App Immuni: cos’è, come funziona e cosa sapere sul contact-tracing – GNU

L’app Immuni è un’app per il contact-tracing: il suo utilizzo è funzionale al tracciamento dei contatti tra persone sane e persone risultate, in seguito ad uno dei metodi d’analisi certificati, infette da nuovo coronavirus. L’app Immuni mantiene infatti uno storico (anonimo) dei dispositivi con i quali entra in contatto tramite il Bluetooth Low Energy, una tecnologia Bluetooth sviluppata per un utilizzo prolungato e dunque a basso consumo energetico (impiegata solitamente in dispositivi per l’IoT).

L’app Immuni non utilizza dunque il GPS, considerato troppo invasivo per la privacy dell’utente che la dovesse scaricare; la gestione dei dati, e dunque delle firme digitali che caratterizzano il proprio dispositivo e quelli con i quali si è venuti a contatto, avviene secondo un modello decentralizzato. Immuni utilizza per i propri scopi le API messe a disposizione da Apple e Google nel contesto di quella che è stata definita una “storica collaborazione” tra le due multinazionali; la decisione è stata sofferta e non priva di polemiche, a causa dell’abbandono obbligato del modello delineato dal Consorzio europeo PPE-PT che invece puntava ad un modello centralizzato di tracciamento.

L’app Immuni è sviluppata dall’azienda milanese Bending Spoons, ex-startup (oggi conta più di 150 dipendenti) nata in Danimarca nel 2013 e spostatasi quasi subito in Italia, dove è nota soprattutto per lo sviluppo dell’app Live Quiz, un gioco a premi in buoni Amazon che ad oggi conta più di un milione di download (e solo sul Play Store). Se nel 2016 disponeva di un fatturato pari a 4,6 milioni di euro, due anni dopo la cifra era già stata quasi decuplicata: 31,9 milioni, con un utile accantonato di riserva di 3 milioni.

Come racconta un dettagliato approfondimento pubblicato su Il Post, la scelta di Bending Spoons quale società fiduciaria per lo sviluppo dell’app Immuni è stato frutto di una collaborazione quasi casuale tra l’azienda milanese e il Centro Medico Santagostino (CMS). Quest’ultimo, specializzato in servizi sanitari nel Centro-Nord Italia e con una forte vocazione al digitale, avviò una collaborazione con Bending Spoons già durante la prima metà di marzo: l’obbiettivo era lo sviluppo di una piattaforma che aiutasse il governo a gestire l’emergenza pandemica attraverso un tracciamento geografico dei contagi. Un primo prototipo venne persino visionato dal ministro Paola Pisano, che ne rimase soddisfatta ma non si sbilanciò in promesse per quanto l’offerta delle due aziende fosse gratuita, nata dal desiderio di “fare qualcosa di concreto” per il bene del Paese – raccontano al Post alcune fonti vicine a Bending Spoons.

Quando il 23 marzo il governo pubblicò il bando per la realizzazione di un’app per il contact-tracing, sulla scia degli esempi asiatici, Bending Spoons e CMS si trovarono dunque in posizione di vantaggio, con un’idea ma soprattutto un prototipo funzionante da mettere in mostra. E non sorprende dunque che la task force governativa di 74 esperti selezionati dal governo optò per l’assegnazione alle due aziende dello sviluppo di un’app per il tracciamento dei contatti (affidata a Bending Spoons), oltre che per la gestione dei dati sanitari (compito assegnato al Centro Medico Santagostino).

Inizialmente l’azienda milanese aveva pensato di affidare la gestione dei dati alla piattaforma Google Cloud, ma il governo – insofferente all’idea che dati tanto riservati venissero gestiti da un’azienda privata e localizzata al di fuori dell’Unione Europea – preferì che si optasse per Sogei e PagoPa, società statali controllate dal governo. La collaborazione con Google si sarebbe però resa obbligatoria dopo che l’azienda di Mountain View annunciò (tra lo stupore di tutti) che avrebbe sviluppato insieme alla storica rivale Apple delle API (Application Programming Interface) speciali, che i governi nazionali avrebbero potuto utilizzare per lo sviluppo di app per il contact-tracing (senza che né Apple né Google avessero accesso ad alcun tipo di dati, ovviamente).

