Immuni, spiegata bene

Come è nata, come funziona e a cosa serve l'applicazione con cui il governo vuole tenere meglio sotto controllo l'epidemia da coronavirus

di Emanuele Menietti – @emenietti

Dall’inizio di questa settimana è possibile scaricare sul proprio smartphone Immuni, l’attesa applicazione per semplificare il tracciamento dei contatti e ricevere avvisi nel caso in cui si sia entrati in contatto con persone poi risultate positive al coronavirus, e potenzialmente contagiose. L’app è disponibile sia per iPhone sia per telefoni Android, ha ricevuto molti apprezzamenti per l’attenzione dedicata alla privacy e per la semplicità di utilizzo, ma ha fatto sollevare qualche dubbio sulla sua utilità a distanza di settimane dalla fase di maggiore emergenza e qualche critica per i ritardi accumulati, benché sia una delle prime applicazioni nel suo genere a essere diffusa in Europa.

Bending Spoons e coronavirus
La storia di Immuni è strettamente legata a quella di Bending Spoons, la società che l’ha realizzata a titolo gratuito per conto del governo. L’azienda ha sede a Milano e nei suoi sette anni di esistenza è passata dai suoi quattro fondatori ad avere oltre 150 dipendenti, con un fatturato che nell’ultimo anno è stato di quasi 91 milioni di euro (58,4 milioni di euro nel 2018).

Anche se si trova nella zona di corso Como, famosa soprattutto per i suoi locali e gli aperitivi, il palazzo che ospita Bending Spoons ricorda gli ambienti di lavoro della Silicon Valley, con grandi spazi aperti, aree di svago e una saletta con erba finta e amache per il relax. Gli impiegati hanno orari flessibili, chiavi di accesso agli uffici per andare al lavoro quando preferiscono e un bar per fermarsi a bere qualcosa alla fine della giornata. Dai loro computer sono nate applicazioni di successo, come Live Quiz, che hanno reso l’azienda uno dei principali produttori di app per iPhone al mondo, con oltre dieci milioni di utenti attivi tra Stati Uniti ed Europa.

Ogni anno i dipendenti scelgono e votano la destinazione di una donazione che Bending Spoons effettuerà poi a proprie spese per una buona causa. Quando si è deciso all’inizio di quest’anno, la scelta è ricaduta sulla Protezione Civile italiana, che aveva avviato le prime attività per tenere sotto controllo l’epidemia da coronavirus. Dopo una votazione, con esito quasi unanime, ai primi di marzo Bending Spoons aveva quindi scelto di donare un milione di euro alla Protezione Civile.

Come hanno spiegato al Post alcune fonti vicine all’azienda, nei giorni successivi alla donazione nacque una discussione interna sulla possibilità di mettere a frutto le competenze e le conoscenze informatiche di Bending Spoons per fare qualcosa di ancora più concreto, nell’ambito della creazione di strumenti per provare ad arginare l’epidemia, o per lo meno gestirla meglio. Più o meno negli stessi giorni avevano iniziato a chiedersi la stessa cosa i dirigenti del Centro Medico Santagostino (CMS), che offre servizi sanitari in Lombardia e a Bologna con prezzi contenuti e un approccio molto orientato sul digitale per la gestione dei pazienti (prenotazioni, pagamenti, assistenza online e cartelle cliniche).

Tramite reciproche conoscenze, Bending Spoons e CMS iniziarono a collaborare a metà marzo per la realizzazione di una piattaforma (molto diversa dall’attuale Immuni) che sarebbe potuta servire per tracciare geograficamente la diffusione del contagio, anche grazie alle segnalazioni degli utenti tramite un’applicazione. Un primo prototipo della piattaforma fu presentato alla ministra dell’Innovazione, Paola Pisano, che dimostrò il proprio apprezzamento per l’iniziativa, ma senza l’assunzione di alcun impegno da parte del governo, in quella fase già impegnato su più fronti per gestire l’emergenza sanitaria che era in corso.

Bando rapido
Il 23 marzo, pochi giorni dopo il loro incontro, Pisano annunciò l’avvio di un bando rapido (“fast call”) per la selezione di un’applicazione per effettuare il tracciamento dei contatti e di un’altra app per semplificare la gestione dei propri dati sanitari. La piattaforma che aveva mostrato Bending Spoons alla ministra non comprendeva il contact tracing (CT), ma l’azienda ritenne che rivedere i propri piani potesse costituire una buona opportunità per rispondere all’esigenza di fare qualcosa di concreto e basato sulle proprie conoscenze.

