Intervista al programmatore informatico siciliano Salvatore Sanfilippo, già esperto in materia di sicurezza. Operativa presumibilmente da fine maggio, l'applicazione utilizzerà l'interfaccia proposta da Google ed Apple
CATANIA – Salvatore Sanfilippo è un informatico siciliano. In passato si è occupato di sicurezza informatica, programmazione embedded e linguaggi di programmazione. Da dieci anni la sua occupazione principale è Redis, un database open source ad oggi tra i più utilizzati al mondo. Lavora per Redis Labs, società che sponsorizza il progetto Redis. In questa intervista abbiamo chiesto a Salvatore Sanfilippo cosa ne pensa dell’app Immuni e della questione della privacy.
A fine maggio dovrebbe essere operativa la tanto discussa app Immuni. Un app che si scarica volontariamente e che genera un codice numerico non legato all’identità; si basa sul modello decentralizzato di raccolta dati e non colleziona informazioni personali e dati di geolocalizzazione. Perché per alcuni potrebbe portare ad ipotetiche sorveglianze di masse e violazioni della privacy su larga scala?
“Se l’app sarà come hanno fino ad ora promesso sia il governo che gli sviluppatori del team di Bending Spoons, non ci dovrebbe essere alcun rischio. I punti fondamentali sono due, il primo è che l’app deve utilizzare l’interfaccia proposta da Google ed Apple, che protegge la privacy degli utenti; il secondo è che il cittadino deve essere assolutamente sicuro che quello che viene scaricato, quando si installa l’app, è davvero ciò che è stato promesso. A questo proposito esiste un modo di “firmare” l’app finale che arriva sul telefono che consente a chiunque (con le dovute capacità), di fare poi il processo di verifica, partendo dal codice sorgente dell’app che sarà disponibile, dicono, con licenza libera”.
A preoccupare molti è la questione privacy. Non sarebbe un atteggiamento ipocrita se pensiamo che oggi con tutte le app che usiamo e i social media condividiamo molti nostri dati personali?
“Purtroppo le preoccupazioni, sono in teoria fondate, per due motivi fondamentali. Uno ha a che fare con le motivazioni dei diversi attori, da una parte gli utenti e dall’altra lo Stato o le aziende private. Le aziende hanno meno interessi ad utilizzare le informazioni dell’utente per fini di tracciamento che lede la privacy dell’utente: ne risultano scandali dannosi, e non ha quasi nessuna utilità per una grande corporazione rivelare i tuoi contatti. L’interesse primario di queste aziende è sapere chi sei, profilarti, per poi mostrarti delle pubblicità consone. Al contrario, lo Stato, e in particolare alcuni suoi apparati, possono abusare di queste informazioni in assenza di regole, perché le aziende sono soggette alle regole dello Stato, ma lo Stato fa le sue proprie regole. E potrebbe, sventolando magari questioni di pubblica sicurezza, abusare di questi dati in maniera davvero pericolosa. C’è di più, la seconda questione, spinosissima, del fatto che i dati che attualmente mandiamo alle grandi corporazioni non sono allo stesso livello di dettaglio di quelle catturate da una ipotetica app centralizzata di tracciamento dei contatti. Tale app spedirebbe al server centrale informazioni dettagliate su tutte le persone con cui siamo venuti a contatto. Tali informazioni sono estremamente pericolose rispetto alle generiche informazioni di posizione spedite oggi ai gestori. In ogni caso, se è vero che Immuni userà invece un protocollo centralizzato, queste questioni non dovrebbero turbare il cittadino perché tale protocollo consente di tutelare questi aspetti fondamentali di privacy senza fidarsi del gestore dei dati. La sicurezza sta nel protocollo usato”.
Il tracciamento attraverso dei segnali Bluetooth di prossimità fra due telefoni e il diario clinico, sono le due principali funzionalità di Immuni. Possono le stesse essere efficaci ai fini di un tracing contact utile ed effettivo?
