La sfida delle app di prossimità per la traccia dei contatti COVID-19

In tutto il mondo, un coro diversificato e in crescita chiede l'uso della tecnologia di prossimità per smartphone per combattere COVID-19. In particolare, gli esperti di salute pubblica e altri sostengono che gli smartphone potrebbero fornire una soluzione a un bisogno urgente di una tracciabilità dei contatti rapida e diffusa, vale a dire il monitoraggio di chi contatta le persone infette mentre si muovono nel mondo. I fautori di questo approccio sottolineano che molte persone possiedono già smartphone, che vengono spesso utilizzati per tracciare i movimenti e le interazioni degli utenti nel mondo fisico.

Ma non è un dato di fatto che il monitoraggio dello smartphone risolverà questo problema e i rischi che comporta per la privacy individuale e le libertà civili sono notevoli . Il tracciamento della posizione , ad esempio l'uso del GPS e delle informazioni sul sito cellulare, non è adatto alla traccia dei contatti perché non rivelerà in modo affidabile le strette interazioni fisiche che gli esperti ritengono possano diffondere la malattia. Invece, gli sviluppatori si stanno rapidamente radunando attorno alle applicazioni per il tracciamento di prossimità , che misura la potenza del segnale Bluetooth per determinare se due smartphone erano abbastanza vicini tra loro per consentire ai loro utenti di trasmettere il virus. In questo approccio, se uno degli utenti viene infettato, altri la cui vicinanza è stata registrata dall'app potrebbero essere individuati, messi in quarantena e sottoposti a test. Proprio oggi, Apple e Google hanno annunciato le API (Application Programming Interface) congiunte utilizzando questi principi che verranno implementati in iOS e Android a maggio. Numerose applicazioni progettate in modo simile sono ora disponibili o verranno lanciate presto.

Come parte della risposta della società quasi senza precedenti a COVID-19, tali app sollevano domande difficili sulla privacy, l'efficacia e l'ingegneria responsabile della tecnologia per far progredire la salute pubblica. Soprattutto, non dovremmo fidarci di alcuna applicazione, non importa quanto ben progettata, per risolvere questa crisi o rispondere a tutte queste domande. Le applicazioni di tracciamento dei contatti non possono compensare la carenza di trattamenti efficaci, dispositivi di protezione individuale e test rapidi, tra le altre sfide.

COVID-19 è una crisi mondiale, che minaccia di uccidere milioni e ribaltare la società, ma la storia ha dimostrato che le eccezioni alle protezioni per le libertà civili fatte in un periodo di crisi spesso persistono molto più a lungo della crisi stessa. Con le tutele tecnologiche, le sofisticate app di tracciamento della prossimità possono evitare le insidie ​​comuni sulla privacy del tracciamento della posizione. Gli sviluppatori e i governi dovrebbero anche considerare i limiti legali e politici sull'uso di queste app. Soprattutto, la scelta di utilizzarli dovrebbe spettare ai singoli utenti, che dovrebbero informarsi dei rischi e dei limiti e insistere sulle garanzie necessarie. Alcune di queste garanzie sono discusse di seguito.

Come funzionano le app di prossimità?

Esistono molte proposte diverse per le app di tracciamento della prossimità basate su Bluetooth, ma a un livello elevato, iniziano con un approccio simile. L'app trasmette un identificatore univoco tramite Bluetooth che altri telefoni vicini possono rilevare. Per proteggere la privacy, molte proposte , tra cui le API Apple e Google , hanno l'identificatore di ciascun telefono ruotato frequentemente per limitare il rischio di tracciamento di terze parti.

Quando due utenti dell'app si avvicinano, entrambe le app stimano la distanza tra loro utilizzando la potenza del segnale Bluetooth. Se le app stimano che siano distanti meno di circa sei piedi (o due metri) per un periodo di tempo sufficiente, le app si scambiano identificatori. Ogni app registra un incontro con l'identificatore dell'altra. La posizione degli utenti non è necessaria, poiché l'applicazione deve solo sapere se gli utenti sono sufficientemente vicini per creare un rischio di infezione.

Quando un utente dell'app viene a sapere di essere infetto da COVID-19, altri utenti possono essere informati del proprio rischio di infezione. Qui è dove diversi design per l'app divergono significativamente.

