Immuni, per chi riceve la notifica resta l’incognita. Il nostro test: privacy rispettata

Quanto a privacy, sul sito di Immuni si legge: “L’app non raccoglie dati che permettono di risalire alla tua identità. Non chiede, né è in grado di ottenere, il tuo nome, cognome, data di nascita, indirizzo, numero di telefono o e-mail. I tuoi spostamenti non sono tracciati né tracciabili in alcun modo”. 

Questo perché non dovrebbe geolocalizzare la posizione, ma registrare soltanto la vicinanza con altri telefoni (si legge: “l’app Immuni associa ad ogni smartphone un codice casuale che viene trasmesso ai dispositivi vicini tramite la tecnologia Bluetooth Low Energy”)

Per vedere con i nostri occhi tutto ciò che viene annunciato, abbiamo testato l’applicazione in un laboratorio informatico, usando dei software che sono in grado di capire quali dati raccoglie l’app, a quali server li invia, se in modo criptato o meno (prove effettuale il 4 giugno 2020, sulla versione per Android, nell’ambito delle funzioni legate alla registrazione dei contatti ravvicinati tra telefoni, non dell’invio dei dati da parte di chi risulta positivo, operazione non simulabile. La tutela di privacy e sicurezza dei dati, in ogni funzione dell’app, è stata comunque verificata anche analizzando il codice open source dell'app messo a disposizione alla data del test).

I risultati ci dicono che, al momento e almeno nella funzione di tracciamento dei contatti tra utenti, Immuni rispetta i livelli di sicurezza e tutela della privacy previsti e annunciati, rispettando anche le linee guida europee sulle app anti Covid-19. Ecco i risultati nel dettaglio.

• Raccolta dei dati: per quanto riguarda il tracciamento dei contatti l’app non richiede alcun permesso sospetto e non accede ad alcun dato personale, né sensibile. Le uniche informazioni che l’app consulta sono se il Bluetooth è attivo o meno (se non lo è, l’app non può funzionare) e la sua connessione a internet. All’utente viene richiesto di inserire manualmente solo la propria provincia di domicilio (per permettere al ministero della Salute di monitorare lo sviluppo dell’epidemia).
  
  L’app non accede alla posizione gps, né alla rubrica dei contatti, né alle email, né agli sms, né al calendario, né ai settaggi del telefono, né al registro delle chiamare, né ai file salvati, né alla fotocamera, né al microfono, né ai dettagli della propria connessione internet, né a eventuali sensori integrati nel telefono, né ad alcuna informazione che possa rappresentare un rischio per la privacy.
  
  Il codice dell’app non include alcun tracker, cioè alcun sistema di monitoraggio dell’utilizzo che viene normalmente utilizzato da altre app.
  
  Gli unici dati inviati all’esterno a un server sono regione e provincia di provenienza che si inseriscono per attivare l’app, il dato relativo all’attivazione o meno del Bluetooth e il dato relativo all’indirizzo IP della connessione internet (che, stando a quanto indicato nell’informativa sulla privacy, non viene salvato; ma questo non è verificabile per noi). I dati (anonimi, sotto forma di codici) sui contatti ravvicinati e prolungati avuti rimangono negli smartphone, non vengono inviati al server nella fase di tracciamento da noi indagata.

• Server: l’unico al quale Immuni invia i dati sui contatti avuti (ma in caso di positività e se l’utente vuole) risulta situato in Italia e gestito dalla controllata statale Sogei Società Generale d'Informatica S.p.A., come specificato nella documentazione dell’app. Nessun dato viene inviato a server di terze parti. Tutte le comunicazioni al server esterno sono criptate, cioè rese non collegabili al relativo utente, con protocollo TLS 1.2, considerato uno degli standard più sicuri per la crittografia. Nessun dato viene inviato a server di terze parti.
  
  
• Standard di sicurezza: Immuni utilizza lo standard di sicurezza “certificate pinning” che impedisce l’inserimento, da parte di hacker, di dati falsati nel flusso di comunicazione tra gli smartphone e i server e viceversa. Cioè sostanzialmente c’è la garanzia che nella comunicazione che si instaura tra device e server non ci può essere alcuna intromissione di finti dati da parte di hacker, in quanto il “certificate pinning” è in grado di filtrare i dati in modo che passino solo quelli autentici.
  
  
• I codici identificativi: i cosiddetti rolling proximity identifier che uno smartphone scambia in caso di vicinanza prolungata con un altro smartphone cambiano ogni 12 minuti. Questo è un accorgimento che rende più sicura la privacy perché riduce ulteriormente la possibilità di collegare in qualche modo questi codici ai relativi utenti. Quindi, anche entrando in possesso in qualche modo dei codici che i telefoni si scambiano, non c’è modo di risalire agli utenti a cui appartengono, appunto perché questi codici cambiano continuamente. Gli identificativi, inoltre, vengono generati da Immuni tramite una relativa chiave che, a sua volta, viene cambiata giornalmente e che non viene condivisa all’esterno.
  