Questa novità costrinse il governo italiano (e per riflesso Bending Spoons) a scendere a compromessi: fu presto chiaro a tutti che l’uso di quelle API era fondamentale perché vi fossero meno problemi possibile nello sviluppo dell’applicazione, e nella sua successiva distribuzione ai cittadini (Android ed iOS costituiscono infatti la totalità del mercato dei sistemi operativi per smartphone). Quella di Apple e Google non era però una donazione spontanea e disinteressata: benché le due società non ricavassero (né lo facciano tutt’ora) vantaggi materiali diretti o indiretti dal rilascio di queste API, richiedevano l’adozione di standard di sicurezza differenti da quelli inizialmente ipotizzati per l’app Immuni. Innanzitutto il tracciamento decentralizzato dei contatti, considerato più sicuro per la privacy dei cittadini ma meno efficace nella gestione dei flussi di dati. Si dovette così rinunciare al protocollo europeo PEPP-PT, che invece puntava ad una gestione centralizzata dei dati.

Non tutti i Paesi hanno deciso di farne uso: la Francia, ad esempio, ha deciso di servirsi di una soluzione alternativa, basata su una tecnologia di contact-tracing denominata ROBERT, applicata poi all’app StopCovid.

Per molti, l’utilizzo dell’app Immuni è legato a doppio filo al livello di privacy che l’app saprà fornire. Sin dai primi giorni successivi all’annuncio di Immuni, molti si sono domandati se e come sia possibile tracciare i contatti tra cittadini senza per questo monitorarne gli spostamenti, violandone così la privacy.

Per capire come funzioni la privacy dell’app Immuni, bisogna prima comprendere su quali meccanismi poggi l’intero sistema di contact-tracing. Una volta installata, Immuni crea una chiave di esposizione temporanea (chiamata TEK, ossia Temporary-Exposure-Key), sulla base della quale viene generata un identificativo di prossimità, denominato RPI (sigla per Rolling-Proximity-Identifier).

Perché tale distinzione? È semplice: gli RPI sono i codici di contatto che l’app Immuni riceve e distribuisce a tutti i dispositivi con i quali si incontra – qualora questi soddisfino i requisiti di prossimità (se siete interessati a saperne di più, date un’occhiata alla prossima scheda). I codici RPI, per essere il più anonimi possibile, vengono modificati ogni quarto d’ora – queste variazioni non sono completamente casuali, ma si basano sul TEK, che invece viene cambiato quotidianamente. Il dispositivo mantiene una lista dei propri TEK, così come una lista degli RPI con i quali è venuto a contatto – tutti questi dati vengono cancellati dopo 14 giorni rispettivamente dalla loro generazione o registrazione.

Qualora un utente dovesse risultare positivo al COVID-19 in seguito ad un’analisi a tampone, l’operatore sanitario chiede all’utente di caricare la lista delle proprie TEK sul server di Immuni – attività dunque consensuale, e non automatica. Una volta ricevuta l’autorizzazione, l’utente fornisce una password rintracciabile nelle Impostazioni dell’app e provvede a caricare l’elenco delle proprie TEK sul server di Immuni. E cosa succede?

Tutti i dispositivi che abbiano installato l’app Immuni scaricano ogni 4 ore una lista dei TEK risultati positivi al COVID-19, e sulla base di quei TEK ricavano i rispettivi RPI (capite ora perché gli RPI vengono calcolati sulla base delle chiavi di esposizione temporanea TEK?). A questo punto gli RPI ricavati da quei TEK vengono confrontati con gli RPI che il dispositivo ha incrociato negli ultimi 14 giorni e, se viene trovata una corrispondenza, il dispositivo riceve la notifica di contatto a rischio; a questo punto l’app Immuni fornisce all’utente una serie di istruzioni su come comportarsi.