Alcune app si basano su una o più autorità centrali che hanno accesso privilegiato alle informazioni sui dispositivi degli utenti. Ad esempio, TraceTogether , sviluppato per il governo di Singapore, richiede a tutti gli utenti di condividere le proprie informazioni di contatto con gli amministratori dell'app. In questo modello, l'autorità mantiene un database che mappa gli identificativi delle app alle informazioni di contatto. Quando un utente risulta positivo, la sua app carica un elenco di tutti gli identificativi con cui è entrata in contatto nelle ultime due settimane. L'autorità centrale cerca quegli identificatori nel suo database e utilizza numeri di telefono o indirizzi e-mail per contattare altri utenti che potrebbero essere stati esposti. Questo mette molte informazioni degli utenti fuori dal loro controllo e nelle mani del governo. Questo modello crea rischi inaccettabili di tracciamento pervasivo delle associazioni di individui e non dovrebbe essere impiegato da altri enti di sanità pubblica.

Altri modelli si basano su un database che non memorizza quante più informazioni sugli utenti dell'app. Ad esempio, in realtà non è necessario che un'autorità memorizzi informazioni di contatto reali. Invece, gli utenti infetti possono caricare i loro registri di contatti in un database centrale, che memorizza identificatori anonimi per tutti coloro che potrebbero essere stati esposti. Quindi, i dispositivi degli utenti che non sono infetti possono eseguire regolarmente il ping dell'autorità con i propri identificatori. L'autorità risponde a ciascun ping con se l'utente è stato esposto. Con le garanzie di base in atto, questo modello potrebbe essere più protettivo della privacy degli utenti. Sfortunatamente, può ancora consentire all'autorità di apprendere le reali identità degli utenti infetti. Con garanzie più sofisticate, come la miscelazione crittografica, il sistema potrebbe offrire garanzie sulla privacy leggermente più forti.

Alcune proposte vanno oltre, pubblicando l'intero database pubblicamente. Ad esempio, la proposta di Apple e Google , pubblicata il 10 aprile, trasmetterà un elenco di chiavi associate a persone infette alle persone vicine con l'app. Questo modello ripone meno fiducia in un'autorità centrale, ma crea nuovi rischi per gli utenti che condividono il loro stato di infezione che devono essere mitigati o accettati.

Alcune app richiedono alle autorità, come i funzionari sanitari, di certificare che un individuo è infetto prima di poter avvisare altri utenti dell'app. Altri modelli potrebbero consentire agli utenti di segnalare autonomamente lo stato o i sintomi dell'infezione, ma questi potrebbero comportare un numero significativo di falsi positivi, che potrebbero compromettere l'utilità dell'app.

In breve, mentre c'è una promessa iniziale in alcune delle idee per l'ingegneria delle app di monitoraggio della prossimità, ci sono molte domande aperte.

Le app di prossimità sarebbero efficaci?

La tracciabilità dei contatti tradizionale è piuttosto laboriosa, ma può essere abbastanza dettagliata. Gli operatori sanitari pubblici intervistano la persona con la malattia per conoscere i loro movimenti e le persone con cui sono stati in stretto contatto. Ciò può includere interviste con familiari e altri che potrebbero conoscere maggiori dettagli. Gli operatori sanitari pubblici quindi contattano queste persone per offrire aiuto e cure secondo necessità, e talvolta intervistarle per tracciare ulteriormente la catena di contatti. È difficile farlo su larga scala durante una pandemia. Inoltre, la memoria umana è fallibile, quindi anche l'immagine più dettagliata ottenuta attraverso le interviste può avere lacune o errori significativi.

Qualsiasi traccia dei contatti delle app di prossimità non sostituisce l'intervento diretto degli operatori della sanità pubblica. È anche dubbio che un'app di prossimità possa aiutare sostanzialmente a condurre la traccia dei contatti COVID-19 durante un periodo come quello attuale, quando la trasmissione della comunità è così alta che gran parte della popolazione generale si sta riparando sul posto e quando non ci sono test sufficienti per tracciare il virus. Quando ci sono così tante persone infettive non diagnosticate nella popolazione, gran parte delle quali sono asintomatiche , un'app di prossimità non sarà in grado di avvertire della maggior parte dei rischi di infezione. Inoltre, senza test rapidi e ampiamente disponibili, anche qualcuno con sintomi non può confermare di iniziare il processo di notifica. E a tutti è già stato chiesto di evitare la vicinanza alle persone al di fuori della propria famiglia.