  
• Google e Apple non acquisiscono dati: come detto, i dati anonimi relativi ai contatti tra le persone rimangono nei telefoni, quindi non vanno a finire in nessun server nella fase di tracciamento. Inoltre lo scambio di questi dati – che avviene, sì, grazie agli ultimi aggiornamenti di Apple e Google di iOS e Android – avviene in modo criptato, per garantire maggiore sicurezza.

Rimane al momento esclusa l’analisi di cosa succede quando si segnala la propria positività al coronavirus: sulla base dei risultati visti sulla parte di tracciamento, ci possiamo ragionevolmente aspettare che anche in questo caso l’app rispetti quando indicato nella documentazione e che quindi invii al server di Sogei solo la propria chiave anonima di positività (questo passaggio è necessario, come spieghiamo più avanti in “Come funziona?”, perché  così tutti gli smartphone che utilizzano Immuni possono periodicamente consultare queste chiavi sul server e verificare se c’è una corrispondenza tra i codici dei positivi e quelli registrati nel proprio telefono delle persone con cui si è stati a contatto; è in questo caso che parte l’eventuale notifica di contatto a rischio).

Abbiamo analizzato con i nostri esperti del settore giuridico l’informativa sulla privacy, che durante l’installazione viene chiesto di leggere: fatelo, è importante per capire quali dati personali verranno trattati, con che finalità e per quanto tempo verranno conservati.

L’informativa è piuttosto chiara, alcune lacune le evidenziamo, ma in generale possiamo dire che non ci sono particolari problemi. Ecco alcune informazioni importanti che contiene:

• il titolare del trattamento dei dati non è una società o un ente privato ma il ministero della Salute: è il dicastero a stabilire “come” e “perché” trattare i nostri dati personali;
  
  
• i dati personali verranno utilizzati al solo fine di allertare gli utenti che hanno avuto un contatto a rischio con altri utenti risultati positivi al virus e tutelarne la salute attraverso le misure di prevenzione (che però, come evidenziamo più avanti, per ora non è chiaro in cosa consistano precisamente) e, in forma anonima e aggregata, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica. È una formulazione un po’ generica e ci aspettiamo maggiori dettagli;
  
  
• a seguire vengono elencate le tipologie dei dati raccolti, le specifiche finalità di trattamento e i tempi di conservazione: ad esempio, a tutti coloro che scaricano la app viene chiesta la provincia di domicilio, che serve al ministero della Salute per monitorare in che aree si sviluppa la pandemia e che verranno conservati non oltre il 31 dicembre 2021. Poi si entra nel dettaglio delle altre tipologie di dati che verranno richiesti a seconda della situazione.

  La categorizzazione dei dati che verranno trattati, con le rispettive finalità e tempi di conservazione è apprezzabile. Mancano però alcune informazioni importanti, sostanziali, più che formali. Ad esempio, non vengono chiarite le distanze e i tempi di contatto con un positivo per aggiudicarsi una notifica di rischio; non viene chiarito quanto tempo prima della comparsa dei sintomi o del tampone dovremo aver avuto contatto con un positivo per essere avvertiti del rischio con la notifica. Considerando la sensibilità dei dati trattati e i diritti in gioco, la trasparenza non è mai troppa: più dettagli vengono resi noti, più efficaci possono essere i controlli e meno spazio si presta a eventuali violazioni.
  
  

• per come è stato strutturato il meccanismo di trasmissione dei dati, la volontarietà, cioè il fatto che l’utente faccia sempre le varie operazioni in modo volontario e consapevole, è assicurata: una volta risultato positivo, la notifica agli altri telefoni, infatti, partirà solo nel caso in cui l’utente confermi tale volontà nell’app stessa (con un tap);
  
  
• in ogni momento, l’utente può far cessare il trattamento disinstallando l’app. Può anche cancellare tutti i codici memorizzati sul proprio dispositivo andando nelle impostazioni dei propri telefoni.

Il Garante per la protezione dei dati, che dal principio ha seguito la realizzazione di questa app, ha dato via libera a Immuni.

Nonostante il parere positivo, al lancio dell’applicazione, ha richiesto delle misure specifiche in più per rafforzare la sicurezza dei dati degli utenti (chiedendo di adottarle nella fase di sperimentazione). E Immuni sembra averle in effetti applicate.

Tra le altre cose, l’Autorità ha chiesto che gli utenti siano informati sul funzionamento dell’algoritmo utilizzato per la valutazione del rischio di esposizione al contagio (quali tempi e distanze vengono considerati per considerare un contatto a rischio). E Immuni, in seguito, ha risposto a questa richiesta nelle faq accessibili da sito e app, sottolineando che: “Immuni ti avverte di un contatto a rischio soltanto se ti sei trovato per almeno 15 minuti a breve distanza da una persona positiva al Covid-19 (...) Immuni utilizza la potenza del segnale Bluetooth per ricavare una stima della distanza a cui è avvenuto il contatto. I parametri della stima sono stati scelti per avvicinarsi il più possibile alle direttive del Ministero della Salute, che considerano a rischio un contatto avvenuto a una distanza inferiore ai due metri”.

