E' di poche ore fa la notizia del rilascio del codice sorgente del software IMMUNI da parte del Ministero dell’Innovazione.

IMMUNI è  l'attesa  nuova applicazione di “contact tracing” commissionata  dal governo italiano per raccogliere dati statistici di controllo e informazioni utili al contenimento della diffusione del virus  Covid19 nel nostro paese.  Il  Ministero ha dichiarato nel suo annuncio che questo software è frutto della collaborazione tra Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio, Ministero della Salute e Commissario straordinario per l’emergenza Covid-19. 

L’applicazione, secondo quanto dichiarato ha lo scopo di migliorare efficienza e velocità nell’individuare soggetti che hanno avuto contatti con persone risultate positive agli esami di laboratorio. Il nuovo sistema potrà contribuire anche all’individuazione di eventuali nuovi focolai. Tutto questo nel rispetto della privacy e della sicurezza individuale e nazionale.

E' importante però ribadire che, quella rilasciata oggi, NON è ancora l'applicazione utilizzabile dall'utente ma soltanto la sua versione "for developers" offerta ai beta-tester open-source e rilasciata sulla piattaforma  Github  che rappresenta una fra quelle maggiormente utilizzate dalle diverse comunità di sviluppatori di software in tutto il mondo. "L'applicazione definitiva dovrebbe essere rilasciata entro la prima decade di giugno", ha spiegato il viceministro della Salute, Pierpaolo Sileri. Quando partirà una prima fase di  sperimentazione in 3 regioni: Liguria, Abruzzo e Puglia.. Il Garante Privacy, Antonello Soro, ccommentando la relazione del Ministro della salute Speranza relativa alla valutazione d'impatto sulla privacy, ha approvato la volontarietà nell'uso e l'assenza di geolocalizzazione.

La ministra Paola Pisano aveva annunciato ad aprile il rilascio entro un mese di IMMUNI dichiarando che il codice sorgente dell’applicazione sarebbe stato reso disponibile in rete come "software libero e aperto”.  Il software rilasciato, stante quanto appare nella documentazione tecnica che l'accompagna su Github, sembra mantenere quanto promesso in quanto il codice è “aperto” e rilasciato secondo una General Public License GNU Affero 3 che limita l'utilizzo ai soli scopi di pubblica utilità.

IMMUNI è stata sviluppata dalla società milanese Bending Spoons  con la quale il commissario Domenico Arcuri ha stipulato un contratto  di concessione gratuita della licenza d’uso sul software, sul quale la Bending Spoons manterrà comunque i diritti di privativa industriale.   La presidenza del Consiglio, sarà quindi soltanto una Pubblica Amministrazione “licenziataria” e autorizzata all’uso del prodotto che non dovrebbe peraltro costare nulla al Governo.

Esiste un aspetto particolare, abbastanza tecnico, che risulta ancora da verificare sul reale banco  di prova del funzionamento. Questa App infatti sarà l’unica autorizzata per l’Italia ad utilizzare le speciali e nuovissime Google & Apple API (Application Program Interface) che sono il frutto di un recente accordo internazionale tra  i due colossi informatici. Si tratta di nuove “librerie” software  di interfacciamento tra periferiche mobili in grado di mettere in comunicazione diretta i sistemi operativi Android e iOS con applicazioni dei sistemi sanitari nazionali nei diversi paesi. Un aspetto non secondario, rispetto a questa App in Italia, sono i fattori e criteri di emergenza che hanno determinato la scelta di affidarne lo sviluppo alla Società Bending Spoons,  senza nessun procedimento di gara o evidenza pubblica. Appena avuta notizia di questo affidamento diretto ad una società commerciale si sono levate diverse voci che chiedono una verifica parlamentare e lo stesso COPASIR (Comitato parlamentare per la sicurezza della Repubblica)  intende approfondire la questione sia per gli aspetti di architettura societaria sia per quanto riguarda le forme scelte dal Commissario Arcuri per l'affidamento e la conseguente gestione dell'applicazione, non escludendo l'audizione dello stesso Arcuri ritenendo che si tratti di materia afferente alla sicurezza nazionale.

Stando a quanto dichiarato dalle due multinazionali, che ad aprile hanno sottoscritto un accordo di collaborazione patrocinato dalle amministrazioni di 22 stati,  con i prossimi aggiornamenti rilasciati per i due sistemi operativi mobili,  gli utenti di  sistemi Android o iOS potranno autorizzare una sola applicazione “nazionale” ad usare questa nuova tecnologia chiamata “notifica di esposizione” che viene resa oggi disponibile dai due produttori..  La App IMMUNI, su richiesta del Governo Italiano, sarà  l’unica applicazione autorizzata ad integrare tale tecnologia nel nostro paese. Una azienda privata, in questo caso particolare, opererà dunque in regime di assoluto monopolio su tutto il territorio nazionale, con un suo prodotto.

