Ue ha infatti delineato un approccio coordinato e delle linee guida ben precise (una cassetta degli attrezzi) al riguardo. 8 regole qui riassunte da Wired Italia: “Primo: rispettare le regole sulla privacy e in particolare le linee guida frutto della consulenza del Consiglio dei garanti europei della privacy (Edpb). Secondo: essere sviluppate in stretto coordinamento con le autorità sanitarie. Terzo: l’installazione è volontaria e queste tecnologie devono essere rimosse non appena smettono di essere utili. Quarto: vanno preferite le tecnologie che tutelano di più la privacy, come il bluetooth. Quinto: i dati devono essere anonimizzati e non si deve consentire di risalire all’identità delle persone. Sesto: le app devono essere interoperabili in tutta Europa, in modo da funzionare se qualcuno supera i confini. Settimo: vanno progettate con i migliori standard in campo epidemiologico, di sicurezza informatica e accessibilità. Ottavo e ultimo punto: devono essere sicure ed efficaci”.

Ci sono alcune parole della Commissione che vorrei sottolineare. Quando nelle linee guida appena menzionate si dice che, non solo le app “devono essere volontarie, ma vanno smantellate appena non sia più necessario”. E poi quando dice che “i dati di localizzazione (quelli che dicono dove stai geograficamente, ndr) non sono necessari né raccomandati per lo scopo delle app di contact tracing, perché lo scopo non è seguire i movimenti degli individui né quello di far rispettare prescrizioni (grassetto mio: questa frase ricordiamocela per le fasi 2, 3, 4 ecc). Raccogliere i movimenti di un individuo nel contesto del contact tracing violerebbe il principio della minimizzazione dei dati e creerebbe importanti problemi di sicurezza e privacy” (grassetto mio).
E poi la Commissione – che vuole espressamente evitare la proliferazione di app dannose – dice ancora che questi strumenti dovrebbero “sfruttare le più recenti/avanzate soluzioni tecnologiche di protezione della privacy”. Cioè, per capirci, devono usare il top di gamma a difesa della privacy, non qualsiasi tecnologia ci venga in mente. (Su questo top di gamma ci torniamo dopo, perché i vari consorzi e gruppi di ricerca su queste tecnologie che preservano la privacy – privacy-preserving – si sono improvvisamente trasformati in una puntata dei Borgia).
(Qua intanto la “cassetta degli attrezzi” – toolbox – della Commissione).

La posizione Ue è piaciuta a molti ricercatori, hacker e attivisti pro-privacy, come Jaromil (Denis Roio), che così ha commentato: “Sono uscite molte buone raccomandazioni di policy questa settimane. Anzi, un punto è degno di nota: la risposta tecnopolitca delle istituzioni europee per contrastare i progetti di app a sorveglianza statale è stata notevole”.

In tutto questo scendevano in campo anche Google-Apple che in pratica si sono messe al lavoro per rendere più semplice e fluida la creazione e il funzionamento proprio di queste app più pro-privacy, basate su Bluetooth e su un approccio decentralizzato alla gestione dei dati (anche su questo ci torno dopo ma tenetelo a mente ora).

Le coalizioni di ricercatori
E sempre in questo contesto, a inizio aprile, sbucava fuori una coalizione europea di ricercatori chiamata PEPP-PT, che voleva creare un approccio standardizzato per le app di tracciamento più pro-privacy, basato su Bluetooth (e non su geolocalizzazione, GPS) ecc ecc
Parte di questa coalizione, sotto il suo cappello diciamo, c’era anche un gruppo specifico di ricercatori con relativo progetto/protocollo, chiamato DP-3T, che aveva creato una delle soluzioni più “top di gamma”, per riprendere l’espressione di prima, in termini di privacy, anonimizzazione, decentralizzazione (guardate un fumetto che spiega (qui tradotto in italiano) il suo funzionamento). Tenete presente che l’approccio scelto da Google-Apple è stato definito una variante stretta del DP-3T. Quindi DP-3T, decentralizzato, pro-privacy (anche se con alcune problematiche di sicurezza come rilevato da altri ricercatori), in ogni caso agevolato dalle scelte dei due colossi Google-Apple. Bingo.
Il consorzio/gruppo PEPP-PT dal suo canto diceva di avere dalla sua parte 7 governi europei, pronti ad applicare il suo approccio alle proprie app nazionali. Presente agli incontri online del PEEP-PT, scrive TechCrunch, anche Paolo De Rosa, il capo delle funzioni tecnologiche (Chief Tecnology Officer) del Ministero dell’Innovazione italiano, che avrebbe confermato come l’app nazionale italiana sia realizzata sulla base del PEPP-PT. Si tratta ovviamente di Immuni, l’app sviluppata dalla software house Bending Spoons, selezionata nei giorni scorsi dal governo, dopo una cernita da parte di una apposita task force, e di cui parlo dopo.
Scrive al riguardo Agenda Digitale: “La motivazione della scelta di Bending Spoons e dell’app Immuni poggia su tre considerazioni, ovvero: capacità di contribuire tempestivamente all’azione di contrasto del virus; conformità al modello europeo delineato dal Consorzio PEPP-PT; garanzie per il rispetto della privacy. Gli ultimi due aspetti (considerando che il Consorzio PEPP-PT ha sempre escluso un approccio basato su GPS per i rischi privacy connessi) confermano che Bending Spoons sia stata scelta anche perché ha escluso un’invasiva soluzione basata su GPS, non in linea con le linee guida europee”.

