Davvero basta la tecnologia?

Bevera, 21 maggio 2020
di Davide Magni – professionista nell’ambito della sicurezza informatica, circolo di Alta Brianza e Laghi

Commenta su facebook


Forse mai quanto in questo periodo ci si rende conto di come e quanto la tecnologia sia utile a risolvere problemi.

Volenti o meno, quasi chiunque nel quotidiano si affida a strumenti, applicazioni, dispositivi di ogni genere per portare avanti attività altrimenti completamente ferme. Milioni di persone di tutte le età che lavorano da remoto, seguono lezioni a distanza, sostengono esami e interrogazioni, si allenano seguendo le indicazioni di coach virtuali, si fanno portare la spesa a casa ordinandola tramite una app.

Scelgono ogni giorno cosa guardare in TV, magari lasciandosi consigliare da una “intelligenza artificiale”. E ancora, le aziende e i trasporti pubblici dispongono di telecamere termiche per trovare al volo chi per qualche motivo ha la temperatura più alta della soglia consentita. In alcuni stati più intraprendenti, dei robot stanno cominciando a far rispettare la legge, e in altri stati ancora vengono usati droni quando gli occhi degli agenti non bastano più.

Durante un’emergenza si cerca di usare ogni mezzo possibile per uscirne, per tornare alla “normalità”.

Durante un’emergenza non si ha la motivazione né il tempo di valutare le misure da tutti i punti di vista possibili, le riflessioni e gli studi si faranno più avanti. Non si riesce a dare la giusta importanza, per esempio, a eventuali ricadute psicologiche o mentali del non avere rapporti umani per mesi, o come tutto ciò influisca sull’apprendimento e sull’educazione dei più giovani. Semplicemente non si può fare altro.

Il focus e l’attenzione cercano di rimanere su una strategia, che in questo caso, secondo gli esperti, si dovrebbe poter riassumere con tre “T”:

  • Testare
  • Tracciare
  • Trattare

i contagiati o presunti tali.

In questo come ci può aiutare la tecnologia? Ci può aiutare velocizzando e ottimizzando il secondo step, “tracciare”.

Il tanto discusso “contact tracing”, tracciamento dei contatti, fino a oggi, viene effettuato manualmente chiedendo alle persone positive ai tamponi di ricostruire i loro spostamenti nel periodo antecedente la rilevazione, per individuare eventuali contatti a rischio. Questa attività è chiaramente dispendiosa e poco efficiente, in quanto necessita di personale qualificato, di tempo e si basa sostanzialmente sulla “memoria” –  e in alcuni casi sul buon senso – delle persone. Perché non usare una app che salvi in automatico la lista delle persone con cui entriamo in contatto?

La domanda è ovviamente logica, come lo è anche la risposta: ci si sta già lavorando. La volontà è quella di sfruttare la tecnologia bluetooth, già presente in tutti gli smartphone in circolazione.

In questo caso però è forse opportuno evitare il ragionamento “in emergenza vale tutto” e provare invece a valutare rischi a breve e lungo termine.

Prima di tutto, i dati raccolti devono essere affidabili, ci deve essere una bassissima percentuale di falsi positivi. Altrimenti è chiaro che avere un numero elevatissimo di persone “potenzialmente contagiate” renderebbe il sistema inutilizzabile. Ma nella teoria devono esserci anche un numero molto basso di falsi negativi, altrimenti si ritorna nel campo della bassa utilità.

Tralasciando i problemi by design della tecnologia bluetooth riguardo la distanza di rilevazione del segnale e quindi del contatto, sorgono altri problemi, più ad alto livello: problemi di privacy.

In questo momento nessuna organizzazione al mondo raccoglie dati tanto precisi. Nemmeno Facebook, o Twitter, o Google e Apple, o Tinder. I dati oggi raccolti da queste aziende si “limitano” a dati di posizione con precisione discutibile, solitamente di qualche metro, dai quali possono essere fatte deduzioni e statistiche e correlazioni sui luoghi visitati, per trovare potenziali persone da proporci come nuovi amici. O per fini di marketing, nulla più. Addirittura i sistemi operativi di Google e Apple (sostanzialmente, quindi, quelli presenti nel 99,9% degli smartphone) impediscono alle app normali di recuperare dati di questo tipo di continuo.

Ecco il secondo problema: i governi hanno bisogno dell’appoggio e della collaborazione di aziende private.