Ogni utente sul proprio cellulare o palmare potrà decidere di scaricare l'app Immuni e attivare la notifica di esposizione. Nessun tipo di utilizzo di dati personali o di altre informazioni sull'utente per scopi commerciali o pubblicitari sarà possibile attraverso tali API e all’interno delle App autorizzate ad usare questa tecnologia. Google e Apple dichiarano infatti che “Il sistema di notifica non raccoglie né utilizza la posizione dell’utente; gli utenti vengono interfacciati in prossimità mediante l’uso di una particolare tecnologia Bluetooth Low Energy. Se a qualcuno viene diagnosticato Covid-19, sta a questa persona decidere se segnalarlo o meno, all'interno dell’app dell’autorità sanitaria. La chiave del successo di questo sistema è  quindi l’adozione volontaria da parte degli utenti e crediamo che queste solide protezioni della privacy siano anche il modo migliore per incoraggiare l’uso di queste app“.

Ovviamente noi non abbiamo nessun motivo per dubitare della bontà di tali affermazioni. Ma sappiamo anche che esistono molte altre applicazioni mobili che utilizzano tecniche similari di tracking e notifica di contatti. Molte di queste sono App diffusissime ad esempio nel mondo del “dating”.  Applicazioni  mobili di questo genere vengono offerte sotto abbonamento ma spesso sono del tutto free. In quelle gratuite sono comunemente inserite pubblicità di vario genere. La logica è sempre quella di fare in modo che, ognuno di noi, anche per usufruire di tanti utili servizi digitali in mobilità raramente possa rifiutarsi di concedere l’utilizzo dei propri dati. Citando il noto libro "Internet non salverà il mondo" del sociologo Evgeny Morozov possiamo certamente affermare che "quando qualcosa sulla rete internet è gratis significa che la merce siamo NOI".

Non è quindi escluso e nemmeno chiarissimo se attraverso altre “librerie" condivise diverse dalle API “Google/Apple” di cui parliamo, che si ipotizza possano in futuro essere ospitate dai due sistemi, sarà in qualche modo possibile far in modo che un utente che abbia scaricato l’applicazione Immuni, seppure operando in anonimato,  possa essere in qualche modo  invitato a scaricare altre App, magari della stessa azienda produttrice. App nelle quali sia invitato a concedere l’utilizzo di cookies o altri metodi simili per avere servizi in cambio di dati tipo commerciale, pop-up pubblicitari o altro advertising,

Se il contratto con il Governo prevede che l'azienda Bending Spoon dovrà finanziare in autonomia i costi di sviluppo dell'applicazione senza ricevere alcun corrispettivo per il proprio impegno,  dubitare sugli sviluppi futuri pensiamo sia lecito. Anche perchè è spontaneo chiedersi quale sia il reale tornaconto aziendale nell'impegnarsi in un impresa titanica di questo tipo. La Bending Spoon non è una ONG ma una Società per Azioni leader nel proprio mercato (nota 1) . Siamo quindi certi che questa sua applicazione, con tutti i risvolti della situazione che si è venuta a creare a causa di questo contratto goivernativo, nei prossimi mesi indubbiamente finiranno sotto la lente di ingrandimento dei tanti critici e scettici.

Immaginiamo anche quanto chi dirige questa azienda pensi di poter trovare ben altre fonti di sostentamento, con cui far fronte a questo grosso  impegno. Perchè è proprio l'immenso bacino di potenziali utenti , nel mondo di informazioni digitali nel quale ci muoviamo, a rappresentare il reale ed enorme compenso che l'azienda riceverà in cambio.

Ma come funzionerà in dettaglio,  l’App IMMUNI?

Una volta che sarà distribuita e liberamente scaricabile da tutti gli utenti sulle due piattaforme Google Play e Apple Store, sempre secondo quanto descritto nella documentazione  che accompagna il  codice sorgente appena rilasciato l’app software dovrà essere installata volontariamente e anche autorizzata, da ogni utente,  Siamo certi che il codice rilasciato verrà da oggi sicuramente sottoposto al vaglio e all’esame attento  dei tanti critici e dei molti sviluppatori italiani e stranieri della comunità open source per testarne l’effettiva bontà e aderenza alle specifiche.