Il Garante ha richiesto inoltre che gli utenti fossero informati dei possibili falsi allarmi che potrebbe generare il sistema (il Bluetooth stesso ha delle imprecisioni nella rilevazione della prossimità tra utenti, può avere interferenze in base alla posizione del telefono o agli ostacoli che ci sono tra due dispositivi; oppure pensiamo a persone che ricevono l’alert, ma che quando sono venuti in contatto erano muniti di tutte le misure necessarie ad evitare il contagio, come le mascherine). Per questo ha richiesto l’adozione di tutte le misure tecniche e organizzative disponibili per ridurre al minimo le conseguenze negative derivanti da falsi positivi.  

Su questo Immuni specifica, riferendosi a distanza e durata dei contatti con utenti positivi: “Si tratta di un numero limitato di informazioni, peraltro mai perfette, in quanto il segnale Bluetooth Low Energy è influenzato da vari fattori di disturbo. Quindi, la valutazione non sarà sempre impeccabile. Per esempio, se l’app ti raccomanda di isolarti, non significa che hai sicuramente il Covid-19. Significa piuttosto che, sulla base delle informazioni a disposizione della app, l’isolamento è la cosa più sicura da fare per te e per chi ti sta accanto”. Conclude consigliando in ogni caso di contattare il medico di base. 

Il Garante aveva inoltre richiesto di inserire la possibilità di disattivare temporaneamente l’app attraverso una funzione facilmente accessibile nella schermata principale senza necessariamente disinstallarla. E, in effetti, questa funzione è disponibile sulla home della app (è comoda ad esempio per chi per lavoro entra frequentemente in contatto con pazienti positivi)

Altro tema delicato è quello degli indirizzi IP che i cellulari utilizzano per connettersi a internet (l’app deve utilizzarli per far comunicare i dispositivi con il server): è uno dei dati più delicati trattati, perché riconducibile al dispositivo dell’utente e quindi potenzialmente utile a una sua identificazione. Il Garante sottolinea che la conservazione del dato dovrà essere commisurata ai tempi strettamente necessari per il rilevamento di anomalie e di attacchi. Rispetto a questo, l’informativa sulla privacy dice che l’indirizzo IP non verrà proprio conservato nel sistema di allerta Covid-19.

Infine, il Garante ha richiesto particolare attenzione all’informativa e al messaggio di allerta, tenendo conto che la app può essere scaricata da minorenni, da 14 anni in su: a questo proposito Immuni richiede che i minori abbiano il permesso dei genitori per scaricare la app e che li avvisino immediatamente se ricevono una notifica.

A inizio giugno, ad app appena lanciata, Altroconsumo aveva espresso i suoi dubbi, anche in una lettera al governo, in cui si chiedevano informazioni sulle misure sanitarie complementari previste: non era così chiaro, infatti, cosa dovesse fare l’utente una volta ricevuto l’alert, se avrebbe dovuto mettersi in quarantena, se in tempi celeri gli sarebbe stato fatto un tampone, quali raccomandazioni avrebbe ricevuto, quale sarebbe stato il ruolo dei medici di famiglia, se sarebbe stato giustificato presso il datore di lavoro per una eventuale quarantena preventiva; sull’applicazione non era presente neanche l’informazione circa i criteri (distanza e tempi di contatto) in base a cui sarebbe stata inviata la notifica. Inoltre, era già evidente allora come questo fosse un sistema in cui la rapidità di azione nei vari passaggi (tampone per i sintomatici-ricezione dei risultati-invio dell’alert) fosse fondamentale per il funzionamento del sistema. A che punto siamo ora?

• La comunicazione su cosa succede agli allertati
  In questi mesi, qualcosa di più definito è emerso: ad esempio nelle faq sul sito è stato chiarito agli utenti il criterio dei 15 minuti a distanza di meno di due metri circa come parametro per l’invio della notifica, ma per quanto riguarda ciò che accade (o dovrebbe accadere) a chi riceve una notifica non c’è ancora oggi una comunicazione chiara: per capirlo abbiamo dovuto esaminare due circolari del ministero della Salute (di maggio e ottobre 2020), confermate – anche se a sprazzi - dalle esperienze di alcuni utenti che hanno ricevuto l’alert, più che altro nei mesi precedenti alla seconda ondata, quando il sistema di tracciamento ancora reggeva (leggi il paragrafo Cosa succede se arriva una notifica?)   
  

  Ma, lo ribadiamo, la consapevolezza dei cittadini è la base per costruire fiducia in questo sistema; e come si può avere fiducia in qualcosa se non si sa neanche ciò che comporterà nella propria vita la notifica di contatto a rischio?

• L’integrazione con il Ssn
  La fiducia dei cittadini si costruisce, oltre che con una comunicazione chiara, soprattutto con un sistema che funziona, nella sua interezza, non solo dal punto di vista tecnologico: è necessario che l’app sia inserita in modo efficiente nelle attività del sistema sanitario al contrario di quanto emerso negli ultimi tempi, già prima dell’esplosione della seconda ondata, quando poi l’intero sistema di tracciamento è andato in sofferenza.

