Ecco dove il governo ha perso traccia del contact tracing

Contact tracing (foto: Orbon Alija via Getty Images)
(foto: Orbon Alija via Getty Images)

Per far contact tracing in Italia è stata scelta l’app Immuni. Ma da chi, non è chiaro. Quel che è certo, è chi non l’ha scelta: non è stata la task force dei dei 74 esperti nominati dal ministro per l’innovazione, Paola Pisano, a nominare l’applicazione proposta da una cordata di imprese guidata da Bending Spoons, società di Milano che sulle app ha costruito il proprio successo internazionale. È quello che emerge dalle relazioni della task force pubblicate il 30 aprile dal ministero su Github (come da tradizione del Team Digitale, fin dai tempi dell’ex commissario Diego Piacentini).

Un passaggio che aveva un intento chiarificatore, ma che solleva ulteriori dubbi. Soprattutto rispetto all’ordinanza con la quale, il 16 aprile, il commissario straordinario per l’emergenza coronavirus, Domenico Arcuri, ha affidato l’incarico di sviluppare l’app Bending Spoons. “Considerato che, all’esito delle valutazioni effettuate dal Gruppo di lavoro  e comunicate al Ministro per l’innovazione tecnologica e la digitalizzazione, è stata selezionata la soluzione denominata Immuni, proposta dalla società Bending Spoons”, si legge nell’ordinanza, che dà mandato alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing.

Non una ma due

Ma di quale esito delle valutazioni si parla? Non certo di quelle della task force. Come si legge nella relazione del gruppo numero 6, incaricato di valutare le app, l’analisi non si è conclusa con la nomina di un vincitore. Bensì di due finalisti. Perché? Lo scrivono i tecnici: il “processo di implementazione deve essere ridondato e deve basarsi su almeno 2 soluzioni, al fine di avere la certezza di poter disporre di almeno una soluzione da mettere in campo qualora, in fase di sperimentazione concreta, una delle opzioni prescelte si rivelasse per qualunque motivo incapace di offrire le funzionalità e/o i livelli prestazionali richiesti”. Per questo motivo, scrivono gli esperti, “si propone di articolare il processo di implementazione della soluzione di ​ contact tracing lungo​ percorsi paralleli in accordo al seguente modello”.

Fino all’esito dei test, l’Italia avrebbe dovuto sperimentare due applicazioni e poi scegliere. È un processo diverso da quanto è stato possibile appurare finora e ora più a fuoco rispetto a quanto ha riportato anche Wired. Il documento evidenzia sì una maggiore maturità della proposta di Bending Spoons rispetto all’altra finalista, CovidApp. Ma non esclude che debba esserne scelta una a scapito dell’altra, proprio per evitare una situazione di stallo, in un momento tanto complesso. E la dice lunga sulla situazione in cui ci si trova ora. A dispetto degli auspici del gruppo 6, che consigliava un test di dieci giorni per le due app prima dell’inizio “del processo di uscita dal lockdown”, l’Italia si avvicina alla fatidica riapertura del 4 maggio senza tempi certi e con un progetto solo.

È quello della cordata guidata da Bending Spoons, che in passato ha sviluppato applicazioni di carattere ludico o per la compravendita di follower. La sua soluzione, Immuni, è stata sviluppata con il Centro medico Santagostino (rete di poliambulatori), Jakala (società di marketing digitale) e la partecipata di quest’ultima (al 25%) Geouniq (specializzata in dati di localizzazione). Più un nome finora rimasto sotto traccia, ma che emerge dalla relazione del gruppo di esperti numero 8, responsabile dei profili giuridici dei progetti: Arago.

Specializzata in intelligenza artificiale e business automation, Arago ha sede a Francoforte ed è stata fondata Chris Boos, imprenditore nel settore tecnologico e membro del Digital Council tedesco, con l’incarico di consigliare il governo e promuovere politiche di informatizzazione del Paese. Nelle ultime settimane però, il nome di Boos si è diffuso soprattutto al di fuori dei confini della Germania, grazie al progetto Pepp-Pt, il consorzio che avrebbe dovuto stabilire le linee guida europee per il tracciamento dei dati. Boos ne è a capo, oltre a essere ritenuto responsabile del naufragio dell’iniziativa, che si è sfaldata sotto il peso delle accuse di scarsa trasparenza. Dai documenti del ministero dell’Innovazione si scopre che l’azienda di Boos ha avuto un ruolo centrale anche nel progetto di Bending Spoons, che integra la “tecnologia di tracciamento contatti basate (sic!) sul Bluetooth low energy (Le) di Arago”.