Tuttavia, tale app potrebbe essere utile con la traccia dei contatti in un momento che speriamo arrivi presto, quando la trasmissione della comunità è abbastanza bassa da consentire alla popolazione di smettere di rifugiarsi sul posto e quando ci sono test sufficienti per diagnosticare COVID-19 in modo rapido ed efficiente a scala.

La traccia dei contatti tradizionale è utile solo per i contatti che il soggetto può identificare. COVID-19 è eccezionalmente contagioso e può essere diffuso da persona a persona durante incontri anche brevi. Un breve scambio tra un commesso di generi alimentari e un cliente, o tra due passeggeri sui mezzi pubblici, può essere sufficiente affinché una persona infetti l'altra. Molte persone non raccolgono informazioni di contatto per tutti quelli che incontrano, ma le app possono farlo automaticamente. Ciò potrebbe renderli utili complementi alla traccia dei contatti tradizionale.

Ma un'app tratterà il contatto tra due persone che passano sul marciapiede allo stesso modo del contatto tra coinquilini o partner romantici, anche se questi comportano rischi di trasmissione molto maggiori. Senza testare un'app nel mondo reale, che comporta rischi per la privacy e la sicurezza, non possiamo essere sicuri che un'app non registrerà anche le connessioni tra persone separate da muri o in due auto adiacenti fermate alla luce. Inoltre, le app non tengono conto del fatto che i loro utenti indossino dispositivi di protezione e possono segnalare in modo eccessivo l'esposizione a utenti come il personale ospedaliero o i dipendenti dei negozi di alimentari, nonostante le ulteriori precauzioni contro le infezioni. Non è chiaro in che modo i vincoli tecnologici dei calcoli di prossimità Bluetooth informeranno le decisioni in materia di salute pubblica di notifica di individui potenzialmente infetti. È meglio che queste applicazioni siano leggermente più sensibili e rischino di avvisare eccessivamente le persone che potrebbero non essere state effettivamente in piedi a meno di un metro e mezzo da un utente infetto per il tempo necessario? O l'applicazione dovrebbe avere soglie più elevate in modo che un utente notificato possa avere più sicurezza di essere stato effettivamente esposto?

Inoltre, queste app possono registrare i contatti solo tra due persone, ognuna delle quali ha un telefono abilitato al Bluetooth e con l'app installata. Ciò evidenzia un'altra condizione necessaria affinché un'app di prossimità sia efficace: la sua adozione da parte di un numero sufficientemente elevato di persone. Le API di Apple e Google tentano di affrontare questo problema offrendo una piattaforma comune per le autorità sanitarie e gli sviluppatori per creare applicazioni che offrono funzionalità e protezioni comuni. Queste aziende aspirano anche a creare le proprie applicazioni che interagiranno più direttamente e accelereranno l'adozione. Ma anche in quel caso, una percentuale considerevole della popolazione mondiale, inclusa buona parte della popolazione degli Stati Uniti, potrebbe non avere accesso a uno smartphone con l'ultima versione di iOS o Android. Ciò evidenzia la necessità di continuare a utilizzare misure di sanità pubblica comprovate come test e tracciabilità dei contatti tradizionali, per garantire che le popolazioni già emarginate non vengano perse.

Non possiamo risolvere una pandemia codificando l'app perfetta. I problemi sociali duri non sono risolti dalla tecnologia magica, tra le altre ragioni perché non tutti avranno accesso agli smartphone e alle infrastrutture necessari per far funzionare questo.

Infine, non dovremmo fare eccessivamente affidamento sulla promessa di un'app non dimostrata di prendere decisioni critiche, come decidere chi dovrebbe smettere di rifugiarsi sul posto e quando. Applicazioni affidabili di questo tipo in genere passano attraverso molti cicli di sviluppo e livelli di test e controllo della qualità, il che richiede tempo. E anche allora, le nuove app hanno spesso dei bug. Un'app di tracciamento della prossimità difettosa potrebbe portare a falsi positivi, falsi negativi o forse entrambi.