  Difficile dare un quadro preciso e completo: la sanità italiana è regionale, molto differenziata al suo interno, tra Regioni e anche tra Asl. Nei mesi scorsi ci sono state testimonianze di utenti per cui tutto ha funzionato ma, in particolare a ottobre, con la recrudescenza dei casi e l’aumento dei download e delle notifiche, sono emerse molte inefficienze: a partire dalla Regione Veneto, le cui Asl – si è scoperto – non avevano mai messo in atto le procedure per caricare i dati dei positivi e quindi far partire le notifiche ai contatti, fino al caso in cui una Asl ligure ha risposto all’utente: “di Immuni non sappiamo cosa farne”; dai casi in cui viene spiegato che solo alcuni operatori dell’Asl – “al momento assenti” - sanno operare su Immuni, ai casi in cui è emersa invece l’inesperienza del medico di base che non sapeva bene come comportarsi: ma se medici e Asl non utilizzano Immuni o non la utilizzano in modo uniforme sul territorio, l’app non solo non potrà essere efficace nonostante l’aumento dei download, ma potrebbe addirittura diventare un ulteriore, nuovo strumento di disparità tra sistemi sanitari regionali.

  Nel dpcm del 18 ottobre 2020 è stata inserita l’obbligatorietà per le Asl di utilizzare il sistema, ribadendo quanto già previsto dalla circolare dello scorso maggio. Si legge nel testo: “Al fine di rendere più efficace il contact tracing attraverso l'utilizzo dell'App Immuni, è fatto obbligo all'operatore sanitario del Dipartimento di prevenzione della azienda  sanitaria locale, accedendo al sistema centrale di Immuni, di caricare il codice chiave in presenza di un caso di positività”. 

  A seguire, con il decreto Ristori, è stato istituito anche un call center nazionale, di cui poco ancora si sa se non ciò che recita la norma: “Il Ministero della Salute svolge attività di contact tracing e sorveglianza sanitaria nonché di informazione e accompagnamento verso i servizi di prevenzione e assistenza delle competenti aziende sanitarie locali. A tal fine, il Ministero della Salute attiva un servizio nazionale di supporto telefonico e telematico alle persone risultate positive al virus SARS-Cov-2, che hanno avuto contatti stretti o casuali con soggetti risultati positivi o che hanno ricevuto una notifica di allerta attraverso l’applicazione Immuni (…), i cui dati sono resi accessibili per caricare il codice chiave in presenza di un caso di positività. A tal fine i dati relativi ai casi diagnosticati di positività al virus SARS-Cov-2 sono resi disponibili al predetto servizio nazionale, anche attraverso il Sistema Tessera Sanitaria ovvero tramite sistemi di interoperabilità”. 

  Inoltre, come avevamo già scritto a giugno, Immuni è un sistema che richiede una grande rapidità in tutti i singoli passaggi per essere davvero efficace. Deve passare molto poco tempo tra il paziente che dichiara di avere i sintomi, il medico che richiede il tampone, l’esecuzione del tampone, la comunicazione del risultato e quindi l’assenso del paziente all’invio delle notifiche tramite Immuni. Se , come purtroppo racconta anche la cronaca, le notifiche arrivano troppo tardi rispetto al contatto con il positivo si rischia, nel frattempo, di continuare a contagiare inconsapevolmente; e questo vanificherebbe lo scopo stesso dell’app. La domanda è la stessa di giugno e, purtroppo, è per lo più retorica: siamo pronti a garantire questa celerità in tutti questi passaggi?

• Tanti falsi allarmi
  Restano ancora i dubbi rispetto ai possibili falsi allarmi. Da quanto pubblicato, sembra che Immuni non assicuri che contatti frequenti con la stessa persona, in giorni diversi, non generino più allarmi, essendo tutto basato su codici anonimi che cambiano di continuo. Questo vuol dire che è possibile che si ricevano più notifiche legate a una sola persona infetta? Non si rischia, in questo caso, di ricevere troppe notifiche allarmanti e generare così l’ansia immotivata delle persone?

  Inoltre, è possibile che il contatto prolungato, per più ore e nella stessa giornata, con una persona che si scopre poi positiva generi più notifiche di allerta? Pensiamo a un collega che si incontra tutti i giorni, per tanto tempo, ad esempio: significherebbe ricevere molte allerta senza poter capire che tutto dipende da quel singolo contatto. O il sistema è in qualche modo in grado di evitare questi inconvenienti?

  Anche il numero di positivi “scoperti” grazie a Immuni fa capire come i falsi allarmi possano essere tanti: a metà ottobre, prima dell’esplosione vera e propria della seconda ondata, la ministra per l’Innovazione Paola Pisano comunicava il numero di 16 focolai evitati grazie a Immuni, cioè di 16 persone che – ricevuta la notifica di contatto a rischio – si sono poi scoperte effettivamente positive. Non molte se pensiamo che le notifiche di contatto a rischio ricevute dagli utenti di Immuni erano, in quel momento, 18mila. Ma, c’è da dire, la stessa Immuni specifica chiaramente che la notifica non vuol dire positività.

