TRACCIAMENTO DI PROSSIMITÀ: SENSO E CONTROSENSO DI UN FALLIMENTO ANNUNCIATO
Di Benito Mirra, Information & Cyber Security Advisor
l’APP per il tracciamento di prossimità è scaricabile in Italia da qualche giorno. Il dibattito, sia in Italia che nel resto del mondo, rimane comunque confuso e acceso, gli approcci decentralizzati in collaborazione con Apple / Google contrastano con gli approcci “centrali”. La differenza principale è dove viene presa la decisione in merito agli avvisi. Negli approcci decentralizzati si analizzano e si decidono gli allarmi sui dispositivi degli utenti. Negli approcci centrali, ciò avviene su un server.
In una discussione pubblica le misure più “difficili” sono spesso viste quasi automaticamente come le più efficaci e quindi sensate. L’argomentazione secondo cui si tratta di una questione di vita o di morte porta all’ipotesi implicita che ogni limitazione dei diritti fondamentali debba ora essere accettata. Tuttavia, il diritto alla vita e all’integrità fisica non si applica senza restrizioni. Ad esempio, a causa della libertà personale e del diritto all’autodeterminazione, nessuno diventa un donatore di organi post mortem per impostazione predefinita, o la decisione sul limite di velocità sulle autostrade che pone una maggiore enfasi sulla libertà mobile rispetto alla protezione delle vite che potrebbero essere preservate con tale limite. Il diritto alla vita e all’integrità fisica non è quindi automaticamente “più forte” di tutti gli altri diritti fondamentali? Uno stato di diritto deve sempre bilanciarli attentamente e giustificare qualsiasi interferenza con un altro diritto fondamentale. I molteplici dibattiti continuano ad essere in grande fermento, le teorie della cospirazione aprono “scenari di guerra” intorno a questa crisi e ci costringono a dubitare della nostra umanità.
Quindi quale è l’approccio “giusto” per un’ APP-Corona in Italia ed in Europa? Quali sono i motivi per cui il tracciamento della posizione potrebbe essere completamente inadatto e quali metodi potrebbero essere utili per non perdere di vista lo scopo del tracciamento di prossimità.
Se un individuo viene trovato infetto al momento x, dovrebbe essere in grado di informare i propri contatti degli ultimi x – 14 giorni. Niente di più, ma niente di meno. L’obiettivo primario dovrebbe quindi essere quello di registrare i contatti in modo affidabile.
I termini “dati di localizzazione”, “dati di movimento” e “dati di contatto” creano confusione. Quindi, prima di tutto, dobbiamo chiarire di cosa stiamo parlando.
I dati di localizzazione: la persona Y era nella posizione A al momento X.
– Primo problema: la risoluzione tramite GPS è piuttosto imprecisa. L’accuratezza del GPS semplicemente non può dire se due persone si sono avvicinate abbastanza per infettarsi a vicenda o se si trovassero a diversi metri di distanza: ne conseguirebbero una moltitudine di falsi positivi.
– Secondo problema: Siccome ci muoviamo si crea una lunga lista per ogni persona. La lunghezza della lista è dettata dalla frequenza di rilevamento. Inoltre i dati raccolti sono legati ai dati personali. In una situazione di lockdown, anche la maggior parte dei dati raccolti sarebbe assolutamente irrilevante!
Conclusione: i dati sulla posizione sono semplicemente inadatti a causa della loro inesattezza. Solo questo li squalifica, senza discutere delle immense violazioni della protezione dei dati e dei diritti fondamentali.
Dati di movimento: nel periodo Δx, n persone si sono spostate dall’area A all’area B. Contrariamente ai dati di localizzazione, i dati di movimento sono quindi meno risolti spazialmente e temporalmente. Dovrebbero anche essere aggregati tra più persone, in modo che l’identificazione dei singoli movimenti non sia possibile. Scopo: questo tipo di dati è adatto per misurare l’efficacia delle misure per ridurre la mobilità, che in senso lato sono le comunicazioni che fanno i carrier alle autorità competenti, una soluzione che esiste da anni.
-Primo Problema: a seconda della risoluzione temporale e spaziale, questi dati possono eventualmente essere de-anonimizzati da un utente malintenzionato.