Ci sono anche problemi di sicurezza: bisogna garantire, oltre che nessuno possa accedere a questi dati in modo non autorizzato, che non possano essere inseriti dati falsi, o che questi vengano manipolati. Il rischio è sempre quello dei falsi positivi o falsi negativi, su un sistema cosa delicato. E se poi nessuno la scarica e utilizza, la si può rendere obbligatoria? Quindi rendendo obbligatorio avere uno smartphone sempre con sé?

I problemi sono parecchi.

Limitandoci a parlare dell’Europa e dell’Italia, si sta cercando di risolvere alcuni di questi quesiti tramite la definizione di linee guida da parte della Commissione Europea, che però linee guida rimangono.

La app in questione non dovrà essere obbligatoria, dovrà basarsi su una architettura decentralizzata e raccogliere solo i dati necessari allo scopo sanitario, sempre garantendo l’anonimato. E il codice dovrà essere pubblico, “Open Source”. In Italia, tramite una fast call ormai qualche settimana fa, è stata scelta una app tra qualche centinaia di proposte.

L’architettura pare sia già cambiata rispetto alla proposta iniziale, da centralizzata a decentralizzata. La differenza sta che in un caso i codici univoci dei dispositivi vengono generati e rilasciati da un server centrale, il quale raccoglie poi tutti i dati relativi ai contatti e notifica i possibili contagiati, mentre nell’altro caso i codici e la lista dei contatti vengono gestiti dai dispositivi stessi, il server centrale si occupa solo di raccogliere e comunicare a tutti quasi sono i codici associati a un positivo.

Gli esperti però suggeriscono di porre particolare attenzione alla sicurezza del server centrale e dell’applicazione stessa, il cui codice ancora non è pubblico (sempre che esista già). Inoltre, qualcuno ha fatto notare che la licenza Open source scelta garantisca l’open source solo del codice originale, e non di eventuali aggiunte successive, il che sarebbe poco accettabile su una app di questo tipo.

Sorvolando di nuovo però tutti questi punti, che già non sono banali, bisogna ricordarsi quanto detto qualche riga sopra: la app deve far parte di una strategia, cioè quella delle tre “T”. Ma individuare possibili contagiati senza essere in grado di testarli in modo rapido non renderebbe inutile tale strategia? Ma soprattutto: chi può garantire che i dati raccolti siano utilizzati solo per risolvere l’emergenza,  specialmente nei casi di governi “poco” democratici, se il sistema è gestito dal governo stesso?

Davvero si può dire che basta la tecnologia? Ai posteri l’ardua sentenza. 

Forse mai quanto in questo periodo ci si rende conto di come e quanto la tecnologia sia utile a risolvere problemi.

Volenti o meno, quasi chiunque nel quotidiano si affida a strumenti, applicazioni, dispositivi di ogni genere per portare avanti attività altrimenti completamente ferme. Milioni di persone di tutte le età che lavorano da remoto, seguono lezioni a distanza, sostengono esami e interrogazioni, si allenano seguendo le indicazioni di coach virtuali, si fanno portare la spesa a casa ordinandola tramite una app.

Scelgono ogni giorno cosa guardare in TV, magari lasciandosi consigliare da una “intelligenza artificiale”. E ancora, le aziende e i trasporti pubblici dispongono di telecamere termiche per trovare al volo chi per qualche motivo ha la temperatura più alta della soglia consentita. In alcuni stati più intraprendenti, dei robot stanno cominciando a far rispettare la legge, e in altri stati ancora vengono usati droni quando gli occhi degli agenti non bastano più.

Durante un’emergenza si cerca di usare ogni mezzo possibile per uscirne, per tornare alla “normalità”.

Durante un’emergenza non si ha la motivazione né il tempo di valutare le misure da tutti i punti di vista possibili, le riflessioni e gli studi si faranno più avanti. Non si riesce a dare la giusta importanza, per esempio, a eventuali ricadute psicologiche o mentali del non avere rapporti umani per mesi, o come tutto ciò influisca sull’apprendimento e sull’educazione dei più giovani. Semplicemente non si può fare altro.

Il focus e l’attenzione cercano di rimanere su una strategia, che in questo caso, secondo gli esperti, si dovrebbe poter riassumere con tre “T”:

  • Testare
  • Tracciare
  • Trattare

i contagiati o presunti tali.

In questo come ci può aiutare la tecnologia? Ci può aiutare velocizzando e ottimizzando il secondo step, “tracciare”.

