Incontro 28 — COVID-19 – Tra privacy, sicurezza e salute

Una pandemia globale ha costretto i governi a implementare sistemi di tracciamento digitale per monitorare e contenere il contagio. La necessità epidemica si scontra con diritti individuali di privacy e con rischi di proliferazione di sorveglianza statale. Una riflessione sulla tecnologia di tracciamento, sulla biometria, sul compromesso tra sanità pubblica e libertà individuale in un momento di crisi.

I temi affrontati

• Tecnologie di contact tracing: come funzionano e quali sono i dati raccolti
• Biometria e sorveglianza: la raccolta di dati sensibili corporei
• Il rischio di consolidamento permanente di sistemi temporanei di controllo
• La regolazione del tracciamento digitale: approcci europei vs globali
• Infrastrutture di sicurezza informatica nel contesto della sanità pubblica
• La fiducia nelle istituzioni come prerequisito per l'adozione volontaria
• Scenari post-pandemici: cosa resta dei sistemi di tracciamento

Il racconto

Le applicazioni di contact tracing e la loro infrastruttura

Nel momento in cui una pandemia minaccia il sistema sanitario, le autorità affrontano un dilemma: senza intervento, il virus si propaga esponenzialmente, sopraffacendo gli ospedali. Con intervento, si limitano i movimenti e si raccolgono dati sui contatti. Le applicazioni di contact tracing promettono una via di mezzo: permettere il movimento ma tracciare chi è stato in prossimità di casi positivi, permettendo isolamento mirato.

Il meccanismo tecnico è relativamente semplice: il telefono di una persona trasmette identificativi Bluetooth ai telefoni vicini. Quando una persona riceve una diagnosi positiva, il sistema notifica coloro che erano stati in prossimità. Il vantaggio teorico è la privacy: gli identificativi sono casuali, non identificano direttamente l'individuo. Tuttavia, in pratica, l'identificativo casuale può comunque essere correlato all'identità attraverso metadati—con chi comunica, dove si trova, i modelli di movimento.

Inoltre, la raccolta centralizzata vs decentralizzata del tracciamento crea implicazioni diverse. Alcuni paesi hanno scelto server centralizzati dove tutti i dati di movimento convergono. Questo accelera l'analisi ma crea un punto centralizzato di rischio: un accesso non autorizzato, un utilizzo abusivo, una retention indefinita. Altre giurisdizioni hanno scelto modelli dove i dati rimangono sul telefono, e solo informazioni aggregate (numero di contatti, rischio relativo) vengono comunicate. Questo offre più privacy, ma complica l'epidemiologia.

La biometria e il consenso informato

Alcune implementazioni di tracciamento hanno incluso tecnologie biometriche—sensori di temperatura corporea, riconoscimento facciale per l'isolamento, raccolta di dati su patologie preesistenti. Una volta raccolti, questi dati biometrici sono tra i più sensibili: non possono essere cambiati come una password. Se un governo legittimo raccoglie dati su una malattia che un individuo potrebbe preferire rimanesse privata, e se il governo successivo è meno affidabile, questi dati rimangono vulnerabili a abuso.

Il "consenso informato" a donare dati biometrici per emergenza sanitaria è teoricamente volontario, ma in pratica coercitivo: il diritto a lavorare, a uscire da casa, a accedere ai servizi dipende dalla partecipazione al tracciamento. Non è consenso in senso liberale; è acquiescenza forzata.

La permanenza dei sistemi temporanei

Un pericolo storico ben documentato è l'istituzionalizzazione permanente di misure temporanee. Lo stato d'emergenza diventa permanente; il sistema di sorveglianza ideato come temporaneo rimane. I database di tracciamento, una volta costruiti, hanno valore anche per altri scopi—criminologia, sicurezza del pubblico, controllo politico. La tentazione burocratica è conservare questi asset.

