Mercoledì 8 aprile 2020, alle 12, si è svolta l’audizione di Soro e Pisano in Commissione Trasporti sulle Tecnologie per contrastare il Coronavirus. Nel corso delle audizioni sono stati elencati sette principali requisiti che dovranno essere soddisfatti dalle app consigliate istituzionalmente a supporto del contenimento del virus.
Ecco i sette requisiti e le soluzioni adottate da Digital Arianna per soddisfarli.
1. Adesione volontaria e consapevole
[Registrazione audizione Pisano: 5:35:00] Il Ministro sottolinea l’importanza di lasciare libertà ai cittadini di utilizzare l’applicazione, anche al fine di accrescerne la consapevolezza.
diAry estende il concetto di volontarietà non solo all’atto di scaricare e installare l’applicazione, ma anche al suo abituale utilizzo, facendo leva sulla responsabilità individuale e sulla consapevolezza dell’impatto sociale dei propri comportamenti. diAry offre infatti un ausilio strettamente personale, dotato di un’interfaccia che consente all’utente di aggiungere annotazioni spontanee e di esplorare tutti i dati conservati localmente. L’applicazione attribuisce inoltre un indice di valore sociale all’utilizzo spontaneo del servizio di tracing e al rispetto delle regole di lockdown. Tale indice comporta il riconoscimento di WOM, certificati di impegno sociale.
2. Correttezza del servizio
[Registrazione audizione Pisano: 5:35:35] Il cittadino deve poter confidare sulla correttezza del servizio.
Il servizio offerto da diAry è ad uso strettamente personale. L’applicazione non fa nulla che non sia esplicitamente scelto dall’utente, conserva dati e annotazioni solo in locale e li rende disponibili solo all’utente che ne è titolare. La correttezza del servizio e la corrispondenza tra specifica dichiarata e implementazione sono garantite dalla natura open source del progetto, che consente a chiunque di verificarli direttamente.
3. Gestione pubblica e codice aperto
[Registrazione audizione Pisano: 5:35:55] È importante che l’intero sistema integrato di contact tracing sia gestito da uno o più soggetti pubblici e che il suo codice sia aperto (open source), in maniera tale che tutti possano studiarlo ed eventualmente proporre modifiche.
diAry è un progetto open-source dell’Università di Urbino, che si avvale del supporto tecnico di un proprio spin-off, DIGIT srl, società benefit. Il progetto è aperto alla partecipazione della comunità scientifica e di volontari. I partecipanti al progetto sono elencati nella home page. I test, in corso dal 23 marzo 2020, coinvolgono 250 degli oltre 1000 volontari che si sono offerti spontaneamente. Le caratteristiche di ogni release e l’esito dei test sono pubblici. Il modello gestionale di diAry prevede che il contact tracing sia gestito da una o più autorità sanitarie. Il codice sorgente è già stato pubblicato su GitHub.
4. Dati anonimi
[Registrazione audizione Pisano: 5:36:20] “… dati sufficientemente anonimi da impedire l’identificazione dell’interessato.”
diAry non richiede alcuna forma di registrazione e i dati non lasciano mai lo smartphone dell’utente. L’utente è invitato a mettere i dati raccolti a disposizione dell’autorità sanitaria solo nel caso in cui, risultato positivo al test, sia chiamato a contribuire attivamente al contenimento del contagio. Anche in questo caso, il meccanismo di contact tracing di diAry non prevede che i dati dell’utente siano diffusi e resi accessibili a terzi, neppure in forma anonima.
5. Cancellazione dati non più utili
[Registrazione audizione Pisano: 5:36:35] “…raggiunta la finalità perseguita, tutti i dati ovunque e in qualunque forma conservati, con l’eccezione di dati aggregati e pienamente anonimi a fini di ricerca o statistici, siano cancellati con conseguente garanzia assoluta per tutti i cittadini di ritrovarsi, dinanzi a soggetti pubblici e privati, nella medesima condizione nella quale si trovavano in epoca anteriore all’utilizzo della app di contact tracing.”
diAry conserva i dati solo sullo smartphone dell’utente. A meno che questi non decida di esportarne una copia per elaborarli o conservarli, i dati gestiti dall’applicazione vengono cancellati dopo 30 giorni. La durata della finestra temporale di tracciamento può essere adattata per esigenze epidemiologiche, senza variare la logica di raccolta e cancellazione dei dati.
A fini statistici ogni utente può liberamente decidere di fornire in modalità anonima dei dati statistici aggregati e offuscati (riferendoli solo al centroide dei punti raccolti nel corso della giornata, approssimato a circa 3 km di precisione tramite geohashing). Tutte le statistiche contribuiscono ad un open data set reso disponibile alla comunità scientifica per scopi di analisi e ricerca. La natura aperta del data set garantisce anche che i dati statistici non offrano vantaggi competitivi ai gestori del sistema.