A questo punto, sorge spontanea la domanda: “la notifica di contatto a rischio equivale ad una diagnosi da Sars-CoVid-19?” No, ovviamente, poiché (al di là dell’effettiva possibilità che il contagio sia avvenuto), il sistema prevede la possibilità di falsi positivi, ridotti al minimo dal sistema di calcolo della prossimità.

Come riporta Il Sole 24 Ore, il ministero della Salute ha selezionato due parametri che inquadrano un contatto all’interno del parametro della “prossimità“:

• dev’essere avvenuto per almeno 15 minuti
• dev’essere accaduto in un raggio inferiore ai due metri.

Tutti i contatti superiori ai 15 minuti in un raggio inferiore ai due metri vengono registrati dal dispositivo (come abbiamo visto attraverso gli RPI). Il Bluetooth però non è stato sviluppato né per calcolare la distanza, né per misurare il tempo: per sopperire a tale mancanza si è adottato il valore di attenuazione (misurato in dBm) che misura l’intensità del segnale, e un sistema di aggiornamento a scaglioni di cinque minuti. Si tratta di una soluzione efficace solo in parte, poiché il valore di attenuazione varia a seconda di molti parametri: materiali che si frappongono tra i due dispositivi, il fatto che i device siano al chiuso oppure all’aperto, addirittura alla posizione con la quale si tiene lo smartphone in mano (coprendone l’antenna Bluetooth, magari).

Sarebbe stato possibile aumentare la precisione dei dati usando altri sensori come il GPS e il WiFi, ma ciò avrebbe costituito un sacrificio a livello di privacy a cui anche la Commissione Europea si è opposta.

Pertanto l’algoritmo adottato da Immuni è, per forza di cose, probabilistico e più tempo passerà e più utenti ne faranno uso, maggiore sarà la precisione grazie all’analisi dei dati aggregati e anonimizzati forniti dalla piattaforma congiunta Google-Apple. In seguito alla sperimentazione occorsa fino al lancio dell’app, Immuni baserà il concetto di prossimità su un dBm di 73: un numero di compromesso che limita al massimo i falsi positivi, e che si prevede diventi più raffinato con il passare delle settimane.

La privacy e la sicurezza sono, come già detto, una priorità per Immuni.

Innanzitutto, i dati personali: Immuni non raccoglie nessun dato che permetta di ricondurre all’identità dell’utente che ne fa uso. Tantomeno è in grado di rintracciare la posizione dell’utente ed i suoi spostamenti. Gli unici dati che l’utente inserisce al momento dell’avvio, e che successivamente vengono generati dall’app Immuni, sono condivisi in maniera anonima e aggregata: la provincia di residenza, ad esempio, aiuterà a formare il quadro epidemiologico del ministero della Salute. Il numero di notifiche inviate servirà invece per calcolare il numero di posti letto in terapia intensiva, o la quantità di tamponi necessari per mappare più a fondo una possibile risalita dei contagi. Immuni è la prima app al mondo ad adottare un simile metodo di analisi dei big data.

La sicurezza in sé è invece garantita da un numero di accorgimenti e tecnologie di crittografia. Tutti i TEK sono generati secondo una chiave a 128-bit; tutte le trasmissioni sono effettuate tramite protocollo HTTPS e i server nei quali i dati sono ospitati sono di proprietà di Sogei, società controllata dal ministero dell’Economia – così come PagoPa, che svolge attività di coordinamento all’interno del sistema di Immuni. Il codice dell’app è open-source, e di conseguenza liberamente controllabile da chiunque. Infine, per rendere il tutto ancora meno intercettabile, all’interno delle trasmissioni vengono inseriti dei dati di disturbo (il cosiddetto “dummy traffic”) che dovrebbero confondere le idee a chi decidesse di intercettare sistematicamente le trasmissioni.