Partiamo da un principio: Immuni non è la panacea di tutti i mali, ma è concepito come uno strumento in più, di aiuto al contact tracing manuale che dovrebbero fare gli operatori sanitari dell’Asl, ma con capacità limitate, in particolare in momenti di aumento esponenziale dei casi. Consideriamo che, nell’ambito del tracciamento, gli operatori sanitari devono: telefonare a ogni positivo, raccogliere la lista dei suoi contatti stretti nelle 48 ore precedenti alla comparsa dei sintomi o al tampone, telefonare a questi contatti stretti, deciderne l’eventuale quarantena, monitorarle e se tra questi emerge qualcuno con sintomi, predisporre il tampone. E, in caso di positività, ricominciare tutto d’accapo. Se a quanto dovrebbero fare normalmente, aggiungiamo anche le telefonate che di prassi dovrebbero fare a tutti coloro che ricevono una notifica da immuni (nel momento in cui scriviamo circa 75mila), è facile capire come - in un momento di sovraccarico - il tutto sia praticamente irrealizzabile, anzi rischi addirittura di ingolfare il sistema di tracciamento tradizionale. 

In un momento in cui i casi ormai sono troppi e il sistema di tracciamento non ce la fa più a seguire tutte queste operazioni, un meccanismo automatico come quello di Immuni può sostituirsi alla telefonata dell’Asl ai contatti stretti che – appunto – potrebbe non arrivare mai: con la notifica si può invece venire a conoscenza di essere stati a contatto con un positivo e quindi attuare le misure precauzionali del caso.

Consideriamo, inoltre, che Immuni ha il pregio di poter avvisare anche chi non si conosce e non si potrebbe rintracciare: un passeggero sul nostro bus, una persona che era al ristorante al tavolo vicino al nostro e così via... per chi viaggia o frequenta più luoghi e persone (nei limiti delle varie restrizioni) potrebbe, quindi, essere più utile.

A fronte di queste potenzialità, è importante essere anche consapevoli dei limiti di Immuni.

La tecnologia non è infallibile come chiarisce anche l’app stessa: Immuni può rilevare con certezza che la vicinanza fisica c’è stata per 15 minuti o più, ma non può capire se le due persone avevano la mascherina (cosa che ridurrebbe il rischio legato al contatto prolungato e stretto), quale tipo di mascherina (se più o meno protettiva), se il luogo in cui sono stati era arieggiato, se c’era una qualche barriera tra i due utenti (ad esempio quelle in plexiglass). Inoltre, specifica anche che si basa su “un numero limitato di informazioni, peraltro mai perfette, in quanto il segnale Bluetooth Low Energy è influenzato da vari fattori di disturbo. Quindi, la valutazione non sarà sempre impeccabile”. 

Se arriva una notifica bisogna viverla nel modo giusto, prendendo tutte le cautele indicate dall’app, ma consapevoli anche che, in particolare se non ci sono sintomi, non bisogna farsi prendere dal panico. E, in questo, sarebbe fondamentale - come d’altronde previsto nelle linee guida del ministero - il ruolo del medico di base e dell’operatore dell’Asl nel valutare il tipo di contatto avuto insieme al paziente, per capire se davvero a rischio (es. nel giorno del contatto indicato dalla notifica quali attività si sono svolte? Dove si è stati? Si indossava la mascherina?): un miraggio in momenti di sovraccarico del sistema. 

È importante, allora, scaricare l’app con la consapevolezza che, se si sono avute alcune attenzioni, è probabile che la notifica non corrisponda al contagio e che – nonostante ciò - ci si dovrà mettere in isolamento, magari senza essere assistiti, per 14 giorni dal contatto o per 10 giorni, con un test al decimo giorno (leggi il paragrafo “Cosa succede se arriva una notifica?) ma, allo stesso tempo, è importante scaricare l’app anche con la consapevolezza che tutto questo potrebbe potenzialmente preservare le persone vicine a voi da un possibile contagio e dare un contributo al contenimento della pandemia. 

Potenzialità e limiti, che ci aiutano a capire come andrebbe scelta e “vissuta” Immuni: come uno strumento non perfetto, ma di aiuto in un momento di necessità. E, per poter fare una scelta di questo tipo, razionale e consapevole, è fondamentale venire ben informati, senza false aspettative, ma allo stesso tempo con il diritto a un sistema funzionante, in ogni sua parte.

Restiamo dell’idea che in un contesto ben organizzato, in cui c’è disponibilità di risorse e non in crisi, l’ideale sarebbe non solo garantire l’assistenza a chi riceve una notifica e anche predisporre un tampone in tempi rapidi, per evitare facili preoccupazioni visto – in particolare – che la tecnologia non può “capire” tutti gli elementi di rischio di un contatto; sarebbe anche un modo per “ripagare” l’impegno e la fiducia dei cittadini (non tutti, oltretutto, hanno facilità di isolamento in casa, non tutti sono dipendenti e quindi la malattia assicurata...). In questo momento tutto ciò non è garantito e scaricare Immuni diventa una scelta di responsabilità, da fare con la consapevolezza di tutte le sue potenzialità e di tutti i suoi limiti, nella speranza che le ultime misure intraprese dal governo (obbligatorietà dell’uso di Immuni da parte delle Asl e istituzione di un call center unico) possano renderla più utile ed efficace.