Approccio decentralizzato o centralizzato
Fin qui quindi tutto bene. Anzi, più che tutto bene, alla grande. Poi però a un certo punto, e mano a mano che sono usciti più dettagli, si è incasinato tutto. I sistemi di contact tracing basati su Bluetooth non usano i dati di geolocalizzazione, come è stato detto mille volte, ma tracciano solo il fatto che un certo dispositivo si sia avvicinato a un altro, salvando questi eventi sotto forma di un codice identificativo. Ma possono poi decidere di gestire questi codici e il modo in cui sono usati per notificare alle persone se sono state vicine a un contagiato in modo centralizzato o decentralizzato.
Nel sistema decentralizzato non c’è qualcuno che notifica ai sospetti contagiati il fatto di essere tali, è il sistema a farlo in automatico, e quindi poi sono loro a dover prendere delle decisioni. È l’approccio usato ad esempio dal citato DP-3T (Bruno Saetta qui lo spiega bene)

Ma come notava qualche giorno fa un ricercatore su Wired Usa, se gli utenti possono apprezzare questo approccio, diverso il discorso per alcuni governi, che invece vorrebbero “notificare proattivamente agli utenti di essere stati esposti al Covid-19”. In alcuni casi magari vorrebbero anche tracciare i luoghi in cui sono stati.

La virata (per alcuni il tradimento) di PEPP-PT
E infatti ha preso quota il modello di uso del Bluetooth centralizzato. Che cosa sarebbe? Un modello in cui i codici generati dai telefoni quando si incontrano sono caricati su un server controllato da una autorità (sanitaria, governativa ecc), invece di essere conservati localmente sui telefoni.
Quindi immaginate una matrioska. Nell’ambito dell’uso della tecnologia Bluetooth, spesso definita decentralizzata, ci sono due sottocategorie: una ancora più decentralizzata (tipo DP-3T e/o quella appoggiata da Apple-Google) e una centralizzata. La coalizione PEPP-PT inizialmente diceva di sostenere sia un approccio centralizzato sia uno più decentralizzato (le due sottocategorie citate). Poi improvvisamente ha virato sul centralizzato al punto da fare fuori DP-3T, che a sua volta se n’è andato sbattendo la porta e accusando di malafede, opacità e quanto altro il PEPP-PT, come spiega TechCrunch.
E qui sono volati gli stracci. Alcuni dei commenti che ho raccolto a caldo da persone vicine a questi gruppi, in particolare a DP-3T, non sono nemmeno riferibili in newsletter ;). In ogni caso alcuni ancora aspettano per commentare che si chiariscano alcune questioni.

Ma prima torniamo sulle differenze tra le due sottocategorie: Bluetooth più decentralizzato (alla DP-3T), Bluetooth centralizzato (queste definizioni sono mie semplificazioni per far capire).
La centralizzazione aumenta rischi e problemi, mi dice Matteo Flora, esperto di reputation e tecnologia. Che poi articola meglio in un suo post su Facebook: “Due standard decentralizzati (principali) sono stati pubblicati, uno con i “contatti avuti” presenti solo sui dispositivi del singolo cittadino (DP-3T) e l’altro con un modello centralizzato dei “contatti avuti” (PEPP-PT). In uno l’autorità centrale non aveva modo di disporre dei dati di contatto dei cittadini, nell’altra li possiede completamente, a meno di ferree implementazioni crittografiche.
Leggasi:
-In uno chi hai contattato lo sai solo tu (DP-3T, più sicuro)
-Nell’altro lo stato sa centralmente TUTTI i contatti avuti da TUTTI i cittadini (PEPP-PT, più a rischio).
Attualmente pare che ci si stia muovendo sulla implementazione centralizzata (PEPP-PT), che ha una quantità IMMENSA di più di problematiche e di rischio potenziale. Anche di Privacy. Anche di controllo di massa. E ciò è male. Talmente male che l’ipotesi centralizzata (PEPP-PT) ha buttato fuori_dal Consorzio quella più sicura (DP-3T). Quindi quando vi diranno “è la soluzione decentralizzata di PEPP-TP” sappiate che quella soluzione – che esisteva – non esiste più nel Consorzio. Che chi ve ne parlava (me compreso) parlava di una cosa che è stata defenestrata dal consorzio”.

