La vicenda della App Immuni, selezionata per contrastare con uno strumento digitale il Covid-19, si è rivelata nel corso degli ultimi due mesi come l’indicatore più rilevante dello stato di arretratezza del nostro Paese. I punti salienti sono sotto gli occhi di tutti: scarso rispetto delle procedure, visione deficitaria del ruolo che la trasformazione digitale può avere nella modernizzazione del Paese, insufficiente considerazione di quanto siano importanti i dati nella difesa delle libertà individuali.
Ma vediamo come si è sviluppato il dibattito nel Paese negli ultimi due mesi.
Nei primi giorni di pandemia, gli occhi del mondo si sono concentrati su Corea del Sud e Singapore, dove l’adozione di un’apposita App, scaricata sugli smartphone, stava dando buoni riscontri come strumento di sostegno alle azioni sanitarie territoriali. Da quel momento tutti i paesi, e tra essi il nostro, sono andati alla ricerca della propria App.
In Italia la ministra dell’Innovazione, Paola Pisano, apre una call fulminea, dal 24 al 26 marzo, per selezionare l’App di contrasto al coronavirus, ma con un generico invito a presentare idee per la sua realizzazione.
In 48 ore vengono presentati oltre 330 progetti e tra questi viene scelta la App Immuni, della società Bending Spoon. Il tutto attraverso un sistema di selezione opaco, dal momento che idee progettuali presentate senza un capitolato, pur generico, possono essere arbitrariamente valutate.
La selezione è stata accompagnata inoltre da un dibattito fitto sulla necessità di proteggere i dati personali dei cittadini italiani, guardandosi bene dal metterli in mano ai soliti Big Tech della Silicon Valley. Da qui l’orientamento della ministra Pisano di guardare ad un sistema centralizzato di raccolta dei dati, in mano ad una struttura tecnica pubblica.
Non a caso, il 16 aprile scorso il commissario straordinario Domenico Arcuri firma il decreto di assegnazione alla Bending Spoon, con un atto che mette in evidenza il fatto che la App vincente è conforme “al modello europeo delineato dal Consorzio PEPP-PT e per le garanzie che offre per il rispetto della privacy”.
Un modello, va specificato, che prevede la raccolta centralizzata dei dati. Peccato che nessuno abbia segnalato al commissario Arcuri che il consorzio europeo da lui citato era stato costituito appena due settimane prima, per cui indicarlo come riferimento per linee guida consolidate ha avuto un indiretto e superficiale sapore strumentale. In base al decreto di assegnazione la Bending Spoon mantiene la proprietà intellettuale della App, ma cede allo Stato l’uso in comodato gratuito.
In quei giorni avvengono altre due circostanze.
Da un lato la nomina di un’ulteriore task force di nomina governativa, a capo della quale viene messo Vittorio Colao, gran timoniere per oltre 10 anni di Vodafone. Contemporaneamente, Apple e Google comunicano la loro partnership per la realizzazione di un sistema comune che possa essere messo a disposizione delle App nazionali di contrasto al coronavirus, in modo da farlo girare su smartphone Android e iOS.
E così inversione ad U. L’Italia, al contrario della Francia, che chiude la porta ad Apple-Google, aderisce all’offerta di quest’ultime. L’architettura del sistema di raccolta dei dati passa da centralizzata a decentralizzata. I dati, si dice, non saranno più raccolti in un unico luogo, ma saranno ospitati sui telefonini degli utenti che decideranno di scaricare la App. Si esclude la geolocalizzazione (che significa tracciamento ingiustificato delle persone) e si sceglie il sistema Bluetooth indicato da Apple-Google.
Ed ora torniamo a Immuni. Ancora oggi non conosciamo i dettagli operativi della App perché il commissario Arcuri, che il 16 aprile scorso disponeva per decreto di procedere alla stipula del contratto di appalto del servizio, non ha ancora pubblicato detto contratto, contravvenendo a quanto previsto dal Codice dell’Amministrazione dello Stato.