Ma non tutti sono d’accordo con l’idea di usare un’app per il tracciamento dei contatti, o sulle modalità tramite le quale Immuni è stata adottata.

Primo tra tutti, il Copasir, organismo parlamentare il cui nome completo è Comitato Parlamentare per la Sicurezza della Repubblica e che il 14 maggio ha fornito al governo una relazione completa sulle criticità di Immuni. Il Copasir non si oppone all’idea dell’app Immuni; tuttavia, ha messo in luce alcune problematiche che vanno considerate, e in alcuni casi anche risolte.

A livello tecnico, il Copasir rileva la dipendenza dell’app Immuni da Bending Spoons, che secondo quanto previsto dal commissario Domenico Arcuri nel suo accordo con l’azienda, si occuperà per sei mesi dell’aggiornamento dell’applicazione e dalla quale, pertanto, il governo dovrà dipendere per il corretto funzionamento del sistema di contact-tracing. La stessa Bending Spoons, a livello societario, è composta al 5,7% da due soci di minoranza: le italiane H14 S.p.A. e Star Tips S.p.A. e NUO Capital (di proprietà della famiglia di Pao Cheng, di Hong Kong). Proprio per via della nazionalità cinese di quest’ultima azienda, il Copasir ricorda che «la legge cinese sulla sicurezza nazionale, obbliga, in via generale, cittadini e organizzazioni a fornire supporto e assistenza alle autorità militari di pubblica sicurezza e alle agenzie di intelligence», e che pertanto occorre neutralizzare ogni possibilità di influenza straniera in un’app tanto sensibile come Immuni.

Ad ogni modo, il 13 ottobre 2020 Bending Spoons ha consegnato la proprietà dell’applicazione alla società statale PagoPA, vanificando ogni dubbio o timore su possibili ingerenze esterne sui dati generati dall’applicazione.

Ma è soprattutto a livello regionale che si sono moltiplicate le critiche a Immuni – specialmente da parte delle regioni a statuto speciale che, proprio grazie alla propria autonomia, hanno deciso di integrare Immuni con altri dispositivi di tracciamento degli ingressi nel proprio territorio. Questo è perlomeno quanto hanno fatto Sicilia e Sardegna: la prima attraverso l’app SiciliaSiCura, che registrerà gli ingressi dei turisti nell’isola – per quanto il suo download sarà volontario. Tutto il contrario dell’app Sardegna Sicura, che dovrà obbligatoriamente essere scaricata al momento dell’ingresso nell’isola – per quanto i disservizi legati al suo sviluppo e implementazione hanno costretto l’amministrazione a rendere alternativo all’uso dell’app un modulo online.

Il Friuli Venezia Giulia si è invece opposto all’inclusione della regione nella lista di territori che, per una settimana, hanno sperimentato in anteprima Immuni: secondo l’amministrazione regionale sarebbe stato necessario un approccio centralizzato, che mettesse nelle mani dello Stato il tracciamento dei contatti e non lo lasciasse invece alla discrezione dell’utente, che può decidere se segnalare o meno l’avvenuto contatto con il virus. Era già stata sviluppata un’app apposita, chiamata “Stop Coronavirus FVG“, poi accantonata quando si è passati ad un approccio nazionale. Dello stesso parere è stata anche un’altra regione a statuto speciale, la Valle d’Aosta.

Le critiche provenienti dalle istituzioni riguardano dunque più le metodologie d’impiego del tracciamento dei contatti che altro: perché Immuni sia veramente efficace, sostengono, si sarebbe dovuto usare anche un tracciamento dei contatti via GPS, nonché un approccio centralizzato alla raccolta dei dati. Ma i cittadini avrebbero apprezzato questo interventismo dello Stato nella loro privacy?