Bending Spoons aderì al bando per il tracciamento dei contatti, mentre il Centro Medico Santagostino a quello per la gestione dei dati sanitari. Nelle settimane seguenti, la collaborazione tra le due aziende sarebbe quindi diminuita, essendosi prefissati obiettivi diversi (per quanto inizialmente ritenuti compatibili per realizzare un’app più articolata, ma forse troppo ambiziosa date le circostanze e i tempi).

Il bando suscitò un notevole interesse da parte dei giornali: l’idea di una app per il tracciamento dei contatti sembrava promettente, anche sulla base di esperienze analoghe condotte in altri paesi come la Corea del Sud, ma al tempo stesso suscitava molti dubbi sul tema della tutela dei dati personali. I sistemi sudcoreani avevano infatti portato ad alcuni problemi, a cominciare dalla possibilità di ricostruire gli spostamenti degli individui utilizzando i dati raccolti dal sistema per segnalare gli avvenuti contatti con persone potenzialmente contagiose. Anche per questo motivo il bando chiedeva che fossero offerte garanzie sufficienti dal punto di vista della tutela dei dati personali.

Selezione
Ottenute le candidature, Pisano aveva provveduto a istituire una “task force” di 74 esperti, suddivisi in diversi gruppi, cui era stato affidato il compito di valutare le proposte e di fornire indicazioni per la scelta dell’applicazione da sviluppare. La decisione di istituire gruppi di lavoro così numerosi fece sollevare qualche dubbio sui tempi dell’iniziativa: da un lato alcuni esperti e candidati premevano per una decisione rapida, dall’altro il governo voleva procedere con grandi cautele, dimostrando al tempo stesso di non avere ancora le idee molto chiare su dove sarebbe approdata l’iniziativa.

La richiesta accelerazione avvenne a metà aprile, quando il commissario straordinario per l’emergenza sanitaria, Domenico Arcuri, annunciò di avere scelto Immuni, la proposta a titolo completamente gratuito di Bending Spoons, per procedere alla creazione di una app. La scelta si era basata sulle valutazioni dei tecnici e degli esperti dei gruppi di lavoro della “task force” e, nel comunicarla, Arcuri si era mostrato molto ottimista arrivando a dire che entro la fine di aprile Immuni sarebbe stata pronta. Il commissario, come altri membri del governo, avevano in precedenza fatto altri annunci sulla possibilità di avere rapidamente l’applicazione, indicando tempi stretti irrealistici. Sulla base di quelle stime furono generate aspettative puntualmente disattese nei fatti, che annuncio dopo annuncio avrebbero contribuito a fare percepire come in perenne ritardo l’arrivo dell’app.

Apple e Google
Ci si muoveva del resto in territori inesplorati e densi di incertezze. Inizialmente Bending Spoons aveva proposto di utilizzare un sistema centralizzato e basato su uno standard – da poco messo in piedi da un consorzio europeo – che avrebbe dovuto fornire sufficienti garanzie per la privacy degli utenti. Pochi giorni dopo l’avvio della collaborazione, divenne però evidente che il sistema proposto non fosse sicuro a sufficienza e si registrarono le prime defezioni. Poi avvenne qualcosa fino a quel momento impensabile.

Il 10 aprile Apple e Google, tradizionalmente rivali nel settore degli smartphone con i loro rispettivi iPhone e dispositivi Android, annunciarono una collaborazione del tutto inedita per semplificare lo sviluppo delle applicazioni per il tracciamento dei contatti. Dissero di essere al lavoro per modificare le versioni più recenti dei loro sistemi operativi, in modo da offrire una soluzione decentralizzata nella quale i dati più importanti e sensibili restano sempre e solo nella memoria dei singoli smartphone, senza essere condivisi online con il rischio di finire nelle mani sbagliate.

La collaborazione tra Apple e Google rendeva possibile lo sviluppo di applicazioni per il contact tracing molto più efficaci, superando alcuni ostacoli che erano emersi nelle prime app sperimentate in altri paesi. In particolare, il sistema proposto rendeva possibile il funzionamento delle app come Immuni anche quando il telefono ha lo schermo inattivo, o si stanno utilizzando altre applicazioni. Non una cosa da poco, se si considera che le prime app per il tracciamento dei contatti, come quella inizialmente impiegata a Singapore, potevano funzionare solo se non si bloccava lo schermo del proprio iPhone, con tutte le scomodità del caso, senza contare il maggiore consumo della batteria.

