Che fine ha fatto Immuni

Lo sviluppo dell'app per il tracciamento dei contatti è in ritardo a causa di contrattempi e ripensamenti da parte del governo, e non è chiaro quando arriverà

(ANSA)
(ANSA)

Il commissario straordinario per l’emergenza sanitaria, Domenico Arcuri, ha confermato che l’applicazione Immuni per il tracciamento dei contatti sarà pronta “a cavallo della fine del mese”, e non nei primi giorni di maggio come aveva invece annunciato lo scorso aprile. La creazione dell’app, che negli intenti dovrebbe contribuire a ridurre la diffusione dell’epidemia da coronavirus in Italia, è in sensibile ritardo a causa di alcuni tentennamenti del governo e richieste di approfondimenti tecnici e burocratici da parte di istituzioni e organismi di controllo.

Tracciamento dei contatti
Durante un’epidemia, il tracciamento dei contatti (“contact tracing”) è utile per identificare le persone che potrebbero essere state infettate da un contagiato. È un lavoro delicato che viene svolto intervistando le persone risultate positive al coronavirus, con l’obiettivo di ricostruire con quali individui siano entrate in contatto e siano quindi state esposte al rischio del contagio. L’operazione richiede tempo e personale adeguatamente formato, risorse che scarseggiano durante una pandemia.

Per attenuare il problema, negli ultimi mesi sono state proposte e sperimentate in giro per il mondo applicazioni che sfruttano varie soluzioni tecnologiche e che dovrebbero consentire di effettuare un tracciamento dei contatti più capillare e soprattutto quasi automatico. Molte di queste soluzioni prevedono l’utilizzo di applicazioni per smartphone pensate per verificare periodicamente se si sia stati in contatto con qualcuno, poi risultato positivo al coronavirus.

L’effettiva utilità di questi sistemi non è ancora completamente chiara, ma le prime esperienze in alcuni paesi asiatici come la Corea del Sud hanno dato qualche risultato positivo, sollevando però numerose preoccupazioni per la privacy. L’interesse per le app per il tracciamento dei contatti è aumentato a metà aprile, quando Apple e Google hanno annunciato di essere al lavoro per inserire una sorta di standard nei sistemi operativi iOS e Android per semplificare la realizzazione delle app per il contact tracing.

Immuni
Il tracciamento dei contatti tramite applicazione in Italia dovrà essere svolto da Immuni, l’applicazione scelta dal governo lo scorso 16 aprile e che è stata proposta da Bending Spoons, azienda con sede a Milano e con una forte presenza nel mercato delle app con alcuni successi nazionali come “Live Quiz” e numerose altre applicazioni di successo sul mercato internazionale. L’app è sviluppata in collaborazione con il Centro Medico Santagostino (CMS), che negli ultimi anni ha aperto numerosi ambulatori in Lombardia e a Bologna, offrendo servizi sanitari a prezzi contenuti e con un approccio orientato sul digitale per la gestione dei pazienti (prenotazioni, pagamenti, assistenza online e cartelle cliniche).

L’idea dietro Immuni ricalca quella prevalente per il tracciamento digitale dei contatti. Tramite l’app, ogni smartphone emette periodicamente un codice identificativo univoco (ID) e anonimo, che può essere captato dagli altri smartphone che impiegano la stessa app nelle vicinanze, entro qualche metro. La trasmissione dei dati avviene tramite una variante della tecnologia Bluetooth (BLE), simile a quella che impieghiamo quando colleghiamo le cuffie senza fili allo smartphone. Se uno dei proprietari dell’app segnala di essere risultato positivo al coronavirus, il sistema consente di avvisare le persone di cui era stato in prossimità nei giorni precedenti, così che queste sappiano di poter essere state contagiate (scegliendo così magari di restare a casa anche se non hanno sintomi, e di consultare il proprio medico).

Stando alle informazioni circolate finora, Immuni utilizzerà solamente il Bluetooth e non terrà traccia dei propri spostamenti tramite il GPS. Ogni smartphone manterrà in un registro interno, non condiviso con altri, gli ID captati dai cellulari nelle sue vicinanze. Non è ancora chiaro come gli utenti che scopriranno di essere positivi segnaleranno la loro condizione, né se ciò che dichiarano sarà verificato dalle autorità sanitarie prima di essere indicati come positivi al coronavirus.