L’obiettivo dell’applicazione, scaricabile sia per gli smartphone Android che iOS (ma con molte limitazioni quanto a sistemi operativi e modelli: ne parliamo a seguire), è quello di contribuire al controllo della diffusione del contagio inviando una notifica a chi ha avuto contatti “a rischio” con persone positive al Covid-19

L’app, che non è obbligatoria, dopo una prima fase di test avviata l’8 giugno 2020 in quattro Regioni (Liguria, Puglia, Abruzzo, Marche), è diventata completamente operativa dal 15 giugno in tutta Italia, sia nel tracciamento dei contatti che nel collegamento con i servizi sanitari.

L’app è molto semplice da utilizzare e funziona tramite Bluetooth Low Energy, che ha il pregio di consumare poca batteria: non geolocalizza la posizione quindi (come confermano i nostri test), ma registra soltanto la vicinanza con altri telefoni, rendendo anonimi i dati.

Ecco come funziona nel dettaglio secondo quanto specificato nella documentazione ufficiale:

• l’app associa a ogni dispositivo un codice casuale, che non contiene informazioni identificative dell’utente e del suo dispositivo, come conferma anche il nostro test. Questo codice cambia diverse volte ogni ora allo scopo di tutelare la privacy degli utenti;
• quando l’utente A entra in contatto con l’utente B (a un minimo di 2 metri per almeno 15 minuti), i dispositivi si scambiano i rispettivi codici tramite il Bluetooth. L’app riesce così a tenere traccia dei contatti avvenuti, registrando i codici degli altri dispositivi nel telefono (non registra identità degli utenti o luogo di incontro, ma solo l’avvenuto contatto tra due dispositivi);
• chi risulta positivo al Covid-19 sceglie se condividere su un server i propri codici casuali trasmessi nei 14 giorni precedenti, in modo che gli altri telefoni possano consultarli per vedere se li hanno registrati. In questo modo potranno capire se c’è stato un contatto a rischio con il proprietario di quel telefono e in questo caso ricevere una notifica di allerta.

  Ecco come dovrebbe funzionare, nel dettaglio, questo passaggio: il Dipartimento di Prevenzione dell’ASL competente contatta chi è risultato positivo al tampone per raccogliere le necessarie informazioni e verifica anche se la persona ha installato Immuni.

  Se sì, l’operatore sanitario gli chiederà di aprire l’app e di utilizzare la funzione di generazione del codice OTP. L’utente comunica i 10 caratteri che gli compariranno nell’app all’operatore sanitario, che li inserisce nel sistema del ministero della Salute insieme alla data di inizio dei sintomi o, nel caso l’utente sia asintomatico, la data di prelievo del tampone.

  A questo punto l'utente potrà decidere se far partire le notifiche a chi ha avuto un contatto a rischio con lui. Lo potrà fare confermandolo sull’app con un tap: in questo modo le sue chiavi crittografiche (anonime) verranno inviate al server di Sogei (società informatica controllata dallo Stato). Da queste chiavi crittografiche verranno poi tratti i codici casuali prodotti dal suo telefono nei 14 giorni precedenti: solo così questi codici saranno messi a disposizione per la consultazione da parte di tutti i dispositivi che hanno installato Immuni.

• Ogni dispositivo con Immuni, infatti, controlla quotidianamente i codici presenti sul server e li confronta con quelli salvati sul dispositivo.
• Se viene individuata una corrispondenza (tra codici registrati nel telefono in seguito a un contatto e codici caricati sul server in seguito a una positività) l’app esegue sul dispositivo un algoritmo che, in base alla durata e alla distanza stimata del contatto, decide se visualizzare una notifica sul dispositivo dell’utente esposto al rischio di contagio, avvertendolo dell’avvenuto contatto, comunicando la data dello stesso e invitandolo a contattare il proprio medico di medicina generale o il pediatra di libera scelta.

Immuni utilizza la potenza del segnale Bluetooth per ricavare una stima della distanza a cui è avvenuto il contatto, stima che – specifica l’app - “può comunque presentare un margine di errore. Inoltre non considera eventuali barriere o dispositivi di protezione presenti”.

L’app Immuni include varie sezioni, ma in generale è piuttosto semplice per il modo in cui si presenta all’utente; ecco alcune immagini utili per capire come è fatta (schermate disponibili sul sito di Immuni al 15 giugno 2020).

Benvenuto: alcune delle schermate che compaiono appena si scarica l’app; si spiega quali sono gli intenti e il funzionamento dell’applicazione, con i relativi link di approfondimento.

Permessi: dopo aver richiesto regione e provincia di residenza, l‘app chiede di abilitare le notifiche di esposizione al Covid-19 e di attivare il Bluetooth..

Notifica di contatto a rischio: un esempio dell’allerta che arriva quando l’app rileva un contatto a rischio avuto nei giorni precedenti con una persona positiva al Covid-19; vengono date anche alcune indicazioni da seguire.

La comunicazione di positività: se una persona che ha scaricato Immuni riceve notizia di positività al Covid-19 dopo il tampone, potrà aprire queste schermate in basso con l’assistenza di un operatore sanitario. La comunicazione (volontaria) di questi codici all’operatore permetterà di condividere i propri codici casuali nel sistema; in questo modo sarà possibile l’invio delle notifiche di allerta alle persone con cui l’utente positivo ha avuto contatti prolungati e ravvicinati nei giorni precedenti. La comunicazione della provincia servirà al ministero della Salute per tenere monitorata la diffusione dell’epidemia sul territorio. Il tutto avviene in modo anonimo.