“Purtroppo è vero che c’è una tensione tra l’aggressività del tracciamento e l’utilità di questo. Ad esempio se io potessi abbinare alle informazioni di tracciamento via bluetooth, anche le informazioni di posizione dei telefoni, potrei dire grosso modo dove avvengono i contagi. Ad esempio il 20% negli ospedali, il 30% a scuola, e così via. Invece questo non sarà possibile perché l’interfaccia di programmazione proposta da Google ed Apple, se si attiva il tracciamento dei contatti, disabiliterà esplicitamente la raccolta di informazioni di tracciamento. L’altro vantaggio di un sistema centralizzato sarebbe quello di permettere alle autorità sanitarie di avere esattamente una figura chiara, per ogni infetto, della catena che ha portato ad infettarlo. Ad esempio a causa di A che ha infettato B a scuola che poi è andato a casa e ha passato il virus a C, che poi è andata a far visita a D. Questo non potrà essere fatto”.
C’è chi parla di biosorveglianza e big data per contrastare il virus, su modello coreano. Cosa pensi di questo approccio vs app di tracciamento?
“La bio sorveglianza su dati aggregati mi sembra una tecnica valida che può coadiuvare le altre misure. Un esempio è l’indice di mobilità dei vari Paesi pubblicato da Apple, che consente di avere una stima dei movimenti delle persone e correlarli alle epidemie. Altri tipi di bio sorveglianza con dati aggregati possono essere prodotti con i dati estratti dagli operatori telefonici. Tuttavia altri tipi di bio sorveglianza, come il tracciamento in tempo reale della posizione degli infetti, mi sembra davvero incompatibile con un Paese democratico ed evoluto nel fronte delle libertà civili come il nostro”.
ll nodo da sciogliere sembra essere questo: sistema PEPP-PT inizialmente era stato pensato per funzionare in entrambi i modi, mentre oggi cerca di andare verso un approccio centralizzato. Il sistema di Apple e Google invece nasce per essere usato solo in modo decentralizzato. Il problema è che tutte le applicazioni di contact tracing che non useranno il sistema di Apple e Google vanno incontro ad una serie di problematiche di implementazione.
“Esatto, il colpo di genio di Apple e Google è stato quello di risolvere un grave problema tecnologico (la gestione del Bluetooth), in maniera congiunta al protocollo di tracing proposto. Per cui o prendi tutto il pacchetto, la soluzione allo scambio degli ID bluetooth, ma anche la privacy avanzata fornita da questo protocollo, o ti ritrovi con il dover risolvere problemi tecnologici complicati senza l’aiuto di chi ha creato i sistemi operativi che girano sui telefoni. Io sono abbastanza confidente sul fatto che finiranno quasi tutti nell’utilizzare la soluzione proposta da Apple e Google.
Quale sarebbe la soluzione ideale, se ne esiste alcuno, che coniughi rispetto della privacy ed efficacia nel tracing contact?
“Purtroppo non c’è una soluzione ideale: i protocolli decentralizzati sono sicuri perché non richiedono che l’utente si fidi del gestore del servizio, per cui i dati non transitano mai fuori dal device dell’utente. Se si cercano compromessi, si abbassa il livello di sicurezza. Sono davvero due grandezze dominate da una reciproca tensione: la privacy e la raccolta di dati quanto più dettagliata. Tuttavia sono abbastanza convinto che i dati che Immuni riuscirà ad ottenere, sono i più importanti: sei stato a contatto con un infetto? Per quanto tempo e a che distanza? Qual è dunque la tua probabilità di aver contratto il virus? Queste informazioni dovrebbero già essere sufficienti a permettere ai cittadini e alle autorità di testare e isolare le persone potenzialmente positive. Forse più che tentare di avere informazioni più complete, sarebbe bello avere un programma affidabile di testing a tappeto di tutti quelli che l’app segnalerà come potenzialmente positivi, in modo che tutto questo sforzo sia davvero utile.