Il sistema è efficace solamente se un’ampia porzione della popolazione installa e utilizza l’applicazione, e per questo sarà necessaria una campagna di promozione e sensibilizzazione sul tema, sulle cui modalità non ci sono ancora informazioni.

La scelta di Immuni
Negli ultimi giorni sono emersi dettagli sulle modalità che hanno portato il governo a scegliere Immuni, accantonando le altre proposte ricevute, e poi ad accumulare i ritardi.

A fine marzo la ministra dell’Innovazione, Paola Pisano, aveva avviato un “bando rapido” per l’identificazione della app da usare per il contact tracing: l’idea era agire rapidamente in una fase in cui l’Italia era in piena emergenza sanitaria con ospedali affollati di malati di COVID-19 e terapie intensive oltre la loro capacità.

Ricevute le candidature, Pisano aveva provveduto a istituire una “task force” di 74 esperti, suddivisi in diversi gruppi, con il compito di valutare le proposte e di fornire indicazioni per la scelta dell’app da fare sviluppare. Anche in questa fase era stata evidenziata l’importanza di agire celermente, ma molti osservatori avevano sollevato dubbi circa i tempi, considerato il grande numero di esperti convocati per lavorare alla selezione. Dopo alcuni ritardi, a metà aprile c’è stata l’accelerazione con l’annuncio di Arcuri sulla scelta di Immuni, che ha però spiazzato alcuni degli esperti che aveva scelto Pisano.

Le relazioni preparate dai gruppi di lavoro avevano fornito infatti indicazioni più caute, e consigliato di non seguire un solo approccio per lo sviluppo dell’applicazione. Per farsene un’idea è sufficiente consultare le loro relazioni, rese pubbliche in un archivio online (GitHub), nelle quali si suggeriva di scegliere due applicazioni, in modo da avere una soluzione di riserva nel caso ci fossero stati problemi con la prima.

Nella relazione “Impiego di tecnologie di digital contact tracing” il gruppo di lavoro numero 6 aveva indicato esplicitamente la necessità della ridondanza:

Al fine di poter adottare la soluzione tecnologica più efficace per il contact tracing quale componente importante dell’insieme di misure che devono essere messe in campo per la gestione della situazione emergenziale e post-emergenziale, riveste particolare importanza un processo attento ancorché veloce di validazione e messa in esercizio della soluzione tecnologica prescelta, che garantisca il raggiungimento degli obiettivi previsti. Per questa ragione, è opportuno che il processo di implementazione preveda il test in parallelo delle due soluzioni tecnologiche individuate: Immuni, come soluzione che appare all’esito di questa prima valutazione più adeguata e CovidApp, come una buona soluzione alternativa e/o di riserva.

La proposta era sviluppare e sperimentare entrambe le applicazioni, in modo da valutarne pregi e difetti e poter poi puntare su quella più promettente. La relazione segnalava comunque uno stato di sviluppo in fase più avanzata di Immuni rispetto a CovidApp, ma non escludeva che entrambe potessero essere sottoposte a una fase di test di una decina di giorni prima di procedere con la scelta. Tutto questo avveniva nei primi giorni di aprile, quando ancora il governo sosteneva che si potesse realizzare un’applicazione in tempo per l’avvio della cosiddetta “fase due”, iniziata lo scorso 4 maggio. Le cose sono andate evidentemente in modo diverso, non essendo a oggi ancora disponibile un’app per il tracciamento dei contatti.

Il bando rapido indetto da Pisano aveva portato alla presentazione di oltre 300 proposte in un paio di giorni, rapidamente valutate e scremate fino ad arrivare a 15 potenziali candidate. I gruppi di lavoro avevano poi lavorato alla valutazione di ogni proposta seguendo diversi criteri, dalla realizzazione in tempi certi alle tecnologie utilizzate, arrivando infine a cinque candidate:

Immuni, di Bending Spoons con la collaborazione della società Geouniq specializzata in sistemi di geolocalizzazione e del Centro Medico Santagostino;
CovidApp, frutto di una collaborazione tra informatici e basata su codice aperto e disponibile a tutti;
SafeTogether, sostenuta da Microsoft;
TrackmyWay, realizzata dall’azienda lombarda Antares Vision specializzata in tecnologie GPS;
ProteggInsieme, proposta da Whatif e con una impostazione che ricalca l’app utilizzata con esiti alterni a Singapore e che si chiama TraceTogether.