-Secondo Problema: i dati non sono adatti per identificare i contatti.
Dati di contatto: la persona a e la persona b hanno avuto contatti in x per un periodo superiore a Δx. Questa è l’unica metrica rilevante di cui si tratta davvero. Il luogo in cui questo contatto ha avuto luogo o dove a e b erano prima e dopo. Quindi perché questo dovrebbe essere registrato? Nota: tutto ciò che deve essere registrato sono le informazioni di contatto
Esiste poi un problema dell’archiviazione dei dati, molti concetti proposti prevedono l’archiviazione centrale dei dati di posizione o di movimento. Ciò consentirebbe di risparmiare un’enorme quantità di dati non pertinenti (nessun contatto). Inoltre, l’archiviazione centrale dei dati dovrebbe essere respinta per ovvi motivi, non solo siamo soggetti al GDPR, ma anche ai requisiti speciali per i dati sanitari sensibili.
L’ovvio requisito è mantenere tutti i dati decentralizzati e anonimi che non consenta la decodificazione. Ne risultano i seguenti requisiti:
- Decentralizzazione: ogni persona raccoglie dati solo per se stessi, che non vengono trasmessi automaticamente.
- anonimato:
- I dati raccolti da ciascuna persona non sono adatti per la decodificazione di altri.
- I dati raccolti da ciascuna persona non sono adatti per la decodificazione della persona stessa.
- Economia dei dati: solo in caso di infezione una persona può trasmettere i propri dati. Anche in questo caso, i dati non rivelano né l’identità della persona infetta né l’identità delle loro persone di contatto.
La tecnologia da utilizzare si chiama Bluetooth Low Energy Beacon. Il Beacon è un messaggio di trasmissione che può essere inviato e ricevuto senza previo accoppiamento o simili. Non è necessario che il mio cellulare si apra mediante accoppiamento o aree di attacco speciali simili.
Nel caso proposto, i dispositivi invierebbero regolarmente (cambiando) un codice e non si preoccuperebbero più se e chi lo ha ricevuto. Inoltre, quando ricevono un Beacon, determinano solo la potenza del segnale e, se necessario, salvano il codice in un database. Entrambe le interazioni sono così strette e poco complesse che non dovrebbe offrire alcuna superficie di attacco significativo. Sottolineo dovrebbe, perché le implicazioni sulla sicurezza sono molteplici. La situazione sarebbe diversa con un’interazione più complessa tra i dispositivi, ma in questo caso non è necessario parlarne.
Per semplificare occorre fare alcune considerazioni:
- Il mio cellulare invia un codice casuale a intervalli regolari utilizzando il Bluetooth Low Energy Beacon. Questo codice deve cambiare regolarmente, ad es. Ogni 15-20 minuti.
- Se il mio cellulare riceve il codice di un altro cellulare, la distanza viene stimata in base alla potenza del segnale. Se la distanza è abbastanza piccola, il mio cellulare memorizza questo codice. Poiché il codice dell’interlocutore cambierà di nuovo presto, il mio cellulare non ha raccolto dati personali e non è in grado di rintracciare l’altra persona per molto tempo.
- Se mi viene diagnosticato un infetto, pubblico tutti i codici su un server centrale. Anche i codici di tutte le altre persone a cui è stata diagnosticata la diagnosi sono pubblicati qui.
- Tutti gli altri utenti scaricano regolarmente i codici pubblicati contrassegnati come “infetti”. Questi codici non contengono dichiarazioni sulla posizione, l’ora o le persone. Hanno solo un valore informativo per le persone con cui ho avuto contatti.
- Il confronto tra i codici pubblicati e quelli memorizzati localmente sul mio cellulare consente di calcolare la mia esposizione. È irrilevante se ho trascorso 10 o 20 ore con una persona infetta o con diverse persone infette. Anche questo non può essere ricostruito dai dati.
- Non ci sono dati sul server centrale su quali persone siano infette, dove fossero e quando, o chi abbiano incontrato dove.
Ciononostante, in questo modo disponiamo dei migliori set di dati di qualità, perché sono stati registrati solo i nostri contatti, i dati che contano davvero.