Le app di prossimità farebbero troppo male alle nostre libertà?

Qualsiasi app di prossimità crea nuovi rischi per gli utenti della tecnologia. Un registro della vicinanza di un utente ad altri utenti potrebbe essere utilizzato per mostrare a chi si associano e dedurre ciò che stavano facendo. Il timore di divulgare tali informazioni di prossimità potrebbe impedire agli utenti di partecipare ad attività espressive in luoghi pubblici. I gruppi vulnerabili sono spesso gravati in modo sproporzionato dalla tecnologia di sorveglianza e il monitoraggio della prossimità potrebbe non essere diverso. E i dati di prossimità o le diagnosi mediche potrebbero essere rubati da avversari come governi stranieri o ladri di identità.

A dire il vero, alcune tecnologie comunemente utilizzate creano rischi simili. Molti tracciano e segnalano la tua posizione, da Fitbit a Pokemon Go. Il solo trasporto di un telefono cellulare comporta il rischio di tracciamento attraverso la triangolazione del tower tower. I negozi tentano di estrarre il traffico pedonale dei clienti tramite Bluetooth . Molti utenti sono "optati" per servizi come i servizi di localizzazione di Google, che tengono un registro dettagliato di ovunque siano andati. Facebook tenta di quantificare le associazioni tra le persone attraverso una miriade di segnali, incluso l'uso del riconoscimento facciale per estrarre dati da fotografie, collegare account a dati di contatto e estrarre interazioni digitali. Anche i servizi di tutela della privacy come Signal possono esporre le associazioni attraverso i metadati.

Pertanto, l'aggiunta proposta del monitoraggio della prossimità a queste altre forme esistenti di monitoraggio non sarebbe un vettore di minaccia completamente nuovo. Ma la scala potenzialmente globale di API e app di tracciamento dei contatti e la loro raccolta di informazioni sensibili sulla salute e sull'associazione, presentano nuovi rischi per un numero maggiore di utenti.

Il contesto è importante, ovviamente. Siamo di fronte a una pandemia senza precedenti. Decine di migliaia di persone sono morte e centinaia di milioni di persone sono state incaricate di rifugiarsi sul posto. Un vaccino è previsto tra 12 e 18 mesi . Sebbene ciò dia urgenza ai progetti di app di prossimità, dobbiamo anche ricordare che questa crisi finirà, ma le nuove tecnologie di tracciamento tendono a rimanere in sospeso. Pertanto, gli sviluppatori di app di prossimità devono essere certi di sviluppare una tecnologia che preserverà la privacy e la libertà che tutti noi amiamo, quindi non sacrifichiamo i diritti fondamentali in caso di emergenza. Fornire garanzie sufficienti contribuirà a mitigare questo rischio. È necessaria la piena trasparenza sul funzionamento delle app e delle API, incluso il codice open source, affinché le persone possano comprendere e dare il proprio consenso informato ai rischi.

Un'app di prossimità ha salvaguardie sufficienti?

Esortiamo gli sviluppatori di app a fornire e gli utenti a richiedere le seguenti garanzie necessarie:

Consenso

Il consenso informato, volontario e facoltativo è il requisito fondamentale per qualsiasi applicazione che traccia le interazioni di un utente con altri nel mondo fisico. Inoltre, le persone che scelgono di utilizzare l'app e poi apprendono di essere malate devono anche scegliere se condividere un registro dei loro contatti. I governi non devono richiedere l'uso di alcuna applicazione di prossimità. Né ci dovrebbe essere una pressione informale per utilizzare l'app in cambio dell'accesso ai servizi pubblici. Allo stesso modo, le parti private non devono richiedere l'uso dell'app per accedere agli spazi fisici o ottenere altri vantaggi.

Le persone dovrebbero anche avere l'opportunità di disattivare l'app di tracciamento della prossimità. Gli utenti che acconsentono a un monitoraggio della prossimità potrebbero non acconsentire ad altri controlli della prossimità, ad esempio, quando svolgono attività particolarmente sensibili come visitare un fornitore di servizi medici o impegnarsi nell'organizzazione politica. Le persone possono trattenere queste informazioni dalle tradizionali interviste di tracciamento dei contatti con gli operatori sanitari e la tracciabilità dei contatti digitali non deve essere più invadente. Le persone hanno maggiori probabilità di attivare le app di prossimità in primo luogo (il che può essere positivo per la salute pubblica) se sanno di avere la prerogativa di spegnerlo e riaccenderlo quando lo desiderano.

