Dopo la sperimentazione in quattro regioni italiane, dal 15 giugno l’app Immuni è attiva su tutto il territorio nazionale. L’app, disponibile per iOS e Android, consente agli utenti di sapere se hanno avuto un’esposizione rischiosa al coronavirus e adottare di conseguenza tutte le misure necessarie. L’obiettivo dell’app di contact tracing è contenere e combattere l’emergenza Covid-19 con il coinvolgimento volontario dei singoli cittadini.

Sviluppato dalla società milanese Bending Spoons e scelto tramite la “Fast Call- Telemedicina e Data Analysis” indetta dal Ministero dell’Innovazione, il sistema Immuni si basa su tecnologia Bluetooth Low Energy, che non comporta la geolocalizzazione del dispositivo. Dopo il lancio del Framework di Exposure Notification sviluppato congiuntamente da Apple e Google per supportare le applicazioni di tracciamento, il sistema Immuni è stato riprogettato per fruire delle funzionalità del Framework.

Fin dal suo annuncio, l’app è stata accolta con critiche riguardo sia all’utilità che alla privacy. Per quanto riguarda l’utilità, è arrivata con un certo ritardo rispetto al picco della pandemia in Italia. Inoltre è un sistema su basa volontaria e non è ancora chiaro qual è il numero minimo di installazioni necessario a garantirne l’efficacia. Comprensibilmente, la comunità scientifica non ha ancora dati sufficienti per fare previsioni in questo senso.

Dal punto di vista della privacy la questione è stata più dibattuta. I punti critici riguardano il modo in cui verranno utilizzati i dati raccolti, la garanzia dell’anonimato degli utenti, l’attendibilità dell’algoritmo di Google e Apple che, di fatto, elabora l’indice di contagio.

Per rispondere alle critiche sollevate, il design del Sistema Immuni ha subito varie modifiche. Il Garante della Privacy, all’inizio di giugno, ha espresso parere favorevole al lancio dell’app Immuni, ritenendola sostanzialmente conforme alle leggi vigenti in materia di privacy. Il Garante ha evidenziato anche aspetti critici e vulnerabilità che andranno risolti nelle prossime settimane.

L’app è stata sperimentata in quattro regioni (Abruzzo, Liguria, Marche e Puglia) a partire dal primo giugno ed è ora attiva in tutta Italia. Al netto delle polemiche, ecco come funziona il sistema Immuni e quali sono i problemi aperti.

Come funziona il Sistema Immuni

Immuni è un sistema semi-decentralizzato di exposure notification basato sulla tecnologia Bluetooth Low Energy (BLE) e sull’Exposure Notification Framework realizzato da Apple e Google (Framework A/G) per consentire il tracciamento dei contatti.

La componente periferica del sistema è l’app Immuni, scaricabile gratuitamente dagli store di Apple e Google.

La componente di backend comprende una serie di sistemi server dedicati a specifiche funzioni di raccolta dati, diffusione di pseudonimi dei soggetti positivi, interazione con altri sistemi informativi (come il sistema Tessera Sanitaria, utilizzato per l’autenticazione degli operatori sanitari), analisi dei dati. I server vengono gestiti da Sogei, società italiana controllata al 100% dal Ministero dell’economia e delle finanze, mentre la piattaforma software viene gestita dal Ministero della Salute.

L’app Immuni e il tracciamento

L’app può essere utilizzata da utenti con età minima di 14 anni. I dati richiesti in fase iniziale sono la regione e la provincia in cui si trova l’utente (che possono essere modificati in caso di spostamenti) e le autorizzazioni per il funzionamento dell’app, tra i quali l’attivazione del Bluetooth. Per i dispositivi Android viene richiesto anche il permesso per la geolocalizzazione: in realtà, il sensore GPS non viene utilizzato dall’app Immuni, ma visto che Bluetooth LE può essere usato per rilevare indirettamente la localizzazione di una persona, sapendo per esempio che è transitata nei pressi di un beacon Bluetooth (i trasmettitori usati spesso in luoghi pubblici come musei e centri commerciali per scopi informativi e pubblicitari), Google richiede scrupolosamente l’autorizzazione all’utente, per una sua maggior tutela.

Attraverso algoritmi crittografici l’app genera in modo casuale una chiave temporanea TEK (Temporary Exposure Key), che viene modificata ogni 24 ore. A partire dalla TEK ogni 10 minuti viene generato un identificativo di prossimità del dispositivo mobile denominato RPI (Rolling Proximity Identifier). Da ogni chiave TEK possono essere generati fino a 144 RPI corrispondenti e la funzione matematica utilizzata non è invertibile, cioè non è possibile risalire alla TEK da cui è stato ottenuto un certo RPI.