Non tutti abbiamo pero’ uno smartphone, per le persone senza smartphone, potrebbe essere utile una soluzione con codice QR, in cui la privacy delle persone potrebbe almeno essere garantita, ovviamente, il codice QR non ha la funzione di notifica: Tracking Infection Awareness Alert (IAA). Quindi i dati della massima qualità e significatività possono essere registrati in modo completamente anonimo e decentralizzato. Un meraviglioso esempio di come possiamo persino ottenere un risultato migliore senza una sorveglianza di massa centralizzata, e possiamo continuare a vivere rilassati e liberi, senza dover seguire la crisi autoinflitta dei diritti fondamentali della crisi CoronaVirus.
Possibile alternativa(?): forse un Certificato Blockchain come pass digitale epidemico. Con un certificato di situazione negativa al CoronaVirus garantito dalla blockchain, le persone testate dovrebbero essere in grado di partecipare di nuovo alla vita economica più rapidamente. Potrebbe essere quindi una soluzione con l’istituzione di un’infrastruttura per un “pass per la vaccinazione digitale CoronaVirus”. Questo per consentire a una persona di dimostrare di essere stata testata per il coronavirus Sars-CoV-2 e di continuare a partecipare regolarmente ai test. Le informazioni sui test dovrebbero essere “ancorate” in una blockchain e pseudonimizzate tramite un provider di identità pseudonimizzato, ed archiviate in cloud in conformità con il GDPR.
Lo Status di situazione negativa al “CoronaVirus”, che potrebbe essere verificata in modo affidabile con questo certificato, non dovrebbe essere utilizzato solo dal sistema sanitario, ma anche dall’economia. Stiamo parlando di controlli sul lavoro, quando inizieranno i voli nazionali/internazionali e quando si ritornerà a partecipare a grandi eventi. La presentazione di un indiscutibile risultato del test medico potrebbe servire da catalizzatore per riavviare la vita sociale e l’economia.
In sintesi un’ approccio centrale consente analisi più ampie della diffusione delle infezioni, questo è ciò che fa l’intelligenza nel server. In un approccio decentralizzato, invece, ciò accade al destinatario e il distributore centrale non scopre nulla su chi ha incontrato chi. Ma pare non ci sia più molto da decidere. Google/Apple hanno deciso la controversia definendo il quadro tecnico per lo scambio di dati tramite i loro sistemi operativi Android e iOS e quale dei due concetti fornisce supporto tecnico.
Naturalmente, occorre notare che basterebbero cambiamenti minimi per distruggere l’anonimato o il decentramento. Ad esempio, non modificare il codice regolarmente o raccogliere sempre tutti i codici centralmente. Rimane comunque un solo quesito: Ma questa APP può essere veramente distribuita solo su base volontaria? un fattore sarà decisivo: la psiche umana farà fallire le app di tracciamento volontario, perchè da un lato, c’è la persona infetta che ha installato l’app in una situazione in cui poteva promettere un vantaggio attraverso il suo utilizzo, vale a dire le informazioni sui contatti rilevanti con le persone infette. Ora riceve lui stesso il messaggio di essere infetto e il suo calcolo cambia improvvisamente, egli stesso non ha più alcun vantaggio nell’informare gli altri sul suo stato di infezione e deve anche considerare ulteriori rischi che derivano dall’operatore della APP, dalle agenzie governative o dalle persone di contatto che cercano di identificarlo nonostante l’anonimato dell’utilizzo della stessa APP.
Quindi, quanti utenti condivideranno queste informazioni così importanti per gli altri? L’APP può quindi essere disinstallata o il diritto di recesso (e quindi volontario) è scaduto con l’infezione? O ti “stacchi” anche disinstallandola, altrimenti non avresti “niente da nascondere”? Consideriamo il secondo tipo di utente, l’utente non infetto, che riceve un messaggio sul contatto con una persona malata e viene quindi chiesto di mettere in quarantena a casa. Il rispetto dell’accordo di quarantena è a sola discrezione dell’utente che ha scaricato l’APP, qui la promessa di anonimato dell’ APP ha effetto per la seconda volta.
Tutte queste domande dimostrano la resilienza di uno stato costituzionale libero, non il tasso di utilizzo di un’APP di monitoraggio volontaria, Oppure, viste le tante incertezze e polemiche unite ad una adesione bassissima “io speriamo che me la cavo”.