L'Italia, con il progetto di app di tracciamento, ha affrontato il dibattito tra necessità sanitaria e diritti fondamentali. La versione finale, "Immuni", è stata progettata con decentralizzazione relativa e con scadenza dei dati. Tuttavia, la fiducia nella gestione futura rimane bassa. Un cambio di amministrazione politica potrebbe reinterpretare i vincoli tecnici.

La cyber-sicurezza nella salute pubblica

Un aspetto spesso trascurato è la sicurezza informatica dei sistemi di tracciamento. Se le app di contact tracing contengono vulnerabilità, gli attaccanti potrebbero accedere ai dati, modificarli o disabilitare il sistema. I sistemi governativi raramente hanno standard di sicurezza equivalenti a quelli delle aziende tech consumer—software legacy, processi di patching lenti, patch management complicato da vincoli burocratici. Un attaccante motivato potrebbe manipolare i dati di tracciamento, creando falsi positivi che mandano le persone in isolamento, o nascondendo positivi reali.

Post-pandemia: cosa rimane

Una volta che la pandemia si attenua e l'emergenza dichiara conclusa, cosa accade ai sistemi? Storicamente, gli strumenti di emergenza rimangono. Il Patriot Act americano, implementato come temporaneo dopo l'11 settembre, è ancora in vigore due decenni dopo. La sorveglianza di massa originariamente giustificata dal terrorismo rimane.

Per i sistemi di tracciamento pandemico, la scelta non è binaria: rimangono attivi o vengono dismessi. Una possibilità è una versione dormiente—i dati rimangono archiviati, le app rimangono sul telefono, ma la raccolta ordinaria cessa. Al prossimo sospetto di epidemia, il sistema viene riattivato. Questo offre flessibilità, ma anche il rischio di una nuova attivazione troppo facile, troppo veloce, senza il consenso conscio che avrebbe dovuto accompagnare la prima implementazione.

La fiducia come infrastruttura

Il successo di qualunque sistema di tracciamento dipende dall'adesione volontaria. Se le persone non fidano che i dati rimangono privati, i dati rimangono falsi. Le persone mentono sui sintomi, non installano l'app, forniscono ubicazioni false. La fiducia, una volta erosa, è difficile da recuperare.

Le giurisdizioni che hanno reso pubblici i codici sorgente delle app, che hanno sottoposto i sistemi a audit indipendenti, che hanno imposto scadenze legali sul retention dei dati, hanno ottenuto maggiore adesione. Questo non perché la trasparenza elimini il rischio—il rischio rimane—ma perché riduce il sospetto.

Idee chiave

• Il contact tracing digitale offre epidemiologia accelerata, ma a costo della privacy individuale.
• I dati biometrici sono irrevocabili e altamente sensibili; la loro raccolta in emergenza comporta rischi permanenti.
• I sistemi implementati come temporanei tendono a diventare permanenti; gli strumenti di sorveglianza raramente scompaiono spontaneamente.
• La fiducia nella gestione futura dei dati è un prerequisito per adesione volontaria; senza fiducia, i dati sono inaccurati.
• La sicurezza informatica dei sistemi governativi di tracciamento è spesso sottodimensionata, con vulnerabilità a manipolazione.
• La regolazione pubblica del tracciamento pandemico è ancora in corso; non esiste un consenso internazionale su limiti temporali e operativi.

Riferimenti citati

• GDPR (Regolamento Generale sulla Protezione dei Dati) — normativa europea che limita la raccolta e il trattamento dei dati personali
• Immuni — app italiana di contact tracing sviluppata durante la pandemia
• Bluetooth Low Energy — protocollo di trasmissione wireless a bassa potenza usato nel tracciamento
• Server centralizzato vs modello decentralizzato — due approcci architetturali al contact tracing
• Patriot Act — legislazione americana post-11 settembre ancora in vigore
• Biometria — riconoscimento facciale, impronte digitali, dati genetici
• Consensus di emergenza sanitaria pubblica — criterio internazionale per giustificare interventi di sorveglianza