Gli RPI sono ottenuti con tecniche crittografiche sfruttando la capacità di calcolo interna dello smartphone, di cui rappresentano degli pseudonimi temporanei di breve durata e non contengono informazioni che permettono di identificare l’utente o il dispositivo che li genera.

Se il contatto tra utenti è sufficientemente vicino e prolungato, tra i dispositivi avviene uno scambio di RPI tramite Bluetooth. Gli RPI vengono registrati automaticamente nella memoria locale, insieme ad altri metadati quali la data, la durata e la distanza del contatto. Sul dispositivo di ogni utente vengono memorizzate la lista delle proprie TEK (aggiornata quotidianamente) e la lista degli RPI dei dispositivi degli altri utenti con cui si è entrati in contatto. I dati più vecchi di 14 giorni vengono automaticamente cancellati.

I soggetti risultati positivi al coronavirus possono, sempre su base volontaria, rendere disponibili le proprie TEK in modo da avvisare gli utenti con cui sono entrati in contatto del potenziale contagio. La procedura di condivisione delle TEK viene gestita dagli operatori sanitari che hanno effettuato il tampone, in modo che siano caricate sul Sistema Immuni esclusivamente le TEK riferibili a utenti accertati positivi al Covid-19.

Una volta ricevute le TEK pubblicate dal sistema di backend, ogni dispositivo su cui è installata l’app avvia un confronto tra gli RPI ricavati dalle TEK scaricate e quelli memorizzati nei 14 giorni precedenti. Il confronto viene effettuato a livello locale attraverso l’algoritmo del Framework A/G, che calcola l’indice di rischio di contagio (Total Risk Score) per ogni eventuale contatto rilevato. Se l’indice supera una soglia predefinita, l’app invia all’utente una notifica che comunica la possibile esposizione al contagio e lo invita a contattare le autorità sanitarie competenti.

Il Total Risk Score viene calcolato sulla base di parametri quali la durata del contatto e la distanza tra i dispositivi su cui è installata l’app, rilevata mediante l’intensità del segnale bluetooth.

Privacy e altri punti critici

L’annuncio dell’app Immuni è stato seguito da accese polemiche sulla privacy dei dati raccolti, sul loro uso e sul potenziale sfruttamento commerciale da parte della società che ha sviluppato l’app o di altri soggetti coinvolti. Nel corso dei mesi sono apportate diverse modifiche all’applicazione, che hanno in parte risposto alle questioni sollevate.

In data 1 giugno 2020 il Garante della Privacy ha dato sostanzialmente via libera all’uso del Sistema Immuni, prima in fase sperimentale in alcune regioni e poi su tutto il territorio nazionale.

Il parere favorevole del Garante, espresso anche sulla base della valutazione d’impatto sulla privacy elaborata dal Ministero della Salute, riconosce la sostanziale conformità dell’app alle vigenti normative sulla privacy. Il Garante ha tuttavia sottolineato alcune criticità, che dovranno essere risolte nelle prossime settimane. Ecco le principali.

  • L’algoritmo di esposizione al contagio. L’algoritmo elaborato e messo a disposizione da Apple e Google valuta i rischi dell’esposizione sulla base di criteri non completamente noti. Il Garante osserva che i criteri dovrebbero essere messi a disposizione della comunità scientifica, per valutarne l’attendibilità. C’è inoltre il rischio di falsi positivi, generati dalla variazione dell’intensità del segnale Bluetooth, che potrebbero portare a immotivate preoccupazioni o a una sfiducia nel sistema stesso.
  • Analytics Operational Info. Nell’ottica di tutelare la salute nel momento dell’emergenza Covid-19, oltre ai dati di prossimità l’app Immuni raccoglie anche altre informazioni che non possono essere considerati anonime. In circostanze particolari, per esempio contesti con bassa densità di popolazione o basso indice di contagio, potrebbero permettere di risalire all’identità degli utenti. Inoltre, allo stato attuale, gli analytics vengono effettuati solo dai dispositivi iOS, e questo potrebbe introdurre dei bias nella valutazione dell’efficacia del sistema.
  • Sicurezza di dati e dispositivi. Il Garante sottolinea che gli utenti devono essere adeguatamente informati dei possibili rischi per la privacy, quali malware, apparati di scansione in grado di intercettare la trasmissione broadcast degli RPI (sniffer) e una particolare tecnica di attacco denominata “paparazzi attack”, che permettono a malintenzionati di risalire all’identità dell’utente.