Mentre può essere allettante richiedere l'uso di un'app di tracciamento dei contatti, l'interferenza con l'autonomia personale è inaccettabile. La salute pubblica richiede fiducia tra i funzionari della sanità pubblica e il pubblico e la paura della sorveglianza può far sì che le persone evitino i test e le cure. Questa è una preoccupazione particolarmente acuta nelle comunità emarginate che hanno ragioni storiche per diffidare della partecipazione coatta in nome della salute pubblica. Sebbene alcuni governi possano ignorare il consenso dei loro cittadini, raccomandiamo agli sviluppatori di non collaborare con tali governi.

Minimizzazione

Qualsiasi applicazione di monitoraggio della prossimità per la traccia dei contatti dovrebbe raccogliere le informazioni meno possibili. Questo è probabilmente solo un record di due utenti vicini l'uno all'altro, misurati tramite la potenza del segnale Bluetooth più i tipi di dispositivo e un marcatore unico e rotante per il telefono dell'altra persona. L'applicazione non dovrebbe raccogliere informazioni sulla posizione. Né dovrebbe raccogliere informazioni di data e ora, tranne forse la data (se i funzionari della sanità pubblica ritengono che questo sia importante per contattare la traccia).

Il sistema dovrebbe conservare le informazioni per il minor tempo possibile, che probabilmente viene misurato in giorni e settimane e non mesi. I funzionari della sanità pubblica dovrebbero definire l'incremento del tempo per il quale i dati di prossimità potrebbero essere rilevanti ai fini del tracciamento dei contatti. Tutti i dati non più rilevanti devono essere eliminati automaticamente.

Qualsiasi autorità centrale che mantiene o pubblica database di identificatori anonimi non deve raccogliere o archiviare metadati (come indirizzi IP) che possono collegare identificatori anonimi a persone reali.

L'applicazione deve raccogliere informazioni esclusivamente ai fini della traccia dei contatti. Inoltre, dovrebbero esserci forti barriere tra (a) l'app di monitoraggio della prossimità e (b) qualsiasi altra cosa che un produttore di app sta raccogliendo, come dati aggregati sulla posizione o cartelle cliniche individuali.

Infine, per quanto possibile, le informazioni raccolte dovrebbero risiedere sul dispositivo di un utente, piuttosto che sui server gestiti dallo sviluppatore dell'applicazione o da un ente sanitario pubblico. Questo presenta sfide ingegneristiche. Ma gli elenchi di dispositivi con cui l'utente è stato in prossimità dovrebbero rimanere sul dispositivo dell'utente stesso, in modo che il controllo se un utente abbia incontrato qualcuno infetto avvenga localmente.

Informazioni di sicurezza

Un'applicazione in esecuzione in background su un telefono e che registra la vicinanza di un utente ad altri utenti presenta notevoli rischi per la sicurezza delle informazioni. Come sempre, limitare la superficie di attacco e la quantità di informazioni raccolte ridurrà questi rischi. Gli sviluppatori dovrebbero open-source il loro codice e sottoporlo a audit di terze parti e test di penetrazione. Dovrebbero inoltre pubblicare dettagli sulle loro pratiche di sicurezza.

Potrebbe essere necessaria un'ulteriore progettazione per garantire che gli avversari non possano compromettere l'efficacia di un sistema di tracciamento di prossimità o ricavare informazioni rivelatrici sugli utenti dell'applicazione. Ciò includerebbe la prevenzione delle persone che segnalano erroneamente infezioni come forma di traina o negazione del servizio, oltre a garantire che gli avversari dotati di risorse adeguate che monitorano i metadati non possano identificare le persone che utilizzano l'app o registrare le loro connessioni con gli altri.