6. Efficacia sul piano epidemiologico
[Registrazione audizione Pisano: 5:37:05]
diAry combina due tecnologie, per massimizzare l’efficacia del contact tracing e offrire massimo supporto al contenimento epidemiologico: GPS e bluetooth. Il servizio di localizzazione viene utilizzato da un servizio in background, che, quando attivato dall’utente, colleziona per lui tracce molto leggere degli spostamenti, senza interferire con il normale utilizzo dello smartphone. Le tracce si arricchiscono di nuovi punti solo a fronte di sensibili spostamenti, in modo da non acquisire punti durante la permanenza dell’utente in uno stesso luogo. In ogni momento l’utente può arricchire spontaneamente le tracce in tre modi: 1. etichettando luoghi abituali, 2. aggiungendo segnalazioni georeferenziate e marcate temporalmente di situazioni che ritiene rilevanti ai fini del contenimento del contagio, 3. acquisendo gli identificativi cifrati e le stime di distanza dei dispositivi Bluetooth che rileva, marcati geograficamente e temporalmente. L’acquisizione dei dispositivi Bluetooth decisa dall’utente viene automaticamente ripetuta tre volte a distanza di 1 minuto.
Tutte le informazioni restano sempre e solo sul dispositivo mobile dell’utente a sua esclusiva disposizione. Il meccanismo di contact tracing di diAry è basato su call to action selettive, lanciate dalle autorità sanitarie preposte al contenimento del contagio in base alle informazioni fornite dai soggetti positivi al test.
Ogni call to action contiene l’indicazione di uno o più luoghi e intervalli temporali, uno o più ID Bluetooth cifrati, le soglie di esposizione significativa e un indirizzo di call back. Le autorità sanitarie con competenze territoriali possono lanciare call to action firmate e cifrate, che vengono rese disponibili a tutte le installazioni dell’applicazione. Ogni istanza dell’applicazione scarica automaticamente solo quelle pertinenti (cioè riferite all’area di spostamento dell’utente) e le processa automaticamente decifrandole e confrontandole con le tracce locali, senza mai mostrarle all’utente. Solo se i criteri di esposizione superano le soglie stabilite dall’autorità sanitaria all’utente viene mostrato il contenuto del link di call back, con l’indicazione delle azioni da intraprendere o dell’operatore da contattare.
7. Minimizzazione rischio reidentificazione
[Registrazione audizione Pisano: 5:37:25]
L’applicazione ha solo un ID di installazione, utilizzato per il caricamento spontaneo di dati statistici aggregati. Alle tracce conservate sullo smartphone non è associato alcun identificativo e l’applicazione non ne prevede in alcun caso il caricamento in cloud.
Considerazioni ulteriori
Ci sono due ulteriori elementi che riteniamo opportuno sottolineare: la soluzione adottata deve fare il possibile per contenere il panico e non deve essere basata su una sola tecnologia.
Ottavo requisito: Contenere anche il panico
Benché non compaia tra i requisiti menzionati dal Ministro, diAry è stata progettata pensando ad un ulteriore requisito: minimizzare la diffusione di panico. Il meccanismo di contact tracing basato sulle call-to-action offre alle autorità sanitarie l’opportunità di proporre ai singoli utenti azioni mirate, che verranno presentate selettivamente solo ai soggetti che superano i criteri di rischio associati ad ogni call e senza rendere noti i criteri stessi. In tal modo si evita di allarmare la popolazione che non è stata esposta al rischio e non si alimentano campagne di diffamazione o disinformazione a danno di persone, luoghi o attività.
Non una sola tecnologia
Il Ministro Pisano, nel corso dell’audizione, ha prospettato una soluzione di contact tracing basata esclusivamente su tecnologia Bluetooth, che, qualora adottata in modo esclusivo senza essere integrare soluzioni tecnologiche complementari, fornirebbe solo alcune delle garanzie precedentemente descritte, impedendo ad esempio di circoscrivere nel tempo e nello spazio situazioni di contagio che hanno comportato rischi particolarmente alti e di contenerne gli effetti, o di tenere conto delle possibilità di contagio indiretto tra persone mai contemporaneamente presenti nello stesso luogo, causate dalla persistenza del virus sulle superfici.
diAry usa in modo complementare la geolocalizzazione e il Bluetooth ed è aperta all’integrazione di qualsiasi altra soluzione ritenuta utile ad incrementarne l’efficacia del contenimento nel rispetto della privacy.
1 commento
Non doveva essere disponibile dal 10 Aprile?
1 Trackback