Detto altrimenti, mi spiega Alberto Pelliccione, Ceo di una società di cybersicurezza: “Il concetto di decentralizzazione è alla base dell’anonimato: se l’informazione sui contatti viene gestita ed archiviata da un ente centrale, l’ente centrale a tutti gli effetti si può comportare come un sistema di sorveglianza di massa. Il rischio riguarda come e da chi questi dati verranno acceduti, e per quanto tempo verranno archiviati. Il secondo grande problema è che questi dati hanno un enorme valore di intelligence”. Tuttavia, prosegue Pelliccione, si possono prevedere alcune misure per mitigare il rischio. “Si possono inserire degli intermediari tra gli utenti del sistema ed il server principale. Ogni intermediario può avere accesso solo ad una parte dell’informazione, manipolarla in maniera crittograficamente sicura e poi spedirla al server finale”.

”La centralizzazione non aumenta solo enormemente l’invasività e il rischio per la privacy, ma anche i problemi di security, creando un database che potrebbe essere un bersaglio appettibile”, mi dice a sua volta Stefano Zanero, professore di sicurezza informatica al Polimi. “Un sistema distribuito come DP-3T diminuisce i rischi di molto, e servirebbe un’ottima giustificazione epidemiologica e funzionale per preferire invece un sistema centralizzato, inerentemente più rischioso. Per quanto ho capito dialogando con virologi ed epidemiologi questa forte giustificazione non c’è. A questo punto sarebbe assolutamente necessario rilasciare (eventualmente epurata da aspetti sensibili) la relazione della commissione che ha valutato le applicazioni”.

Il problema attuale sembra essere però il comportamento e l’opacità del PEPP-PT. Che parla di governi che lo appoggiano (si parla di Italia, Francia, Austria, Belgio, Danimarca, Svizzera e Germania, ma più in via ufficiosa che ufficiale). Che non ha ancora pubblicato codice o protocolli per permettere uno scrutinio da parte di altri, nota TechCrunch. Secondo Michael Veale, sostenitore del DP-3T, ci sarebbero “soggetti potenti che spingono per database centralizzati del contact tracing fatto via Bluetooth”, e questi non sarebbero in buona fede. Addirittura il PEPP-PT sarebbe, secondo Veale, “un cavallo di Troia” per introdurre soluzioni di tutt’altro tipo. E il PEPP-PT dal suo canto ha iniziato a perdere per strada pezzi e accademici. E le richieste al PEPP-PT di fare chiarezza sono anche molto dure.
Nondimeno, il PEPP-PT avrebbe iniziato a fare pressioni su Google-Apple per ottenere delle modifiche al loro approccio. Perché? Perché quello che hanno proposto i due colossi tech favorisce le soluzioni decentralizzate ed è molto più problematico per chi voglia centralizzare.
Riassume Roberto Clapis, ricercatore di Google su Twitter: PEPP-PT è il protocollo proprietario molto opaco che “alcune nazioni europee hanno deciso di utilizzare le cui proprietà di protezione della privacy non sono chiarissime. Quello su cui Google ed Apple si baserebbero è simile a DP-3T e a quanto pare non sarà usato”
Di situazione equivoca parla anche il ricercatore Andrea Gadotti (leggete il suo post, in inglese)

Siete arrivati fino a qua? Siete ancora vivi? Perché ora aggiungiamo il pezzo italiano.