Allo stato attuale, la App Immuni risulta essere in lavorazione, mentre sono stati predisposti gli ambienti di sviluppo presso Sogei (la società strumentale del Mef) e si è in attesa della data di lancio, che viene spostata in avanti di settimana in settimana.
Se questo è il quadro generale, veniamo ai punti critici sollevati da più parti.
Il primo punto è che la App Immuni userà il Bluetooth, il sistema di comunicazione di prossimità con raggio di alcuni metri, che è noto per le sue vulnerabilità. Apple-Google, si sostiene da più parti, non sono interessati più di tanto ai nostri dati personali (ma sappiamo quanto Google sia a caccia di dati sanitari), quando la piattaforma di comunicazione usata consente a qualunque hacker appena smaliziato di poter entrare e fare ciò che vuole. Hacker del genere si muovono sempre su commissione da parte di grandi imprese, criminalità organizzata o Stati sovrani. Il che vuol dire che la posta in gioco è alta. In aggiunta va considerato che l’Italia è il secondo Paese al mondo per importanza in ambito di coronavirus e, dal momento che il primo posto è occupato dalla Cina (da cui notoriamente non esce un solo dato informativo verso l’estero) è evidente che i dati sanitari e sociali italiani risultano particolarmente appetibili a livello internazionale.
Il secondo punto è che lo Stato ha l’uso gratuito della App Immuni, la cui proprietà intellettuale rimane nelle mani di Bending Spoon. Sarebbe il caso di sapere quali siano gli obblighi da parte dello Stato e per sapere questo sarebbe utile che il commissario Arcuri si decidesse a pubblicare il contratto di assegnazione, per non contravvenire ad un obbligo di legge.
Il terzo punto è che nessuno sa ancora alcunché sui codici sorgenti di Immuni. Il dato non è irrilevante. In Gran Bretagna, dopo la pubblicazione dei codici sorgenti, si sono accorti che contenevano elementi di tracciabilità di Google Analytics (per orientare anche la pubblicità in base al tuo stato di salute degli utenti?). Ancora una volta la trasparenza è un fattore da non sottovalutare in casi del genere.
Il quarto punto è che la ministra Paola Pisano e il commissario straordinario Arcuri hanno ripetutamente ribadito che i dati saranno trattati in modo da essere resi anonimi o pseudonomizzati, ma nessuno ancora ci dice in che modo, con quali procedure e quali siano le accortezze adottate per impedire l’identificazione dei dati attraverso procedure di reverse engineering.
Il quinto punto è che un’App del genere è tecnicamente molto banale. Il punto di criticità saranno le API che Apple e Google rilasceranno. Chi verificherà il loro funzionamento? Chi testerà l’interazione dell’App con i sistemi operativi Android e iOS? Chi e con quali modalità si assicurerà che non esistano cosiddette backdoor che consentano a terze parti di entrare nell’App e prenderne i dati raccolti?
Il sesto punto è quanto accaduto nelle scorse settimane in tv e sulla stampa. A nessuno di voi sarà sfuggita la polemica sulla presunta contraddizione tra azione di contrasto al virus ed esigenza di protezione dei dati personali. Sono state dette molte imprecisioni e qualcuno è andato oltre la soglia del comune buon senso. Un virologo tra i più amati dagli italiani, che da alcune settimane imperversa in tv come un instancabile influencer della medicina, ha testualmente dichiarato: “solo un babbeo può richiedere di rispettare la privacy, quando qui abbiamo bisogno di salvare vite umane”. Si tratta di affermazioni infondate, dettate dall’ignoranza sulla conoscenza delle norme europee di protezione dei dati che prevedono esplicitamente casi del genere.