Le funzioni dichiarate del software fanno prevedere che il suo funzionamento debba seguire rigidamente una serie di linee guida, che riepilogo per maggior dettaglio:

• Quando due utenti si avvicinano l'uno all'altro per un tempo sufficiente e a distanza di possibile connessione BLE ovvero “bluetooth low energy” (con minimo consumo di energia e carica delle rispettive batterie) i loro dispositivi mobili  registrano reciprocamente l'identificatore di prossimità del registro nella propria memoria locale. Non esiste quindi nessun server che funga da sistema di raccolta dati.  
• Per esempio: non deve essere volontario solo il consenso ad adoperare l’interfaccia per lo scambio di dati tra dispositivi, ma anche per la condivisione del risultato di un test positivo serve il via libera dell’utente. Dev’essere esplicitamente vietato che le app possano accedere ai dati di localizzazione del dispositivo (visto che la soluzione bluetooth è stata preferita proprio per la maggiore tutela della privacy) e i database devono raccogliere la minima quantità di dati, da usare solo nel contenimento del Covid-19 (tutti gli usi per marketing e pubblicità mirate sono vietati).
• Questi identificatori sono generati da chiavi di esposizione temporanee e cambiano più volte ogni ora. Queste chiavi vengono *generate casualmente* dai rispettivi service provider e cambiano una volta al giorno.
• Quando un utente risulta positivo per SARS-CoV-2, il virus che causa COVID-19, ha la possibilità di caricare su un server le sue recenti chiavi di esposizione temporanea. Questa operazione può avvenire solo con la convalida di un sistema software esterno “nazionale” e controllato da un operatore sanitario.
• L'app IMMUNI scarica periodicamente le nuove chiavi di esposizione temporanea e le utilizza per ricavare gli identificativi di prossimità a rotazione degli utenti infetti per il passato recente. Quindi li confronta con quelli archiviati nella memoria del dispositivo e notifica all'utente se si è verificato un contatto a rischio.
• Il sistema, grazie all'utilizzo delle tecniche di prossimità BLE (Bluetooth Low Energy) di cui si è parlato, non utilizzerà mai, stante quanto dichiarato, nessun altro dato di geolocalizzazione attraverso riscontro di “celle” telefoniche in tecnologie 3G, 4G, o 5G oppure dati  satellitari GPS  o altri sistemi similari.

Approfondimento - nota 1)

E’ importante far notare che la Bending Spoons, nonostante venga sempre descritta come una “startup”, in realtà è oggi qualcosa di molto diverso. Si tratta infatti di  una  importante software house ben  strutturata, seppure di recente costituzione. E’ stata  fondata a Copenhagen  nel 2013, da  5 giovani trentenni:  Luca Ferrari, Francesco Patarnello, Matteo Danieli, Luca Querella e Tomasz Greber  che due anni dopo, nel 2015, l’hanno riportata in Italia.

In questi ultimi 5 anni la Bending Spoon SpA è cresciuta rapidamente e conta oggi  oltre 150 dipendenti e 45 milioni di fatturato (secondo l’ultimo bilancio d’esercizio 2018). Vanta per questo motivo il titolo di azienda leader e più grande  sviluppatore di applicazioni mobili in Europa con un portfolio di 20 diverse App grazie alle quali ha raggiunto complessivamente quasi 300 milioni di download nel mondo. Tra queste applicazioni, spiccano titoli come Splice (un editor specifico per la produzione di video in mobilità destinati ai moderni “social  influencers”  ) oppure  30 Day Fitness  o altri titoli simili destinati al training e al  supporto digitale per azioni di benessere psico-fisico.

Si ipotizza  che investitori privati e fondi di investimento (che attualmente detengono quote azionarie della società) saranno certamente attratti dalla notorietà e dalla fama  che rappresenta quel  bacino obbligato composto  da decine di milioni di potenziali utenti, offerto in regime di monopolio nel nostro paese. Stiamo parlando di milioni di persone che, si presume, saranno ampiamente sollecitati dal Governo e dalle campagne sui media ad utilizzare questa applicazione della Bending Spoons.  Quando forse non saranno addirittura costretti dalle prossime normative riguardanti l'emergenza Covid19.   Un bacino di decine di milioni di utenti di questo tipo e la notorietà raggiunta faranno certamente lievitare il valore delle azioni della Bending Spoons, che seppure venga stranamente definita ancora una startup, ha smesso da tempo di essere tale.