Tempi
Valutato lo stato di avanzamento dei lavori e la qualità delle soluzioni proposte, gli esperti avevano infine scelto Immuni e CovidApp, consigliandone lo sviluppo in parallelo per avere appunto una soluzione di scorta. L’ipotesi era realizzare versioni preliminari delle app entro una ventina di giorni per i primi test, seguite da prove aperte a specifici gruppi di persone (come il personale della Protezione Civile) in zone geografiche limitate.

Il 16 aprile era però diventato evidente che Pisano avesse intenzione di selezionare una sola applicazione, forse allo scopo di accorciare i tempi. Tra le due opzioni fu quindi scelta Immuni, con la conferma da parte di Arcuri nella serata dello stesso giorno.

Ritardi
Lo sviluppo di Immuni sta procedendo a rilento, rispetto a quanto prospettato dalle relazioni degli esperti, a causa di diversi approfondimenti tecnici che ha voluto svolgere il governo e che sembra fossero stati sottovalutati in una prima fase. Fino a quando non saranno decise funzioni e specifiche dell’app, Bending Spoons non potrà completare lo sviluppo del sistema.

I ritardi si sono accumulati quando è diventato evidente che il governo non avesse ancora le idee chiare su come procedere per assicurare la sicurezza del sistema, sia dal punto di vista informatico sia della privacy, considerato che si dovranno gestire informazioni sulla salute delle persone.

Dopo alcuni confronti interni si è deciso di coinvolgere le due società pubbliche Sogei e PagoPa, per cercare di mantenere il più possibile il controllo dei dati interno allo Stato.

Sogei (Società generale d’informatica) è controllata dal ministero dell’Economia e si occupa dello sviluppo dei sistemi informatici per la pubblica amministrazione, come per esempio il recente sistema per il cosiddetto “730 precompilato”. La società dovrebbe occuparsi della gestione dell’infrastruttura su cui funzionerà Immuni, assicurandosi che gli smartphone ricevano periodicamente gli aggiornamenti sugli utilizzatori dell’applicazione risultati positivi, in modo che gli altri utenti entrati in contatto con loro possano ricevere avvisi sull’essere stati esposti.

PagoPa avrebbe un ruolo di coordinamento dell’iniziativa, soprattutto per quanto riguarda le risorse da destinare alla creazione dell’infrastruttura per gestire l’applicazione da parte dei soggetti coinvolti.

Sogei e PagoPa dovrebbero consentire di mantenere interna allo Stato la gestione dei dati, offrendo quindi qualche garanzia in più per la privacy agli utenti, come richiesto anche dal Garante per la tutela dei dati personali. Arcuri ha inoltre spiegato che il responsabile unico nella gestione dei dati personali sarà il ministero della Salute, e che ogni informazione sarà rimossa alla fine dell’emergenza sanitaria.

Cosa dice Paola Pisano
Negli ultimi giorni la ministra Pisano ha partecipato a un’audizione del Comitato parlamentare per la sicurezza della Repubblica (COPASIR), l’organo del Parlamento che si occupa di controllare le attività dei servizi segreti nel nostro paese. Pisano ha spiegato che il governo ha scelto Immuni – tralasciando CovidApp nonostante i consigli degli esperti – perché aveva ritenuto che questo potesse ridurre i tempi e anche i costi dell’iniziativa. Pisano ha aggiunto che questa scelta era stata condivisa dal ministero della Salute e da quello dell’Interno, con il coinvolgimento di Gennaro Vecchione, a capo del Dipartimento delle informazioni per la sicurezza (DIS).

Vecchione, però, ha fornito al COPASIR una versione diversa: ha sostenuto di essere stato interpellato quando la scelta per Immuni era già stata fatta. Il suo coinvolgimento era inoltre avvenuto per progettare la fase di valutazione della sicurezza dell’applicazione, in modo da verificare l’eventuale necessità di nuovi interventi per renderla più sicura dagli attacchi informatici.

La prossima settimana il COPASIR riascolterà nuovamente Pisano e Vecchione per confrontare le loro versioni, e ricevere qualche spiegazione in più sulle informazioni contrastanti che hanno fornito.