Ancora oggi, come al lancio dell’applicazione, l’unica informazione sul post-notifica che dà Immuni a chi si appresta a utilizzare l’app è che verrà richiesto di chiamare il medico di famiglia e di seguire alcune raccomandazioni (che, dalle esperienze di alcuni notificati, sono l’isolamento in attesa delle indicazioni del medico, il mantenimento delle distanze, la misurazione della temperatura ecc.). Non viene chiarito, però, se si dovrà stare in quarantena e per quanto tempo, se gli verrà garantito un tampone o meno, se e come potrà giustificarsi al lavoro, cosa dovranno fare i suoi conviventi ecc.

In questi mesi, diversi dubbi su questi aspetti hanno trovato risposta, anche se – purtroppo – solo grazie alle esperienze degli utenti e a documentazioni tecniche (circolari di maggio e ottobre del ministero della Salute), non per una chiara volontà di informare i cittadini da parte delle istituzioni o tramite app e sito di Immuni. 

Da quanto si apprende, per chi riceve una notifica e, volontariamente, chiama il medico di base per comunicarglielo come richiesto dall’applicazione, dovrebbe essere prevista la quarantena per 14 giorni oppure per 10 giorni con tampone negativo eseguito il decimo giorno.

Come racconta la cronaca, nei momenti di recrudescenza dell’epidemia il sistema di tracciamento e assistenza, nel suo complesso, può andare facilmente in tilt; ma l’iter di Immuni - almeno formalmente - prevede che il medico di base, una volta contattato dal suo assistito che ha ricevuto la notifica, faccia una prima valutazione dell’effettiva esposizione al rischio del paziente. Dopodiché dovrà avvisare l’Asl, che dovrà contattare l’utente per valutare le modalità del contatto e spiegargli cosa fare. 

L’Asl dovrebbe dare le indicazioni che normalmente si danno ai “contatti stretti” asintomatici, cioè a coloro che hanno avuto un contatto con un positivo a meno di due metri, faccia a faccia, e per più di 15 minuti (sono proprio queste, in effetti, distanze e tempistiche sulla base delle quali arriva la notifica di Immuni). E queste indicazioni sono, appunto: quarantena di 14 giorni dall’ultimo contatto con il positivo e poi rientro in comunità senza alcun tampone; oppure quarantena di 10 giorni con tampone negativo al decimo giorno; può essere un tampone classico (molecolare) o rapido (antigenico).

Non è detto, quindi, che sia previsto un tampone al termine della quarantena anche se le Asl hanno una certa discrezionalità in questo; l’indicazione che è stata data nelle circolari del ministero della Salute è quella di fare anche una valutazione individuale del rischio e di prevedere comunque un test a fine quarantena per chi vive o entra in contatto con soggetti fragili e/o a rischio di complicanze, come potrebbe essere un parente anziano o con particolari patologie. 

Secondo quanto previsto, l’Asl dovrebbe anche mettere in atto una sorveglianza attiva quotidianamente (mediante telefonate, e-mail o messaggi di testo) relativamente allo stato di salute del soggetto asintomatico messo in quarantena, ma anche riguardo al rispetto delle disposizioni date.

Quanto all’assenza dal lavoro, l’Asl informa il medico di base anche ai fini dell’eventuale certificazione Inps, rilascia una dichiarazione all’Istituto previdenziale, al datore di lavoro e al medico stesso in cui si dichiara che per motivi di sanità pubblica il contatto è stato posto in quarantena precauzionale, specificandone la data di inizio e fine.

Nel caso in cui si sviluppino sintomi, anche lievi, si dovrà contattare immediatamente il medico di base e l’Asl (Dipartimento di igiene e prevenzione) che, sulla carta, dovrebbe provvedere al più presto al tampone. 

Il convivente dell’utente di Immuni che ha ricevuto la notifica e non ha sintomi, è considerabile “contatto stretto di un contatto stretto” e non è tenuto a stare in quarantena.

Verranno utilizzati due “luoghi”: i server gestiti da Sogei, società informatica controllata dallo Stato, dove dovrebbero essere caricati i codici anonimi di chi risulta positivo al Covid-19, se quest’ultimo decide di farlo; e poi i dispositivi degli utenti stessi che scaricano l’app, dove vengono conservati (lo confermano anche i nostri test) i codici anonimi che gli smartphone si scambiano quando sono vicini, secondo le interfacce di programmazione Apple-Google.

I tempi di conservazione variano a seconda del tipo di dato trattato, come indicato nell’informativa privacy della app. In ogni caso, come stabilisce anche la normativa che regola questa applicazione, il trattamento di dati personali sarà interrotto alla fine delle esigenze di protezione e prevenzione sanitaria e comunque non oltre il 31 dicembre 2021. Entro la stessa data, inoltre, tutti i dati personali trattati dovranno essere cancellati o resi definitivamente anonimi.