Habemus app
“Come anticipato dal Foglio, nella serata di giovedì i rappresentanti di Bending Spoons e il commissario all’emergenza Domenico Arcuri hanno firmato il contratto per fare della app contro il coronavirus sviluppata dalla software house milanese guidata da Luca Ferrari la app ufficiale del governo italiano”, scrive Il Foglio. Stiamo parlando di Immuni, così si dovrebbe chiamare la app (ma non è chiaro se sarà il suo nome definitivo).
“Tra aggiustamenti tecnici e test, potrebbe non uscire prima di qualche settimana, ma l’obiettivo è essere pronti per quando scatterà la fase due”. Nell’ordinanza firmata da Arcuri, si “dispone di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a.”. E ancora, scrive Il Foglio: “nell’ordinanza si legge che Bending Spoons concederà una “in licenza d’uso aperta, gratuita e perpetua” il codice sorgente della app” (è scritto proprio così). E sempre Arcuri dovrà scegliere una società pubblica che faccia da partner.
In quanto alla app, non ci sarà obbligo di scaricarla ed è composta da due parti. Un sistema di tracciamento contatti via Bluetooth, che “conserva sul dispositivo di ciascun cittadino una lista di codici identificativi anonimi di tutti gli altri dispositivi ai quali è stata vicino entro un certo periodo”, scrive Il Foglio. Se un cittadino viene sottoposto a test per il coronavirus e risulta positivo, ed ha l’app installata, un operatore sanitario gli fornirà un codice che il cittadino userà nella app per caricare su un server i dati raccolti dalla sua app, compresa la lista anonima delle persone a cui è stato vicino. (..) “A quel punto, il server su cloud calcola per ogni identificativo il rischio di esposizione al coronavirus sulla base di criteri come la vicinanza fisica e la durata temporale del contatto. In seguito, il server genera una lista degli utenti più a rischio, ai quali è possibile inviare una notifica sullo smartphone. Il contenuto della notifica dovrà essere deciso dalle autorità sanitarie, potrebbe chiedere all’utente di autoisolarsi o di contattare i numeri appositi per l’emergenza. Anche se non è prevista una forma di tracciamento tramite gps, implementarla dovrebbe essere un’operazione tecnicamente facile se le autorità sanitarie lo richiedessero”.

La seconda parte della app è invece un diario clinico “nel quale a ciascun utente verranno chieste alcune informazioni rilevanti (l’età, il sesso, la presenza di malattie pregresse e l’assunzione di farmaci) e che dovrebbe essere aggiornato tutti i giorni con eventuali sintomi e novità sullo stato di salute. II diario clinico rimarrà privato, ma potrebbe essere utile agli utenti”, scrive il Foglio. Nel senso che fa da promemoria come un bloc-notes? Che viene condiviso con gli operatori sanitari se necessario? Che può essere condiviso con un server centrale?

Maggiori informazioni su Immuni ce le fornisce una pagina del Corriere della Sera di ieri. Immuni potrebbe adottare sia un modello centralizzato, “in cui i dati dei positivi e la lista criptata e anonimizzata dei loro contatti vengono gestiti da un server centrale; sia decentralizzato, in cui le informazioni vengono elaborate dagli smartphone”, scrive Martina Pennisi. “I governi, compreso quello italiano, guardano al primo modello, che dà loro più informazioni su cui lavorare e più controllo sulle informazioni dei (loro) infetti. È una delle decisioni che il governo dovrà prendere in accordo col gruppo di lavoro di Vittorio Colao: Immuni potrebbe diventare un pezzo di una più ampia strategia di raccolta e analisi di dati per tentare di arginare Covid19. Potrebbe venire valutata una futura integrazione del Gps”.
Di eventuale futura integrazione del Gps aveva scritto anche Alessandro Longo su Il Sole 24 ore: “si è passati dal “Gps no assolutamente”, al “dipende dalle condizioni”. E ancora: “I dati gps sono usati sono in forma aggregata e non servono al tracciamento individuale del contatto ma solo per disegnare una mappa dei contagi. Scoprire quindi se c’è un focolaio, un’infezione in un luogo critico come un ospedale. Questo con il bluetooth non lo puoi fare, dato che questa tecnologia wireless certo non può sapere la posizione dell’utente sulla mappa. I promotori di quell’app, dato il clima “anti Gps”, hanno poi preferito fare un passo indietro sull’uso di questa tecnologia e puntare tutto sul bluetooth, nel progetto presentato al ministero. Senonché il quadro, come si diceva, è mutevole”.

Questa mutevolezza, anche della forma finale della app adottata dal governo, è confermata da Luca Foresti – ad del Centro Medico Santagostino che con Bending Spoons ha ideato Immuni – al Corriere di ieri in una intervista. Immuni usa il Bluetooth che è la sua componente fondamentale, ma può usare anche il Gps e “il governo deve decidere se usare anche questo”.
I dati dove finiscono? “Anche questo deve deciderlo il governo. Possono essere conservati solo sul telefono oppure su server che sceglieranno le istituzioni.”. Chi può vederli? “Di nuovo: è una decisione che tocca alla politica. Si possono far arrivare ai medici, aiutati da un call center professionale che come in Corea del Sud chiami le persone che devono mettersi in quarantena o fare il tampone. Oppure ai sindaci, Regioni, fino alle istituzioni centrali…”