Ripensare Immuni
Dopo l’annuncio di Apple e Google divenne evidente che la soluzione di Bending Spoons dovesse essere ripensata, passando a un sistema decentralizzato. Questo cambiamento comportò l’avvio di un confronto tra l’azienda e il governo, che non mostrò di avere preclusioni, ma che chiese tempo per effettuare ulteriori approfondimenti tecnici e sugli effetti per la tutela della privacy. Ai primi di maggio furono sciolte le riserve, e Bending Spoons iniziò a lavorare alla nuova versione, in attesa che Apple e Google diffondessero una versione stabile e funzionante dei loro sistemi.

Intanto proseguivano gli approfondimenti sulla privacy e in particolare sul centro dati che sarebbe stato utilizzato dalla piattaforma. Fonti vicine a Bending Spoons hanno confermato al Post che inizialmente la scelta era ricaduta su Google Cloud Platform, uno dei più grandi servizi per la gestione dei dati in remoto, ma al governo non piaceva molto l’idea di raccogliere dati (per quanto completamente anonimi e cifrati) su un sistema sul quale non avrebbe potuto esercitare un controllo diretto, e comunque gestito da un’azienda fuori dall’Unione Europea.

Un nuovo confronto interno portò a scegliere le due società pubbliche Sogei e PagoPa per la gestione della piattaforma, in modo da mantenere il più possibile il controllo dei dati interno allo Stato. Sogei (Società generale d’informatica) è controllata dal ministero dell’Economia e si occupa dello sviluppo dei sistemi informatici per la pubblica amministrazione, come per esempio quello per il cosiddetto “730 precompilato”. Per Immuni, ha assunto la responsabilità della gestione dell’infrastruttura informatica sulla quale passano i dati anonimi sui casi positivi al coronavirus. Il coinvolgimento di Sogei ha richiesto qualche tempo tecnico in più, ma secondo molti osservatori ha contribuito a rendere più sicuro il sistema, evitando la presenza di soggetti terzi nella gestione dei dati.

Ritardi?
Settimane di lavoro, confronti e valutazioni da parte di esperti e del Garante per la privacy sono sfociati questa settimana nel rilascio della prima versione di Immuni, che può essere scaricata gratuitamente tramite App Store (iPhone) e tramite Google Play Store (Android). Diversi partecipanti al progetto hanno ammesso che lo sviluppo dell’applicazione sarebbe potuto procedere più velocemente, ma che ci sarebbe stato il rischio di avere un’app con problemi tecnici o meno affidabile dal punto di vista della tutela dei dati personali.

I tempi sono stati inoltre condizionati da circostanze fuori dal controllo di Bending Spoons o del governo. È stato per esempio necessario attendere intorno al 20 maggio perché Apple e Google pubblicassero gli aggiornamenti ai loro rispettivi iOS e Android, con le modifiche per rendere utilizzabili le app per il contact tracing basate sullo standard scelto dalle due aziende. Prima non sarebbe stato possibile diffondere Immuni: non avrebbe semplicemente funzionato. Vediamo perché.

Come funziona Immuni
Immuni si basa su una versione della tecnologia per la trasmissione di dati senza fili Bluetooth (BLE), simile a quella che consente a un paio di cuffie wireless di collegarsi al proprio smartphone e che Apple e Google hanno sbloccato nei loro sistemi operativi, rendendola accessibile anche per uno scopo diverso e inimmaginabile prima della pandemia come il tracciamento dei contatti.

Dopo averla scaricata e avviata, Immuni non richiede molte interazioni, a parte concederle di utilizzare il Bluetooth. Ogni giorno, l’applicazione genera una chiave alfanumerica (lettere e numeri) sulla base della quale produce un codice identificativo (ID), che viene poi emesso dallo smartphone tramite il Bluetooth per circa 15 minuti. Alla scadenza dell’ID, Immuni provvede a generarne uno nuovo, sempre legato alla stessa chiave nota solo all’applicazione. In questo modo diventa praticamente impossibile per un utente malintenzionato risalire da un ID a uno specifico smartphone.