Il processo per scegliere le app

Come sono state scelte le app finaliste dal gruppo 6? La prima scrematura ha sfrondato la maggior parte dei progetti. Da 319 proposte arrivate in tre giorni al ministero, tra il 24 e il 26 marzo, ne sono rimaste 15. Sulla base di sette criteri base (per esempio, che il progetto fosse concreto o già realizzato o che usasse sistemi di comunicazione diretta anziché gps o celle telefoniche), i progetti con punteggi sotto il 5 sono stati scartati.

La selezione è passata al vaglio tecnico. Dall’uso di licenze Floss (software aperto e gratuito) alla minimizzazione dei dati di contatto, da strategie per risparmiare batteria alla possibilità di misurare in modo passivo la prossimità tra dispositivi a corto raggio, da tecnologie pro-privacy alla possibilità di cancellare i dati locali o remoti. E ancora: feedback raccolti sulla app, presenza negli store, facilità d’uso, approccio internazionale, meccanismi per dare una valutazione del rischio e tecniche di machine learning. Passano l’esame in cinque: oltre ai finalisti CovidApp e Immuni, ProteggInsieme della Whatif srl, basata sulla soluzione del governo di Singapore; TrackmyWay, targata Antares Vision spa, società quotata di Travagliato, nel Bresciano, che, pur avendo “esperienza comprovata nel campo del tracking digitale di oggetti in movimento tramite tecnologia gps”, scrivono i tecnici, non ne ha altrettanta “nel campo del digital contact tracing”; SafeTogether, che ha alle spalle Microsoft.

Per questi ultimi tre progetti, il verdetto è lo stesso: sviluppo acerbo e troppo tempo necessario per arrivare a versioni da testare. Viene concessa un’intervista definita “extra” a Tim con la sua soluzione Combat, che si articola su dati estratti dalle celle telefoniche (già in uso da parte delle Regioni) e una app, ma sempre con lo stesso problema: un mese di tempo per lo sviluppo.

I finalisti e il ruolo di Arago

Così in pole position, come Wired ha anticipato, arrivano Immuni e CovidApp, presentata da un gruppo di sviluppatori indipendenti. Per la commissione servono due soluzioni, perché, se una si rivelasse inadeguata in fase di sperimentazione, il governo avrebbe un backup.

Immuni convince perché si basa su tecnologia bluetooth low energy e perché i dati vengono salvati nella memoria del dispositivi e condivisi solo su autorizzazione dell’utente. Inoltre all’epoca, quando ancora Apple e Google non avevano annunciato la loro santa alleanza per far comunicare i dispositivi (e che l’Italia adotterà, come ha confermato il ministro Pisano), il team affermava ”di poter tracciare correttamente il 94% dei contatti di tipo Android-Android e iOs-Android”.

In più, ai tempi della relazione, Bending Spoons aderiva a Pepp-Pt, anche se oggi il logo dell’azienda non compare più sulla pagina di presentazione del consorzio europeo. Il patron Boos, con una gestione poco trasparente dell’iniziativa e addirittura escludendo il team tecnico di Dp3t senza neanche una comunicazione di servizio, si è attirato le critiche dell’intera comunità tecnologica europea. 

Se il rapporto con Pepp-Pt è interrotto, resta da chiarire quello con Arago, la società di Boos, che figura oggi tra i pochi partner rimasti all’interno del consorzio. Di certo la nascita stessa dell’iniziativa a trazione tedesca solleva qualche dubbio: con un annuncio pubblico e “come un lampo a ciel sereno”, spiegano a Wired fonti informate sui fatti, Boos ha presentato Pepp-Pt il primo aprile. E al suo interno figurava già una prestigiosissima lista di partner, tra i quali Bending Spoons.

