Mentre siamo tutti in trepida attesa che gli abbracci tornino ad essere legali, il dibattito su Immuni, l’app di tracciamento dei contagi, non sembra prendere quota. La propensione generale è quella di scaricare l’app e utilizzarla, perché ne va della nostra salute, che nell’immaginario collettivo è sempre al primo posto.

“Mamma, Facebook mi ascolta!” - “Grazie Facebook!”

La questione in realtà è molto complessa e ampia. A meno che io non stia commettendo un furto (o un reato che prevede la presenza fisica), non ho motivo di preoccuparmi che le istituzioni conoscano i miei spostamenti. A maggior ragione se i miei spostamenti vengono raccolti senza le mie informazioni personali a corredo. Fondamentalmente il problema non si pone anche quando “magicamente”, subito dopo aver parlato con gli amici delle vacanze estive, Facebook mi propone nella timeline l’annuncio pubblicitario di una vacanza a Barcellona. In realtà l’algoritmo di Facebook (che mi conosce meglio di quanto io conosca me stesso[1]) mi dà una mano a trovare la soluzione più in linea con le mie esigenze.

Lo stesso vale per Spotify, che ha monopolizzato la distribuzione della musica, ma che sta anche omologando pensieri, sensazioni ed emozioni, mappando e categorizzando i gusti degli utenti di tutto il mondo tramite algoritmi proprietari. Un grande servizio per l’utente finale che senza selezionare le canzoni, grazie ad un’analisi continua di quello che ascolta o di quello che ascoltano le persone che si presuppone abbiano i suoi stessi gusti in fatto di musica, può ascoltare playlist come “A Rotazione – Le canzoni di cui non ti stanchi mai”, “Release Radar – Non perderti nemmeno una nuova uscita!”, “Pulizie di casa – Scopa, Palette e musica”, “Musica per cucinare – Il sound giusto per creare in cucina”, “Operazione buon umore – Sfoggia il sorriso migliore e fai il pieno di energia”, “Il caffè del buongiorno – Inizia la giornata con la musica giusta” e tante altre. Emozioni à la carte. Una dinamica che implica la capacita dell’over-the-top [2] di decidere chi, quando e come debba fare successo nel mondo della musica.

Ma quale sarebbe la nostra reazione se invece di parlare di localizzazione, vacanze e musica iniziassimo a discutere di evasione fiscale, salute e politica?

Lo scandalo Facebook-Cambridge Analytica[3] è un esempio concreto delle potenzialità degli algoritmi in fatto di costruzione del senso comune. La raccolta fraudolenta di dati personali e interessi degli utenti ha consentito all’azienda britannica di elaborare una campagna marketing incentrata su annunci pubblicitari ingannevoli, mostrati solo agli utenti di Facebook che rispondevano a determinati requisiti di targeting. In questo modo, durante la campagna elettorale sulla Brexit, per esempio, diffondeva pubblicità che annunciava l’ingresso della Turchia nell’Unione europea, quando in realtà la sua adesione all’Ue non era neanche in discussione[4].

La moneta elettronica ci consentirebbe (già da tempo) di abolire la moneta fisica. Pensare di pagare il proprio pusher con il bancomat o di ricevere una tangente utilizzando uno dei POS portatili fatti apposta per i pagamenti in mobilità risulta però decisamente improbabile. In realtà quasi nessuno in Italia concederebbe in modo volontario il tracciamento delle proprie transazioni finanziarie da parte dello Stato, perché quasi nessuno paga l’ammontare di tasse che dovrebbe. Qualcuno invece potrebbe decidere di donare il proprio DNA per sapere quante sono le probabilità che il proprio corpo sviluppi un tumore al seno, attraverso un algoritmo che compara il proprio patrimonio genetico con quello di tutte le pazienti alle quali è stato diagnosticato un tumore al seno [5] . Ma sarebbe corretto sottoporre ad un test simile una bambina di 6 anni? Con quali risvolti pratici?

L’asset del XXI secolo

Quello che accomuna tutte le dinamiche appena descritte sono i dati: un algoritmo senza dati è come un’automobile senza assali. Una macchina che può andare al massimo della sua potenza, ma che non serve a niente, se non a generare calore. I dati sono un vero e proprio asset aziendale, sono materiale di scambio che rende gli algoritmi sempre più efficienti e le aziende che li usano sempre più ricche[6].

Per questo è importante che i dati restino di proprietà degli utenti. Le persone devono poter organizzare i propri dati e decidere, in ogni contesto e occasione, in modo specifico e certosino, quali dati condividere e quali no. In parole povere devo essere libero di togliere l’ingrediente dal frullatore in qualsiasi momento, e poter modellare così la mia identità agli occhi degli algoritmi. Possedere il controllo dei dati ci rende uomini liberi.