Gli smartphone che hanno Immuni e che entrano in contatto tra loro (per esempio perché i loro proprietari si fermano sulla stessa panchina al parco o fanno la fila nello stesso supermercato) si scambiano gli ID e registrano l’informazione esclusivamente nella loro memoria, senza inviare il dato a nessun altro. Con un buon grado di approssimazione, l’app calcola anche la distanza minima raggiunta con gli altri smartphone e il tempo di permanenza in loro presenza: due informazioni importanti per stimare se l’avvicinamento a una persona che si è poi rivelata positiva fosse sufficiente per rischiare di rimanere contagiati. Immuni non registra mai la propria posizione geografica, né la condivide con altri: si basa esclusivamente sulla prossimità tra gli smartphone.

Paolo e Francesca
Comprendere il funzionamento di Immuni richiede un po’ di ginnastica mentale, proviamo con un esempio. Paolo si siede su una panchina al parco dove è seduta Francesca, che non conosce: lui sta ascoltando un po’ di musica, lei sta leggendo un libro. Dopo una ventina di minuti, Francesca chiude il libro, si alza e fa una passeggiata fino a casa. Il giorno dopo inizia a sentirsi poco bene, ha qualche linea di febbre e difficoltà a respirare, il suo medico le prescrive un test tramite tampone per verificare l’eventuale presenza del coronavirus. Francesca effettua il test, passa un giorno e viene contattata da un operatore sanitario che l’avvisa di essere risultata positiva e che dovrà rimanere in isolamento a casa, avendo cura di segnalare al medico l’eventuale peggioramento dei sintomi.

L’operatore propone poi a Francesca, che aveva già installato Immuni, di usarla per segnalare il suo caso, in modo che possano essere avvertite le persone incrociate nei giorni precedenti e con l’app sui loro smartphone. Francesca acconsente, l’operatore le chiede di leggerle un codice che genera l’applicazione (nella sezione “Caricamento dati”), di fornire la provincia in cui vive e indicativamente il giorno in cui ha iniziato ad avere i sintomi.

Queste informazioni vengono inviate dall’operatore al centro dati, dopodiché Francesca ha circa due minuti per premere il tasto “Verifica” sulla sua Immuni, in modo che l’app possa confermare la corrispondenza con il codice inserito dall’operatore e possa avviare il trasferimento delle chiavi che aveva generato nei giorni precedenti (quelle che servono per produrre gli ID ogni 15 minuti). Nessun dato personale o riconducibile a Francesca viene trasmesso e caricato.

Mentre Francesca è a casa a letto con la febbre, Paolo è a passeggio ignaro di tutto. Come ogni giorno, la sua app Immuni si collega al centro dati e chiede l’elenco delle chiavi caricate dalle app dalle persone risultate positive negli ultimi giorni, come Francesca. Scaricata la lista delle chiavi, Immuni verifica eventuali compatibilità con gli ID che aveva captato dagli smartphone delle persone con cui era entrato in contatto Paolo. Trova una corrispondenza con una chiave (quella di Francesca) e attiva quindi una notifica che Paolo vede sullo schermo del suo telefono: Immuni gli segnala di essere entrato in contatto con qualcuno poi risultato positivo e che poteva essere contagioso. Paolo non saprà mai che fosse Francesca la persona contagiosa, ciò che conta è altro: che sappia di essere stato esposto, che applichi qualche precauzione in più e che consulti un medico.

Garanzie e sperimentazione
Fortunatamente, spiegare il funzionamento di Immuni è molto più complicato di quanto non sia utilizzare l’applicazione. Comprenderne i meccanismi di base può però essere utile per farsi un’idea della complessità del sistema, del perché abbia richiesto tempi lunghi per essere sviluppato e delle garanzie in termini di privacy che offre, come riconosciuto da analisti ed esperti informatici. Per ulteriore tutela nel punto critico del sistema, quello che prevede la trasmissione dei dati dal centro dati ai singoli smartphone, sono stati inoltre sviluppati sistemi per produrre finte comunicazioni di disturbo, in modo che i dati non possano essere intercettati facilmente mentre vengono trasmessi. Le informazioni sono comunque anonime e frammentate in migliaia di ID, sarebbe quindi molto difficile risalire a persone specifiche.

