Abbiamo dato un occhio al codice Android dell’App “Immuni”. Facciamo qualche doverosa riflessione.
Rilasciato su GitHub, il codice dell’App si trova qui.
In estrema sintesi, tutto ruota intorno alla API di Google, rilasciata in collaborazione con Apple, chiamata Nearby.EXPOSURE_NOTIFICATION_API – qui descritta nella sua essenza da Google stessa.
Da programmatore, per poter gestire questo evento, è necessario fare richiesta a Google e dimostrare di essere un ente pubblico che operi nel settore della salute. In pratica è una API “governativa”, rilasciata da un’azienda privata (Google) ad enti pubblici: ad esempio, il Ministero della Salute. Torneremo tra poco su questo aspetto.
Prima ci permettiamo una considerazione sull’algoritmo con cui viene implementata l’esposizione: si basa sull’uso del protocollo di rete BT a bassa potenza, e a quanto pare stima il tempo e la distanza del “contatto” con un altro device. Questa procedura non è priva di errori ed è basata su regole empiriche che sembrano non avere una solida base scientifica. Se dovessimo interpretare la scelta fatta con un piccolo esercizio di reverse engineering, potremmo dire che si tratta di un “esperimento”.
Chi poi andrà a giovare dell’esperimento, fatte le premesse di cui sopra, è tutto da vedere: sicuramente la commistione tra Aziende private e Governo Americano (o Governi… in generale) non riscuote, storicamente, grande fiducia nel pubblico, soprattutto a seguito del caso Snowden. Come riportato anche dal Washington Post (in questo articolo), per avere almeno una parvenza di garanzia che il Governo USA non utilizzi i dati di raccolta per collezionare enormi database di “prossimità” dell’utenza, diverse entità giuridiche dedicate alla tutela della Privacy si sono già mosse per ricevere almeno qualche rassicurazione in merito ad un progetto di larga scala che è tuttora in una fase piuttosto “fluida” – in termini di competenze tra le parti.
Il sistema di Immuni, tecnicamente, è implementato dichiaratamente come “anonimo” e “non geolocalizzato”. L’unica informazione “cluster” geografica che viene richiesta è la regione/provincia in cui si vive. Di fatto è un modo per tracciare: sicuramente non è, però, un modo di tracciare “invasivo”.
La criticità è spostata sulla parte filosofica: rilasciare un applicativo “open source” a cui manca però la tecnologia principale rende praticamente inutile il rilascio, perché la responsabilità dell’ownership dell’informazione di “contagio” è stata spostata in toto ad una struttura privata che dialoga con apparati governativi, tra l’altro non europei – per ora.
Per dare una nota di colore, l’idea che internamente stavamo maturando in N3… era proprio quella di fare una nostra versione di immuni “garantita”, in cui avremmo rimosso la richiesta della residenza, ad esempio.
Questo, ovviamente, è impossibile per il motivo sopracitato.
Tecnicamente, la cosa può destare preoccupazioni complottiste per un solo motivo: il governo USA può utilizzare questa base di dati per effettuare controlli e applicare policy di ingresso/uscita dal territorio americano e non solo. Approvando l’uso di questa API il telefono potrebbe segnalarvi a insaputa dell’utente, potrebbero girare sul dispositivo applicativi di controllo. In quel caso potrebbero essere installati dei controller – ad esempio – negli aeroporti o in altri luoghi pubblici per vietare l’accesso a strutture se doveste risultare “esposti”, per il Covid… o per altro, in generale.
Difficile sostenere una posizione concreta oltre alla risposta puerile, speso utilizzata nel dialogo attuale in merito, sintetizzata in “hai autorizzato *inserire social network a piacimento* per tutto e adesso ti fai problemi per Immuni!!”.
Mediaticamente, il rilascio “open source” del codice a queste condizioni sembra essere un tentativo di coinvolgere l’emotività del pubblico, pulendo apparentemente il processo dalla riservatezza che invece copre de facto la tecnologia interessante dietro il progetto.
Non siamo per il complottismo ma neanche per l’ottimismo digitale aprioristico, soprattutto quando sono coinvolti colossi di questa dimensione.
Chi vivrà, vedrà.