Gli identificatori "anonimi" non devono essere collegabili. Gli identificatori a rotazione regolare utilizzati dal telefono sono un inizio, ma se un avversario può apprendere che più identificatori appartengono allo stesso utente, aumenta notevolmente il rischio di poter legare tale attività a una persona reale. Quando comprendiamo la proposta di Apple e Google, agli utenti che risultano positivi si chiede di caricare le chiavi che collegano tutti i loro identificatori per un periodo di 24 ore. (Abbiamo chiesto chiarimenti ad Apple e Google.) Ciò potrebbe consentire ai tracker di raccogliere identificatori rotanti se avessero accesso a una rete capillare di lettori bluetooth, quindi di tenere traccia dei movimenti degli utenti infetti nel tempo. Ciò rompe le protezioni create utilizzando innanzitutto gli identificatori rotanti. Per tale motivo, gli identificatori a rotazione devono essere caricati su qualsiasi autorità centrale o database in modo da non rivelare il fatto che molti identificatori appartengono alla stessa persona. Ciò può richiedere che il caricamento dei token di un singolo utente venga eseguito il batch con i dati di altri utenti o distribuito nel tempo.

Infine, i governi potrebbero tentare di forzare gli sviluppatori tecnologici a sovvertire i limiti da loro stabiliti, ad esempio modificando l'applicazione per segnalare gli elenchi di contatti a un'autorità centrale. La trasparenza attenuerà questi rischi, ma rimangono inerenti alla costruzione e alla distribuzione di tale applicazione. Questo è uno dei motivi per cui chiediamo agli sviluppatori di tracciare linee chiare sugli usi dei loro prodotti e impegnarsi a resistere agli sforzi del governo per intromettersi nella progettazione, come abbiamo visto aziende come Apple nel caso di San Bernardino .

Trasparenza

Le entità che sviluppano queste app devono pubblicare report su ciò che stanno facendo, su come lo stanno facendo e sul perché lo stanno facendo. Devono inoltre pubblicare codice open source, nonché politiche che affrontano i suddetti problemi di privacy e sicurezza delle informazioni. Questi dovrebbero includere impegni per evitare altri usi delle informazioni raccolte dall'app e un impegno per evitare interferenze del governo nella misura consentita dalla legge. Indicato come politica di applicazione, ciò dovrebbe anche consentire l'applicazione di violazioni attraverso le leggi sulla protezione dei consumatori.

Affrontare il bias

Come discusso in precedenza, le applicazioni di tracciamento dei contatti tralasceranno le persone senza accesso alle ultime tecnologie. Favoriranno anche coloro che sono predisposti a contare sulle aziende tecnologiche e sul governo per soddisfare le loro esigenze. Dobbiamo garantire che gli sviluppatori e il governo non tralascino direttamente o indirettamente i gruppi emarginati facendo affidamento su queste applicazioni ad esclusione di altri interventi.

Dall'altro lato, queste app possono portare a molti più falsi positivi per determinati tipi di utenti, come i lavoratori nei settori della salute o dei servizi. Questo è un altro motivo per cui le app di tracciamento dei contatti non devono essere utilizzate come base per escludere le persone dal lavoro, dalle riunioni pubbliche o dai benefici del governo.

Scadenza

Al termine della crisi COVID-19, dovrebbe terminare anche qualsiasi applicazione creata per combattere la malattia. Definire la fine della crisi sarà una domanda difficile, quindi gli sviluppatori dovrebbero assicurarsi che gli utenti possano recedere in qualsiasi momento. Dovrebbero anche prendere in considerazione la possibilità di stabilire limiti di tempo nelle loro stesse applicazioni, insieme a regolari check-in con gli utenti per decidere se vogliono continuare a trasmettere. Inoltre, poiché i principali fornitori come Apple e Google gettano il loro peso dietro queste applicazioni, dovrebbero articolare le circostanze in cui saranno e non costruiranno prodotti simili in futuro.

La tecnologia ha il potere di amplificare gli sforzi della società per affrontare problemi complessi, e questa pandemia ha già ispirato molti dei migliori e più brillanti. Ma conosciamo anche troppo bene la capacità dei governi e degli enti privati ​​di implementare tecnologie di tracciamento dannose. Soprattutto, anche se combattiamo COVID-19, dobbiamo garantire che la parola "crisi" non diventi un talismano magico che può essere invocato per costruire mezzi nuovi e sempre più intelligenti per limitare le libertà delle persone attraverso la sorveglianza.