Un’ulteriore critica opposta all’applicazione è infatti rivolta alla sua efficacia: secondo Domenico Arcuri, è necessario che almeno il 60% della popolazione di età superiore ai 14 anni effettui il suo download affinché il tracciamento abbia un impatto significativo nella strategia di contenimento dei contagi. Tuttavia, un recente sondaggio evidenzia come solo il 38% della popolazione, specialmente quella più anziana, sia favorevole al suo download – mentre i più giovani sono ancora timorosi per via dei pericoli della privacy che la sua installazione comporterebbe.

AGGIORNAMENTO: a un anno dalla sua pubblicazione, pare che l’obiettivo di Immuni sia, almeno momentaneamente, fallito. L’app è stata scaricata solamente 10 milioni di volte, generando meno di 100.000 notifiche di esposizione. A partire dal giugno 2021, l’applicazione ha acquisito la funzione di supporto al “green pass”, documento per lo spostamento tra regioni e al di fuori del Paese, nel tentativo di restituire maggiore visibilità all’applicazione.

Installare l’app Immuni è un processo facilissimo: l’applicazione va innanzitutto scaricata dagli store di app nelle quali è stata pubblicata, che ad oggi sono Google Play e App Store.

Un terzo market di app vedrà presto l’ingresso di Immuni: parliamo di AppGallery, di proprietà di Huawei e alternativa ufficiale del produttore cinese al Play Store. Con l’imposizione delle sanzioni statunitensi contro Huawei e la sua sussidiaria HONOR, i device delle due compagnie sono stati impossibilitati all’uso dei servizi di Google: ciò ha reso molto complicato rendere disponibile Immuni, che si basa proprio sui servizi di Apple e Google, anche per quegli smartphone che ne sono (per forza di cose) sprovvisti. Fortunatamente però Huawei ha annunciato di aver quasi completato lo sviluppo delle API necessarie al contact-tracing per i suoi dispositivi, così che presto Bending Spoons potrà distribuire Immuni anche su AppGallery.

AGGIORNAMENTO: l’app Immuni è disponibile al download da AppGallery cliccando QUI.

I dispositivi Huawei venduti con servizi Google possono ancora installare l’applicazione da Google Play; stando a quanto si legge dalle recensioni dell’app, sembra che però sia necessario spegnere il Bluetooth prima di effettuare il setup dell’applicazione, perché la sua attivazione vada a buon fine.

Una volta effettuato il download, Immuni mostrerà una serie di schermate informative nelle quali viene spiegato il funzionamento dell’app. Cliccando su “Scopri di più” è possibile leggere un sunto dei meccanismi di base dell’app, mentre un tap sul bottone “Iniziamo” vi porterà all’app vera e propria. Prima però dovrete leggere e compilare un’informativa: si tratta di una schermata titolata “La tua privacy è al sicuro” che spiega nel dettaglio quali soluzioni sono state adottate per proteggere la privacy degli utenti che installeranno Immuni. Al termine della schermata sono presenti due caselle da spuntare per poter procedere (nelle quali si dichiara di aver preso visione dell’informativa, e di avere più di 14 anni).

Il passo successivo consiste nella selezione della regione e della provincia di appartenenza; dopodiché bisognerà consentire all’app l’accesso alle notifiche di esposizione: di base questo comporta che il GPS, a livello di sistema, dovrà rimanere sempre attivo – ma non preoccupatevi: dato che Immuni non ha il premesso di accedere alla geolocalizzazione, non c’è modo che possa servirsene. Cliccando su “Attiva“, le notifiche saranno attivate.

Infine, Immuni vi sottoporrà due utili schermate informative: la prima vi invita (qualora non l’abbiate già fatto) a dotare il vostro smartphone di un codice di blocco, mentre la seconda vi incoraggia a non dare retta a comunicazioni di alcun genere (SMS, email…) che non provengano direttamente dall’applicazione stessa.

A questo punto, Immuni sarà funzionante e non esiste davvero un utilizzo attivo dell’app, a meno di non voler consultare la scheda dedicata alla prevenzione dei contagi, o quella illustrativa del funzionamento dell’app.