Il tanto discusso “contact tracing”, tracciamento dei contatti, fino a oggi, viene effettuato manualmente chiedendo alle persone positive ai tamponi di ricostruire i loro spostamenti nel periodo antecedente la rilevazione, per individuare eventuali contatti a rischio. Questa attività è chiaramente dispendiosa e poco efficiente, in quanto necessita di personale qualificato, di tempo e si basa sostanzialmente sulla “memoria” –  e in alcuni casi sul buon senso – delle persone. Perché non usare una app che salvi in automatico la lista delle persone con cui entriamo in contatto?

La domanda è ovviamente logica, come lo è anche la risposta: ci si sta già lavorando. La volontà è quella di sfruttare la tecnologia bluetooth, già presente in tutti gli smartphone in circolazione.

In questo caso però è forse opportuno evitare il ragionamento “in emergenza vale tutto” e provare invece a valutare rischi a breve e lungo termine.

Prima di tutto, i dati raccolti devono essere affidabili, ci deve essere una bassissima percentuale di falsi positivi. Altrimenti è chiaro che avere un numero elevatissimo di persone “potenzialmente contagiate” renderebbe il sistema inutilizzabile. Ma nella teoria devono esserci anche un numero molto basso di falsi negativi, altrimenti si ritorna nel campo della bassa utilità.

Tralasciando i problemi by design della tecnologia bluetooth riguardo la distanza di rilevazione del segnale e quindi del contatto, sorgono altri problemi, più ad alto livello: problemi di privacy.

In questo momento nessuna organizzazione al mondo raccoglie dati tanto precisi. Nemmeno Facebook, o Twitter, o Google e Apple, o Tinder. I dati oggi raccolti da queste aziende si “limitano” a dati di posizione con precisione discutibile, solitamente di qualche metro, dai quali possono essere fatte deduzioni e statistiche e correlazioni sui luoghi visitati, per trovare potenziali persone da proporci come nuovi amici. O per fini di marketing, nulla più. Addirittura i sistemi operativi di Google e Apple (sostanzialmente, quindi, quelli presenti nel 99,9% degli smartphone) impediscono alle app normali di recuperare dati di questo tipo di continuo.

Ecco il secondo problema: i governi hanno bisogno dell’appoggio e della collaborazione di aziende private.

Ci sono anche problemi di sicurezza: bisogna garantire, oltre che nessuno possa accedere a questi dati in modo non autorizzato, che non possano essere inseriti dati falsi, o che questi vengano manipolati. Il rischio è sempre quello dei falsi positivi o falsi negativi, su un sistema cosa delicato. E se poi nessuno la scarica e utilizza, la si può rendere obbligatoria? Quindi rendendo obbligatorio avere uno smartphone sempre con sé?

I problemi sono parecchi.

Limitandoci a parlare dell’Europa e dell’Italia, si sta cercando di risolvere alcuni di questi quesiti tramite la definizione di linee guida da parte della Commissione Europea, che però linee guida rimangono.

La app in questione non dovrà essere obbligatoria, dovrà basarsi su una architettura decentralizzata e raccogliere solo i dati necessari allo scopo sanitario, sempre garantendo l’anonimato. E il codice dovrà essere pubblico, “Open Source”. In Italia, tramite una fast call ormai qualche settimana fa, è stata scelta una app tra qualche centinaia di proposte.

L’architettura pare sia già cambiata rispetto alla proposta iniziale, da centralizzata a decentralizzata. La differenza sta che in un caso i codici univoci dei dispositivi vengono generati e rilasciati da un server centrale, il quale raccoglie poi tutti i dati relativi ai contatti e notifica i possibili contagiati, mentre nell’altro caso i codici e la lista dei contatti vengono gestiti dai dispositivi stessi, il server centrale si occupa solo di raccogliere e comunicare a tutti quasi sono i codici associati a un positivo.

Gli esperti però suggeriscono di porre particolare attenzione alla sicurezza del server centrale e dell’applicazione stessa, il cui codice ancora non è pubblico (sempre che esista già). Inoltre, qualcuno ha fatto notare che la licenza Open source scelta garantisca l’open source solo del codice originale, e non di eventuali aggiunte successive, il che sarebbe poco accettabile su una app di questo tipo.

Sorvolando di nuovo però tutti questi punti, che già non sono banali, bisogna ricordarsi quanto detto qualche riga sopra: la app deve far parte di una strategia, cioè quella delle tre “T”. Ma individuare possibili contagiati senza essere in grado di testarli in modo rapido non renderebbe inutile tale strategia? Ma soprattutto: chi può garantire che i dati raccolti siano utilizzati solo per risolvere l’emergenza,  specialmente nei casi di governi “poco” democratici, se il sistema è gestito dal governo stesso?

Davvero si può dire che basta la tecnologia? Ai posteri l’ardua sentenza.