Milano. Una delle questioni che ossessiona i tecnici che discutono attorno a Immuni, la app scelta dal governo per tracciare i contagiati da coronavirus, è quale sistema sarà adottato per gestire i dati degli utenti. Il dibattito è solo apparentemente settoriale, ma merita di essere spiegato, perché al suo interno contiene il modo in cui saranno rispettati la nostra privacy e i nostri diritti. Ricordiamoci brevemente che una app di tracciamento dei contagiati come Immuni utilizza il bluetooth, che è un sistema che si accorge di quando due telefoni passano uno vicino all’altro. La app tiene nota di tutti questi passaggi sotto forma di codici anonimi, e quando una persona risulta positiva al coronavirus carica su un server alcuni dati sempre anonimi per consentire a tutte le persone con cui è entrata in contatto di sapere che sono state vicino a un contagiato. Quali dati vengono caricati sul server? E come si comporta questo server? Ci sono tre possibili approcci: centralizzato hard, centralizzato soft e decentralizzato.

Milano. Una delle questioni che ossessiona i tecnici che discutono attorno a Immuni, la app scelta dal governo per tracciare i contagiati da coronavirus, è quale sistema sarà adottato per gestire i dati degli utenti. Il dibattito è solo apparentemente settoriale, ma merita di essere spiegato, perché al suo interno contiene il modo in cui saranno rispettati la nostra privacy e i nostri diritti. Ricordiamoci brevemente che una app di tracciamento dei contagiati come Immuni utilizza il bluetooth, che è un sistema che si accorge di quando due telefoni passano uno vicino all’altro. La app tiene nota di tutti questi passaggi sotto forma di codici anonimi, e quando una persona risulta positiva al coronavirus carica su un server alcuni dati sempre anonimi per consentire a tutte le persone con cui è entrata in contatto di sapere che sono state vicino a un contagiato. Quali dati vengono caricati sul server? E come si comporta questo server? Ci sono tre possibili approcci: centralizzato hard, centralizzato soft e decentralizzato.

Con l’approccio centralizzato hard, sul server vengono caricati tutti i codici anonimizzati dei cittadini che sono passati gli uni vicino agli altri, creando una grande rete di tutti i contagiati e dei loro contatti, anche quelli di secondo livello. Questo approccio è stato scartato da quasi tutte le autorità.

La scelta principale che i governi in questo momento devono fare è tra un approccio centralizzato soft e un approccio decentralizzato. Con il centralizzato soft, il server attribuisce un codice specifico a ciascun telefono e mantiene un elenco di questi codici, che non svelano l’identità della persona. Mettiamo che il signor Bianchi abbia scaricato l’app. Il suo telefono tiene nota dei codici di tutte le persone con cui è entrato in contatto a casa, al lavoro o in palestra. Se il signor Bianchi fa il tampone e scopre di essere positivo, la sua app (tramite intervento di un operatore sanitario) carica sul server i codici che corrispondono a tutte le persone a cui è stato vicino negli ultimi 14 giorni. A quel punto è il server che individua le persone che il signor Bianchi potrebbe aver contagiato e si preoccupa di avvertirle tramite una notifica sul telefono. In nessuno di questi passaggi il server conosce l’identità anagrafica delle persone coinvolte.

In un approccio decentralizzato invece il server c’è comunque ma non attribuisce ai cittadini un codice specifico. La app continua a tenere nota di tutti i codici che corrispondono alle persone a cui è stato vicino il signor Bianchi. Quando il signor Bianchi risulta positivo, la app carica ugualmente i codici dei suoi contatti, ma non è il server a individuare le persone a rischio, perché il server non possiede un “registro” di tutti i telefoni. Il server si limita a inviare a tutti i telefoni del sistema l’elenco dei contatti del signor Bianchi. Saranno i singoli telefoni a consultare questo elenco e a confrontarlo con il proprio codice. Se c’è una corrispondenza, allora è il telefono a inviare la notifica al suo proprietario, e non il server.

I fautori della privacy sostengono che il sistema decentralizzato è il più sicuro, perché il server funge esclusivamente da messaggero e non tiene un registro dei codici che corrispondono ai cittadini, per quanto anonimizzati. Il pericolo, sostengono, è che se i codici sono univoci non è impossibile risalire alle identità dei cittadini. L’ente europeo di garanzia della privacy, EDPB, in un documento di raccomandazioni pubblicato ieri ha scritto che “entrambi [gli approcci] possono essere considerati opzioni fattibili, se dotati delle adeguate misure di sicurezza, ciascuno con i suoi vantaggi e i suoi svantaggi”.

L’Italia, con Immuni, si sta muovendo verso un modello decentralizzato. Lo ha svelato per primo ieri il sito Agenda Digitale dopo la pubblicazione di un articolo a firma di Alessandro Longo e di Stefano Zanero, professore del Politecnico di Milano. Il Foglio ha confermato indipendentemente che gli sviluppatori della app Immuni intendono adottare un approccio decentralizzato, anche perché sarebbe l’unico compatibile con le iniziative di Apple e di Google. Ma, aggiungono le fonti del Foglio, anche su questo tema manca una decisione definitiva del governo.

Eugenio Cau