Il settimo punto riguarda il problema della reale efficacia e del ruolo di Immuni. In Italia il dibattito sulla App è stato molto ideologizzato. La App è diventata un feticcio, una salvifica panacea, al punto tale da oscurare ogni altra azione sanitaria. E questo mentre i reparti di terapia intensiva scoppiavano di pazienti. Come spesso accade in Italia, il dibattito sulla App si è presto trasformato in una guerra di religione. Chiunque esprimesse dubbi o riserve veniva subito tacciato come nemico della modernizzazione. Ma sono bastate poche settimane per capire che nessuna App può essere utile se non come supporto ad un’intensa azione concreta (e non digitale) fatta di tamponi e test sierologici sotto il controllo delle autorità sanitarie del territorio. E per ultimo è giunto anche il parere di Jason Bay, direttore del progetto di contact tracing di Singapore, che ha tagliato la testa al toro dichiarando che non è la tecnologia la via maestra per fermare il virus.
L’ottavo punto va segnalato a proposito delle percentuali d’uso della App tra la popolazione. Una App di contact tracing ha efficacia se scaricata da almeno il 60% della popolazione, come riportato da una ricerca svolta dall’Università di Oxford e richiamata dal Garante della Privacy in occasione della sua audizione in Commissione trasporti alla Camera dei deputati ai primi di aprile scorso.
Si tratta di una percentuale molto alta. In Italia corrisponde a circa 36 milioni di persone, una soglia difficile da raggiungere, se si considerano gli 11 milioni di anziani e l’intera fascia di popolazione di bambini e adolescenti, i cui movimenti dipendono dalla mobilità dei genitori. Difficile che la App venga scaricata, in queste condizioni, da una percentuale superiore, a nostro modesto parere, al 20-25% della popolazione. Per fare queste cose bene, occorre il consenso popolare.
E qui siamo al nono punto. Perché si raggiunga un alto numero di italiani disposti a scaricare la App Immuni occorrerebbe una straordinaria campagna di utilità sociale. Una campagna capace di mobilitare l’intera nazione, facendo appello alla partecipazione e alla consapevolezza. Sono due requisiti difficili da ottenere, a patto che le relazioni tra istituzioni e popolazione siano illuminati da una parola magica che è “fiducia”. Resta da chiedersi se il metodo con cui istituzioni e popolazione si rapportano oggi sia fondato sulla fiducia o sul sospetto e se la storia culturale del nostro Paese abbia sviluppato nel corso dei decenni una relazione politica tra governanti e governati basata sulla fiducia.
Il commissario Arcuri ha comunicato qualche giorno fa di aver sollecitato alcune tra le società di comunicazione più importanti d’Italia, chiedendo loro dei progetti per la campagna di comunicazione da indirizzare agli italiani, affinché scarichino la App sui loro smartphone. Arcuri ha anche specificato che le prestazioni della società di comunicazione che verrà scelta non avrà alcun costo per l’amministrazione. Naturalmente ci risiamo. Non sarebbe forse meglio prendere il miglior progetto e pagarlo bene, piuttosto che avere una prestazione gratuita, magari orientata all’incarico governativo come consolidamento di un portafoglio da far valere nei confronti di futuri clienti privati, piuttosto che all’efficacia dell’azione di merito indirizzata alla popolazione italiana?
E ora siamo all’epilogo. Con un dibattito in Parlamento che si svolge a cose fatte, che ha il compito di “mettere a posto le carte”, decidendo su una App la cui assegnazione è avvenuta senza un capitolato, con modalità selettive discutibili, con un contratto di assegnazione di cui nessuno conosce i termini, con specifiche tecniche di cui nessuno sa nulla, con la totale assenza di elementi di conoscenza sull’efficacia dei sistemi protettivi dei dati raccolti dalla piattaforma messa a disposizione da Apple-Google e dalle decine di società che lavorano per loro in giro per il mondo.
In considerazione del grande ritardo accumulato in questi giorni, non sarebbe il caso di approfittare per rimettere ordine nell’intera procedura realizzativa, facendo luce su tutti i punti oscuri che sono in attesa di essere chiariti e costruendo su questa linea le condizioni di consenso da parte della popolazione?
L’innovazione è per sua natura rivoluzionaria e il digitale è trasparenza. Guai se proprio in occasioni di applicazioni digitali e soluzioni innovative adottassimo l’opacità e la scarsa trasparenza tipica di altri regimi.