Anche se Immuni può già essere scaricata da tutti, occorrerà attendere l’esito di una prima sperimentazione in Liguria, Marche, Abruzzo e Puglia decisa per verificare le funzionalità dell’app e correggere eventuali malfunzionamenti. La fase di test sarà avviata l’8 giugno e dovrebbe durare pochi giorni, prima di estendere le funzioni dell’app al resto dell’Italia. La partenza parziale potrebbe causare qualche incomprensione tra chi scarica Immuni in regioni diverse dalle quattro indicate per la sperimentazione, ottenendo un’app che appare come funzionante anche se non ancora completamente operativa.

La scelta di questa fase di avvio ha portato a qualche critica, diretta soprattutto verso le scelte comunicative del governo ritenute molto carenti. Le varie fasi di sviluppo di Immuni potevano essere comunicate in modo più trasparente e divulgativo da parte delle istituzioni, alle quali va comunque riconosciuto di avere reso pubblici e accessibili codici, risorse e documenti necessari per fare funzionare Immuni. Il governo ha chiesto a Bending Spoons di non comunicare, ritenendo più utile fare arrivare le informazioni solamente dalle istituzioni, ma ha poi fallito nel dare aggiornamenti puntuali e chiari sullo stato dell’avanzamento dei lavori, contribuendo a creare aspettative per tempi di realizzazione che erano tecnicamente irrealistici.

Funzionerà?
Immuni, come le applicazioni simili che stanno emergendo negli altri paesi, è in un certo senso una novità senza precedenti nel panorama delle app e dei servizi tramite smartphone: è quindi difficile fare previsioni su quanto potrebbe rivelarsi utile per contrastare la diffusione dell’epidemia da coronavirus nel nostro paese. Dove sono state impiegate soluzioni simili, come in Corea del Sud, non è stato ancora possibile determinare se abbiano avuto o meno un impatto positivo e in che misura. Il contact tracing viene eseguito in primo luogo attraverso il lavoro di addetti, che si occupano di ricostruire le catene dei contagi verificando se gli esposti siano stati infettati. Le applicazioni possono facilitare alcuni passaggi di questo processo, facendo anche aumentare il senso di responsabilità tra i singoli.

L’eventuale successo di Immuni dipenderà anche da quante persone decideranno di utilizzare l’applicazione. In pochi giorni è stata scaricata da oltre un milione di persone, mentre altre che avrebbero voluto installarla non lo hanno potuto fare. Immuni può infatti funzionare solo se si installata su iPhone con la versione più recente di iOS (la 13.5) e sugli smartphone Android dalla versione Marshmallow (la 6) in poi. Ciò rende Immuni potenzialmente utilizzabile su 10.400 modelli diversi di smartphone compatibili con Android, ma fa aumentare il rischio che su alcuni modelli l’app non riesca a funzionare.

In questi giorni sono per esempio emersi problemi con i dispositivi Huawei e Honor, che impiegano una versione modificata di Android che impedisce alle app di continuare a funzionare a lungo quando sono in secondo piano. Il blocco dipende da Huawei e non può essere aggirato da Bending Spoons, ma sono comunque stati avviati contatti con l’azienda cinese per provare a migliorare la situazione. Apple sta invece valutando se estendere la funzionalità a iOS 12, in modo da offrire una maggiore compatibilità anche sugli iPhone meno recenti (iOS 13 in Italia è comunque installato sul 70 per cento circa dei dispositivi mobili Apple).

Queste limitazioni potrebbero influire sulla quantità di smartphone su cui sarà attiva Immuni in queste prime settimane dalla sua pubblicazione. Mentre era ancora in fase di sviluppo erano circolate previsioni, piuttosto pessimistiche, che sostenevano la necessità di avere Immuni installata su almeno il 60 per cento degli smartphone in Italia per ottenere qualche risultato. La stima era basata su una situazione molto diversa dall’attuale con una popolazione ancora completamente suscettibile al coronavirus, un numero di nuovi positivi molto alto ogni giorno e una fase di lockdown appena agli inizi. Proprio grazie alle restrizioni imposte per quasi due mesi e al distanziamento fisico ora la situazione è migliorata, e si stima che Immuni potrebbe rivelarsi utile anche se attiva su una percentuale inferiore di smartphone.

È comunque vero che più smartphone avranno Immuni attiva maggiori saranno le probabilità di avere qualche effetto positivo, per quanto ancora difficile da prevedere a pochi giorni dall’arrivo dell’applicazione. Per questo il governo e chi l’ha realizzata confida sia scaricata il più possibile: non è detto che aiuti a salvare migliaia di vite, ma se contribuisse anche solo a salvarne una, ne sarebbe comunque valsa la pena.