L’approccio decentralizzato scelto per ragioni di sicurezza (che prevede che alcuni dati vengano conservati sul dispositivo, come descritto in “Dove vengono conservati i dati?”), comporta delle limitazioni tecniche, per cui non si può scaricare Immuni su tutti gli smartphone. Questo dipende dal fatto che l’app si fonda su un “codice” (un API) appositamente creato da Google e Apple, ma disponibile per il download solo per alcuni dispositivi (questo API è necessario per far funzionare l’approccio decentrato e per la comunicazione tra i diversi sistemi operativi dei telefoni, Android e iOS).

Il punto, però, è che - affinché questa applicazione sia davvero efficace - è necessario che vi sia una sua diffusione di massa, per questo l’app va resa disponibile su più smartphone possibili e per questo Altroconsumo si aspetta un impegno e un ruolo attivo anche da parte di Apple e Google.

Al momento sono questi i telefoni che possono e non possono scaricare l’app.

• Android: è necessario aver installato sullo smartphone la versione di Android 6.0 (“Marshmallow”) o successive. Android 6 è stato rilasciato nell’ottobre 2015 e gli smartphone usciti prima potrebbero non essere aggiornati con questa versione del sistema operativo. In particolare quasi tutti gli smartphone del 2013 e precedenti potrebbero essere esclusi.

Un’altra piccola limitazione per quanto riguarda Android, è che il sistema (API) che fa funzionare Immuni non è integrato direttamente in Android, bensì nell’applicazione di sistema “Google Play Services” (preinstallata di default in tutti gli smartphone Android), che deve essere aggiornata all’ultima versione disponibile (20.18.13 o superiore): normalmente avviene in automatico, ma potrebbero esserci dei casi in cui non funziona proprio per questo mancato aggiornamento.

Per farci un’idea di quanti telefoni hanno una versione del sistema operativo antecedente alla 6 e che quindi non potrebbero scaricare Immuni, a inizio 2020 nel mondo, risultavano circa l’11% del totale (dati StatCounter).

Inizialmente gli smartphone Huawei e Honor non consentivano il download dell’app. Ora il problema risulta risolto, anche se solo in parte: a quanto pare infatti, ancora non tutti i telefoni di questi due brand supportano Immuni.

• iOS: è necessario aggiornare il sistema operativo iOS alla versione 13.5. Per poterlo fare, bisogna avere almeno un iPhone 6s (del 2015) o successivo; ecco quali sono i modelli su cui è possibile scaricare Immuni: iPhone 12, iPhone 12 Pro, iPhone 11, 11 Pro, 11 Pro Max, Xr, Xs, Xs Max, X, SE (2nd generation), 8, 8 Plus, 7, 7 Plus, 6s, 6s Plus, SE (1st generation). Gli Apple precedenti all’iPhone 6s, quindi usciti prima del 2015, non potranno scaricare l’applicazione.

Volendo avere un’idea di quanti potrebbero essere i telefoni esclusi da Immuni: gli iPhone in circolazione con versione del sistema operativo installata antecedente alla 13 risultano essere, sempre a livello mondiale, circa il 30% del totale (fonte: Apple App Store).

Per quanto riguarda le dimensioni del download, Immuni è piuttosto leggera: circa 30 MB per iOS e circa 10 MB per Android, quindi non dovrebbe essere un problema avere lo spazio necessario per installarla nello smartphone.

Per poter scaricare Immuni il sistema operativo del telefono deve essere aggiornato almeno alle versioni minime necessarie per il funzionamento dell’app:

• se avete uno smartphone Android, aprite l’app “Impostazioni”, andate su “Sistema” - “Avanzate” - “Aggiornamento di sistema” o “Info telefono” (questi nomi potrebbero variare leggermente a seconda della versione di Android e del brand del vostro smartphone). In questa schermata potete verificare se la versione di Android installata è almeno la 6 (necessaria per Immuni), sia verificare se sono presenti aggiornamenti da scaricare.
  
  Se, nonostante abbiate Android 6 o successivi, non riuscite a scaricare Immuni, il motivo potrebbe essere che il vostro smartphone non dispone della tecnologia Bluetooth Low Energy, oppure che non supporta l’ultima versione di Google Play Services (potete verificarlo accedendo a questa app dal menu “App” delle impostazioni del vostro smartphone), oppure che il vostro smartphone è un Huawei (vedi il paragrafo “Per quali dispositivi è disponibile?”).

• se avete un iPhone, aprite l’app “Impostazioni”, andate su “Generali” e poi “Info”: verificate che la versione di iOS che avete sul vostro iPhone sia almeno la 13.5 necessaria per il funzionamento di Immuni, oppure toccate “aggiornamento software”.

Immuni funziona anche in altri paesi all’estero. Al momento sul sito si indicano: Germania, Irlanda, Lettonia e Spagna; ma la lista potrebbe allungarsi (verifica nell’apposita sezione, in fondo alla pagina). L’app ha infatti attivato l’interoperabilità prevista dall’Ue che permette ai sistemi di tracciamento delle nazioni aderenti di comunicare tra loro. Per cui non ci sarà bisogno di scaricare altre app, si dovrà solo attivare la specifica funzione all’interno di Immuni prima di partire: questo permetterà di ricevere una eventuale notifica di contatto a rischio anche se questo contatto è avvenuto all’estero (purché, ovviamente, l’utente positivo incontrato utilizzi l’app di tracciamento del suo rispettivo paese).