Che l’azienda italiana fosse già in rapporti con Arago e Boos è dimostrato dal fatto che questi ultimi siano inclusi nella proposta, che è stata presentata tra il 23 e il 25 marzo. Una settimana prima.

Tuttavia, una macchina organizzativa come quella di Pepp-Pt, il cui timone comunicativo è affidato al colosso Hering Schuppener, già dietro alla gestione della crisi reputazionale di Volkswagen durante lo scandalo emissioni, non è cosa che si fa tra amici in poco tempo. E nonostante le prime defezioni e polemiche, la reputazione del progetto risulta credibile anche al governo italiano, almeno fino al 17 aprile, quando il coordinatore del gruppo dei 74 esperti e direttore tecnologico del ministero dell’Innovazione, Paolo De Rosa, ha partecipato a una conferenza stampa convocata in quaranta minuti (almeno per la stampa) per ribadire che l’Italia accoglieva con favore l’impegno nei confronti del progetto. Di fatto, mentre Pepp-Pt veniva indicato da tutti come lo standard, l’azienda del suo patron era coinvolta in Italia in uno dei progetti che partecipavano proprio al bando pubblico per cui quello standard era un punto di merito.

Una stretta tabella di marcia

Il gruppo 6 mette nero su bianco anche uno stretto programma di sviluppo. Circa “3 settimane di lavoro” per avere i prototipi delle due app per i primi test (alpha) e la versione da sperimentare sul campo, in aree circoscritte e su gruppi come forze dell’ordine o protezione civile (beta). Altre 3-4 settimane serviranno per l’adozione in tutta Italia, sostenuta da una campagna di comunicazione coordinata dal governo. Terza e ultima fase è la “gestione del software a regime”. I tecnici indicano la necessità di “infrastrutture cloud sicure e ad altissima affidabilità”, i cui costi potrebbero dipendere da molti fattori ma aggirarsi “nell’ordine di qualche milione di euro”.

Tuttavia per Palazzo Chigi, come emerge dall’ultimo decreto del presidente Conte che riguarda anche il progetto della app, “non devono derivare nuovi o maggiori oneri a carico della finanza pubblica”. Tant’è che, come ha spiegato il ministro Pisano, nelle attività di verifica e analisi “sono coinvolte solo società pubbliche interamente partecipate dallo Stato (PagoPa spa e Sogei spa).

Questioni legali e cyber

Sotto il profilo della sicurezza informatica, il comitato 6 consiglia di fare, in parallelo, un’analisi approfondita di sicurezza “sull’intero codice sorgente, dell’architettura e del sistema delle soluzione individuate, incluso risk assessment e threat modeling (a cura del comparto di intelligence)”. Il consiglio è di “condividere il codice sorgente con la comunità scientifica dell’ambito cyber”.

Dall’analisi del gruppo dei giuristi, l’app di Bending Spoons non esce con voti migliori dell’altra. In entrambi i casi mancano i report di cybersecurity, ma mentre per Immuni il comitato, che non ha potuto “valutare in modo adeguato gli aspetti relativi alla cybersecurity e alla resistenza o meno ad attività di reverse engineering o ad altre tipologie di attacco informatico”, raccomanda “di effettuare robusti test di sicurezza informatica sull’applicazione prima del rilascio definitivo all’autorità pubblica”, di CovidApp riconosce che “i proponenti dichiarano altresì di aver dato corso ad attività quali penetration test e reverse engineering”. Anche il ricorso al cloud di Amazon web service da parte di CovidApp non è considerato ostacolo, perché la seconda app “può essere dispiegata su strutture autonome e proprietarie del titolare del trattamento”. Come i server di Sogei. In entrambi i casi per il comitato è meglio evitare di attivare l’opzione gps.

Cosa resterebbe da fare?

