Si chiama
Immuni l'app scelta dal Governo italiano per il tracciamento dei contagi da coronavirus. A produrla è la software house Bending Spoons, che ha partecipato alla "fast call for contribution", avviata il 23 marzo scorso e chiusa il 26. I tempi stretti sono dovuti all'Unione Europea, che
aveva chiesto di fare in fretta.
L'Italia ha rispettato i tempi dettati da Bruxelles e ha sbrigato la procedura "diretta a individuare le migliori soluzioni digitali e tecnologiche disponibili per il monitoraggio attivo del rischio di contagio". Il Ministro per l'Innovazione ha creato un pool multidisciplinare di esperti che, tra i vari compiti, ha valutato le proposte.
Immuni di Bending Spoons è stata "
ritenuta più idonea per la sua capacità di contribuire tempestivamente all’azione di contrasto del virus, per la conformità al modello europeo delineato dal Consorzio PEPP-PT e per le garanzie che offre per il rispetto della privacy".
Il Commissario Straordinario
Domenico Arcuri ha pertanto firmato l'ordinanza che dà il via allo sviluppo dell'app italiana per il tracciamento coronavirus. O, più precisamente, l'ordinanza che dispone "di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società
Bending Spoons Spa".
In questi giorni dilagano le
polemiche sulla privacy del tracciamento. Vale quindi la pena fare il punto su quello che sappiamo dell'applicazione. Che per la verità è poco.
Immuni sarà basata sul tracciamento di prossimità via Bluetooth. E sulla volontarietà dell'adesione al tracciamento. Una scelta che va incontro alle richieste di chi teme i risvolti anti-privacy del proximity tracing.
Lo European Data Protection Supervisor, la "data protection authority" europea, aveva chiarito che la gestione di dati personali, e anche sensibili, può essere legale se "è necessaria per ragioni di sostanziale interesse pubblico". Com'è la lotta al contagio da COVID-19. In altri termini, la vigente normativa sulla tutela della privacy non è "un ostacolo ad agire" o "una scusa per non essere efficienti".
Ora che l'app è stata scelta è necessaria una
verifica da parte della Commissione Europea per sincerarsi che tutte le misure prese siano corrette. Ossia che siano temporanee, con scopi precisi, con un accesso limitato ai dati, con un controllo mirato su cosa verrà fatto con i dati e con le informazioni che potranno generare.
Fin qui la teoria. La Commissione, infatti non ha definito il toolbox da usare. Sopra abbiamo nominato il Consorzio PEPP-PT, sigla che sta per Pan-European Privacy-Preserving Proximity Tracing. Sono le sue linee guida quelle da seguire, che sono simili agli approcci seguiti in Sud Corea e soprattutto a Singapore.
A ogni smartphone viene associato - attraverso un'app - un
identificatore (ID) anonimo non riconducibile a un utente. Per ovvie questioni di privacy. Lo smartphone trasmette continuamente il suo ID, che viene raccolto dagli altri smarphone in prossimità che hanno la medesima app. Se due smartphone - e quindi due persone - restano abbastanza vicini per abbastanza tempo da provocare potenzialmente un contagio, conservano l'uno l'ID dell'altro. Ciascuno in un database locale, memorizzato sullo smartphone.
PEPP-PT sottolinea che vengono conservate solo queste informazioni. Non altre, come il luogo o il momento in cui le due persone sono venute a contatto. Le informazioni non possono essere consultate da nessuno e sono cifrate. E sono cancellate quando non sono più rilevanti epidemiologicamente. Ossia, pare di capire, quando l'incontro è avvenuto da un numero di giorni ben superiore al periodo di incubazione del coronavirus.
Nel momento in cui una persona viene rilevata come positiva al coronavirus, le autorità sanitarie la contattano e le inviano un codice (in pratica una password usa-e-getta) da inserire nell'app. Questa allora - in sintesi e semplificando - invia una notifica a tutte le persone, o meglio gli smartphone, che sono stati in contatto con il nuovo positivo. Tutto avviene in maniera anonima, attraverso gli ID. Quindi il positivo non sa chi potrebbe aver contagiato. E i potenziali contagiati non sanno chi potrebbe averli infettati. Il sistema funziona anche a livello internazionale.
Quello che resta da capire è come il lavoro di PEPP-PT possa essere messo in pratica e chi si occuperà della custodia dei dati. Due questioni non da poco.