Mentre Marck Zuckerberg annuncia una nuova funzione di Facebook per i piccoli commercianti[7], condannando a morte qualche centinaio di strumenti, app, start-up che avevano investito sul marketing di prossimità e mettendo la parola fine a qualsiasi processo creativo che possa dar vita a nuove soluzioni tecnologiche in merito, in Italia ci apprestiamo a fare i conti con Immuni, un’applicazione che in parole povere consente a due dispositivi vicini di scambiarsi dati attraverso il Bluetooth. Secondo la documentazione fornita dal Commissario straordinario per l'emergenza Covid-19 nella repository ufficiale di GitHub[8], questi dati vengono raccolti attraverso delle chiavi generate quotidianamente in modo casuale, che risiedono solo nel dispositivo dell’utente. Tutte precauzioni che dovrebbero consentire agli utenti di mantenere l’anonimato anche nei confronti di Google e Apple, le due aziende che, in soldoni, hanno progettato i sistemi operativi degli smartphone di tutto il mondo.

In realtà il problema è che per funzionare, Immuni ha bisogno dei “Google Play Services” che sarebbero un “componente che offre funzionalità di base come l'autenticazione con i tuoi servizi Google, i contatti sincronizzati, l'accesso a tutte le impostazioni di privacy più recenti degli utenti e servizi di localizzazione di qualità superiore che riducono il consumo della batteria.”[9]

Se per funzionare, Immuni usa un componente software proprietario, realizzato da un’azienda statunitense, privato, non open source, che non potrà mai essere analizzato dalla comunità hacker, è evidente che qualsiasi analisi sul codice sorgente dell’app, per comprovare il rispetto della privacy, risulterebbe vana e incompleta. Tutto questo va a inficiare la teoria dell’anonimato[10]. Inoltre la dipendenza dai “Google Play Services” renderà l’app non compatibile con i nuovi dispositivi Huawei, Honor e con dispositivi basati sul progetto open source di Android (AOSP)[11], come nel caso del famoso smartphone OnePlus.

Un profilo GitHub che, ad oggi, presenta un solo repository dal laconico titolo “documentation”, mentre tutta la comunità nerd d’Italia è in trepida attesa del codice sorgente[12], il vero protagonista della vicenda. Finché non verrà pubblicato il codice dell’app (o presunto tale) potremo solo fidarci. Non dello Stato, ma di Bending Spoons, la società selezionata dal Governo per la realizzazione dell’app.

Il problema di Immuni è il Bluetooth

La situazione emergenziale ha posto sicuramente una serie di limiti: era necessario agire subito e con le tecnologie già esistenti, ma se il compromesso prevedeva l’utilizzo degli strumenti targati Google, sarebbe stato più logico chiedere all’azienda di Mountain View un report aggregato con gli spostamenti di tutti gli utenti dall’uno febbraio a oggi. Uno storico che ci consentirebbe di ricostruire gli spostamenti praticamente di tutta la popolazione e avvisare tramite notifica push tutti gli utenti considerati a rischio contagio, anche in base agli spostamenti passati.

Il problema risiede nel protocollo scelto per la trasmissione dei dati: il Bluetooth. Era risaputo che il Bluetooth dei dispositivi Apple non riconosce quello dei dispositivi Android (e viceversa). Era ormai un fatto talmente assodato, al punto che l’usanza di scambiarsi le suonerie e i brani musicali via Bluetooth appartiene alla preistoria digitale, anche a causa dell’incompatibilità tra dispositivi. Ci voleva il coronavirus per far sì che iOS e Android “si parlassero” tramite Bluetooth, un prodigio che sarà possibile proprio grazie al nuovo aggiornamento dei due sistemi operativi[13], che prevede anche l’aggiornamento dei “Google Play Services”.

Questa sarebbe stata un’ottima occasione per iniziare un percorso di emancipazione dalle over-the-top, progettando un mondo digitale in cui gli utenti non facciano la parte dei sudditi. Era un’occasione per riprenderci i dati. Una grande opportunità per studiare nuovi protocolli tecnologici o per adottarne alcuni che per funzionare non hanno bisogno della (oscura) presenza delle tech companies americane.

È il caso per esempio di LoRa, “una tecnica di modulazione a spettro espanso derivata dalla tecnologia di chirp spread spectrum (CSS)”[14]: un protocollo che, sfruttando la tecnologia wireless a radiofrequenza di lungo raggio, consente di inviare e ricevere dati in piccole quantità. Si tratta di un protocollo che viene già utilizzato nell'implementazione di molte reti di dispositivi Internet of Things (IoT) in tutto il mondo e che consente alle nostre case di diventare smart[15]. In base all’intensità del segnale (RSSI)[16] due dispositivi LoRa possono misurare la distanza e quindi l’eventuale incontro tra due persone.

Il problema di LoRa è quello di non essere ancora presente sugli smartphone, ma questo limite sarebbe stato anche un vantaggio in termini di indipendenza tecnologica. La necessità di utilizzare un hardware diverso dal nostro smartphone, o di doverne implementare uno dal plug per la carica, avrebbe potuto rendere il sistema libero da dipendenze software con altri servizi proprietari di terze parti. Tra l’altro esistono già dei progetti per l’integrazione di questa tecnologia negli smartphone o in altri dispositivi “indossabili”[17]: una soluzione che probabilmente avrebbe reso il funzionamento del sistema più affidabile anche dal punto di vista della raccolta dei dati.