Modifiche in corsa
Molti osservatori hanno fatto notare come nelle ultime settimane si siano accumulati numerosi ritardi su Immuni, dovuti per lo più al cambiamento di diverse posizioni da parte del governo. Per giorni si è discusso se il sistema dovesse essere centralizzato, con un registro degli utenti collegato alla app, oppure decentralizzato e quindi con la quasi totalità dei dati conservati sui singoli smartphone. La scelta è infine ricaduta su questa seconda opzione, ritenuta più pratica e sicura per la privacy, ma questo ha comportato nuove valutazioni su chi dovesse essere il gestore dei dati.

I ritardi sono anche stati dovuti ad alcune novità tecniche emerse nelle ultime settimane, soprattutto in seguito al lancio del progetto di Apple e Google. Le modifiche ai loro sistemi operativi renderà più semplice l’impiego del Bluetooth e quindi la possibilità delle varie versioni della app di dialogare tra loro, anche se installate su sistemi operativi diversi. Pisano ha confermato che Immuni impiegherà le soluzioni che Apple e Google stanno perfezionando.

Inizialmente Bending Spoons aveva aderito all’iniziativa Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), una collaborazione avviata a livello europeo per stabilire soluzioni comuni per il contact tracing, con una particolare attenzione alla privacy degli utenti. Il progetto era stato promosso da Chris Boos, imprenditore nei gruppi di consulenza del governo tedesco per la digitalizzazione della Germania, ma nelle ultime settimane ha perso credibilità e rilevanza in seguito a diverse accuse di scarsa trasparenza. Bending Spoons non compare più nella pagina dei partner dell’iniziativa, ma ha mantenuto contatti con Boos. Immuni è infatti basata in parte sulle tecnologie Bluetooth per il tracciamento dei contatti realizzate da Arago, una società con sede in Germania fondata dallo stesso Boos.

L’adesione a PEPP-PT era stata valutata molto positivamente dai gruppi di esperti che dovevano valutare le applicazioni, perché almeno sulla carta sembrava offrire un sistema condiviso tra diversi paesi per il tracciamento dei contatti. Al momento della stesura delle loro relazioni non erano ancora emerse le critiche nei confronti di Boos per scarsa trasparenza, ma il fatto che Immuni avesse legami con una azienda del promotore dello stesso PEPP-PT ha fatto sollevare qualche perplessità.

Cosa succede adesso
Dopo avere dichiarato che Immuni sarebbe stata pronta per i primi giorni di maggio, ultimamente Arcuri ha sostenuto che l’applicazione sarà messa a disposizione alla fine del mese, ma non ha fornito altri dettagli. In questo momento Bending Spoons e i suoi partner sono in attesa di avere indicazioni più chiare dal governo sulle funzionalità che dovranno essere sviluppate all’interno dell’applicazione: in assenza di queste informazioni, non c’è modo di proseguire nello sviluppo.

I punti ancora in sospeso continuano a essere molti e il governo non sta fornendo informazioni o aggiornamenti puntuali: non si sa di preciso come funzionerà il sistema decentralizzato, non è chiaro se spetterà ai singoli utenti segnalare di avere scoperto di essere positivi e come, non ci sono dettagli su eventuali coinvolgimenti del Sistema sanitario nazionale per gestire le segnalazioni e non si sa quali altre funzioni potrà offrire l’applicazione sfruttando per esempio le altre infrastrutture informatiche della pubblica amministrazione (per esempio tramite SPID).

Qualsiasi scelta tecnologica sarà fatta, il tracciamento dei contatti potrà comunque funzionare solo se il governo elaborerà un piano coerente ed efficace. L’esperienza della Corea del Sud ha mostrato come il contact tracing sia una risorsa utile solo se integrata in una strategia molto più ampia per rilevare i contagi. Come ha segnalato in più occasioni anche l’Istituto Superiore di Sanità, che fornisce consulenze scientifiche al governo, un’applicazione deve fare da complemento a una struttura in grado di effettuare molti test tra la popolazione per rilevare i casi positivi e andare poi alla ricerca delle persone con cui sono venute in contatto, allo scopo di ridurre il più possibile le nuove catene dei contagi.