Le due relazioni sono l’istantanea di una parte del processo decisionale. La valutazione politica è stata del governo, anche a fronte di uno scenario in continua evoluzione. Solo dopo questi esami sono scese in campo Apple e Google, che hanno risolto il problema di far comunicare via bluetooth i loro dispositivi. Come ha ricordato il ministro dell’Innovazione, Paola Pisano, alla Camera, l’acquisizione della app era “un primo passo, “funzionale a successive verifiche, sviluppi e adattamenti tecnici”, per garantire “sia l’ottenimento della massima efficacia possibile”, sia l’aderenza “alle normative italiane ed europee sul rispetto della privacy”.

Nelle sue 37 pagine, il gruppo 6 ha lasciato alcune raccomandazioni al governo per sviluppare il programma di contact tracing. Primo: nominare un program manager: un responsabile che con piena delega decisionale sul progetto da parte dell’autorità pubblica possa “garantire presidio e tempestività nell’implementazione e nel governo dei processi tecnologici”. Come Wired ha potuto verificare, questa voce specifica non è stata onorata. A quanto si sa finora, il controllo delle operazioni di tracciamento ricadrà comunque sul ministero della Salute, che ha ricevuto garanzia di operare con l’approvazione del decreto legge discusso dal Consiglio dei ministri la notte del 29 aprile.

In secondo luogo, il gruppo di lavoro ha messo in luce i due potenziali scenari tecnico-organizzativi, invitando il governo a scegliere tra il tracciamento esclusivo dei contatti (quindi solo bluetooth) e una soluzione che integri anche il gps. Com’è noto, la scelta è ricaduta sulla prima opzione, escludendo così la raccolta di dati capaci di geolocalizzare l’utente. Tuttavia è interessante il ragionamento proposto dal gruppo di lavoro, che ha isolato e riassunto i pro e i contro di ciascuna scelta.

Se il bluetooth è in grado di garantire una migliore protezione dei dati, dall’altra obbliga a una “minore copertura di situazioni con bassa presenza di device abilitati”, oltre a rendere più difficile l’identificazione dei luoghi maggiormente esposti a una “contaminazione ambientale”, e quindi da sanitizzare. Al contrario, l’impiego della geolocalizzazione avrebbe permesso una migliore copertura del territorio, ma al costo di raccogliere “informazioni riconducibili a dati di carattere personale”, come la posizione del dispositivo.

Come più volte indicato in Italia da esperti, tecnici e giuristi, il ragionamento a monte della realizzazione di un sistema di tracciamento dev’essere prima di tutto procedurale, prima che tecnico. Non sembra di opinione diversa il gruppo 6, che richiede esplicitamente al governo di individuare le procedure sulle quali dovrà infine lavorare la app. La prima è quella relativa all’“allertamento a seguito di contagio”, che può essere “manuale e volontario” oppure “pre-autorizzato e automatico”. Come dichiarato più volte dal ministro Pisano, la scelta dovrebbe ricadere sulla prima opzione, che “prevede un’autorizzazione esplicita e un’azione tecnica da parte del cittadino affinché la propria storia dei contatti anonimizzati venga trasmessa ai server delle autorità e quindi consenta di avviare il processo di allertamento”. Nella seconda ipotesi, per ora scartata, la lista dei contatti anonimizzati sarebbe dovuta essere a disposizione dell’autorità sanitaria, con pre-autorizzazione concessa dal cittadino al momento dell’installazione dell’app.

Infine, il gruppo di lavoro si è concentrato sull’individuazione del comportamento da applicare per garantire l’efficacia delle procedure sanitarie in caso di ricezione di una notifica: al momento, questo è il punto che presenta maggiori zone d’ombra.

Quando l’utente riceve una notifica che lo informa la potenziale esposizione a un contagio, dovrà mettersi in quarantena da solo su base fiduciaria? Sarà obbligato a un’identificazione nominale? Anche se sotto forma di raccomandazioni, il gruppo di esperti pone il medesimo problema, e la risposta dovrebbe essere presa dal ministero della Salute. La prima opzione, quella volontaria, implica che le autorità sanitarie non vengano a conoscere l’identità del potenziale infetto. Nel secondo caso invece, si ipotizza nel documento, le autorità potrebbero anche prevedere delle sanzioni nei confronti di chi non dovesse rispettare l’obbligo di quarantena.

The post Ecco dove il governo ha perso traccia del contact tracing appeared first on Wired.