Studio legale mereu - logo - collegamento homepage
Example image fro Studio Legale Mereu
24 aprile, 2020

Osservazioni sul sistema di tracciamento di persone tramite smartphone



smartphone immagine

Premessa

Vale innanzi tutto un aspetto metrologico di carattere generale.

Laddove sia necessaria una misura che acquisisca valore legale la stessa dovrebbe essere riferibile alla catena internazionale di riferibilità metrologica, tramite operazioni di taratura riferibili agli standard primari di misura. Inoltre l’accuratezza delle misura deve essere nota e garantita nel tempo poiché su di essa si possono basare le azioni che ne conseguono.

A titolo di esempio, dire che due persone devono essere mutuamente distanti ad almeno a 1 metro, a pena di provvedimenti, laddove il metodo di misura fornisce un’accuratezza assoluta di 10 cm implica che:

  • il soggetto diligente che riceve una segnalazione tramite il sistema di misura con l’accuratezza detta e tenuto al rispetto della distanza venga allertato quando il sistema di misura rileva valori inferiori a 1,1 m a rinforzo del criterio. In tal caso infatti tenuto conto dell’errore di misura la distanza di 1 m sarà comunque garantita;
  • un’autorità di controllo possa concludere con ragionevole certezza il mancato rispetto della prescrizione sulla distanza quando il sistema rileva 0,9m o meno, infatti in tal caso tenuto conto dell’errore di misura la distanza sarà inferiore a 1m come prescritto.

Va da sé che è buona prassi disporre di un sistema di misura tarato e dotato di accuratezza migliore almeno di un ordine di grandezza rispetto al valore entro il quale si applica la prescrizione. Come nell’esempio di sopra, a garanzia del posizionamento di due soggetti a una distanza mutua non inferiore a 1m la misura dovrebbe avere accuratezza migliore di una decina di centimetri, diversamente diverrebbe presto priva di significato. Come fatto tecnico inoltre si ricorda che un dispositivo di misura viene progettato avendo come specifica un livello di accuratezza desiderato, in tal caso ogni sua parte viene scelta e progettata per concorrere allo scopo. In una battuta, risulta tecnicamente impraticabile misurare una distanza con accuratezza della decina di centimetri avendo a disposizione un metodo che intrinsecamente è in grado di distinguere lunghezze dell’ordine di grandezza della decina di metri: sarebbe come pretendere di poter pesare un alimento venduto al dettaglio disponendo di una pesa per autoveicoli.

Naturalmente è possibile invertire il ragionamento e regolamentare ove necessario prescrizioni in accordo a ragionevoli disponibilità tecnologiche, e così se una tecnologia prescelta permette di misurare una distanza con accuratezza di 10m, non ha senso fornire prescrizioni su distanze di rispetto comparabili o inferiori a tale valore. Da punto di vista pratico, prescrivere distanze di rispetto con metodi di misura aventi un’accuratezza di 10m avrebbe significato pratico per distanze di rispetto dell’ordine di grandezza di 100m (che nel caso di esempio precedente citato porterebbe le fasce di attenzione per il soggetto diligente e il soggetto comandato ad adottare soglie di decisione a 110m e 90m rispettivamente). Resterebbe invece del tutto privo di significato ed anzi metrologicamente completamente scorretto prescrivere il rispetto di distanze dell’ordine di grandezza di alcuni metri (ad es. 1 o 2m) avendo a disposizione un metodo di misura con accuratezza di 10m o peggiore.

A corollario si ricorda anche che nella buona prassi scientifica e dell’ingegneria lo stato di taratura di un dispositivo non viene mai dato per scontato per un tempo indeterminato, ed anzi caso per caso si prevedono azioni di verifica e manutenzione periodiche al fine di garantire la validità delle misure. A tal fine è necessario studiare il comportamento metrologico del dispositivo rispetto al suo degrado da usura; in assenza di indicazioni migliori convenzionalmente si scelgono intervalli temporali di verifica dell’ordine di qualche mese, riservandosi la possibilità di invalidare completamente le misure ottenute se al momento della verifica il dispositivo viene scoperto non compatibile con le caratteristiche richieste. Nell’elettronica è raro incontrare situazioni nel quale l’intervallo di verifica ispettiva di un dispositivo sia superiore a un anno,  ed anzi i laboratori accreditati effettuano operazioni di taratura su antenne e similari con cadenza non inferiori a sei mesi, ed inoltre verificano dispositivi potenzialmente influenzabili da fattori ambientali associati ad un uso all’esterno del laboratorio ogni volta che gli stessi vengono portati a svolgere attività di misura sul campo. Da notare che, per quanto costruttivamente robusto un telefono viene nell’uso quotidiano sottoposto a eventi meccanici e termici (vibrazioni, cadute, variazioni di temperatura dovute a esposizioni a fonte di calore o raggi solari, esposizioni a umidità, detergenti ecc.) che possono alterarne il funzionamento sotto il profilo metrologico, a dispetto del fatto che il costruttore lo dimensioni e realizzi adatto a poter subire variazioni delle prestazioni che per quanto possano essere ampie sotto il profilo metrologico risultano tuttavia sufficientemente contenute per garantire una funzionalità commerciale di radiocomunicazione o elaborazione multimediale.

 

Si ribadisce che in ogni caso l’impiego di dispositivi non tarati e dunque non riferibili ai campioni metrologici internazionali apre seri dubbi nel momento i cui i dati corrispondenti vengano usati con fini legali, o per azioni di coercizione di ufficio affidate alla pubblica autorità competente.

 

Aspetti tecnici

Le tecnologie di determinazione della posizione di un dispositivo radiomobile (che includono i cosiddetti “smartphone”)  sono basate su supporti tecnologici distinti, tra i principali impiegati si ricordano quelli elencati nel seguito.

 

Radiolocalizzazione basata su rete satellitare (es. GPS)

in questo caso si impiega l’informazione scambiata da una rete di satelliti mutuamente sincronizzati lanciati in orbita allo scopo e un ricevitore posto sull’apparato radiomobile. Elaborando i segnali ricevuti dai satelliti è possibili tramite algoritmi di calcolo risalire a informazioni di posizione, tempo e velocità georeferenziate del componente ricevitore. L’accuracy varia molto in funzione del numero di satelliti effettivamente in comunicazione con il dispositivo (includendo in tale aspetto condizioni meteorologiche, presenza di ostacoli fisici alla radio propagazione ecc.) e dalle condizioni di moto ovvero stazionamento del dispositivo rispetto a un riferimento fisso della superficie terrestre. Inoltre sono disponibili reti satellitari e dispositivi distinti. Commercialmente si considera accettabile un accuracy di circa una trentina di metri, sistemi militari e postazioni fisse ad es. per studi geologici possono offrire accuracy molto superiori ma con strumentazione o metodi specifici. Questa accuracy è considerata adeguata per attività comuni come il supporto alla navigazione, tenuto conto che le applicazioni possono correggere i dati del moto anche tenendo conto di cartografia, traiettorie seguite e altri sensori locali come accelerometri e magnetometri (alquanto grossolani ma sufficienti ad esempio a distinguere una rotazione del dispositivo di un quarto di giro lungo a un asse). Ben altro ragionamento si applica nel caso di riferibilità del dato a fini di investigazione laddove siano richieste accuratezze migliori di un metro (di 10 cm nel caso di soglie di attenzione dell’ordine di 1 m).

È noto invece come sia facile generare volontariamente segnali tali da confondere il sistema di rilevazione dell’apparato tramite trasmettitori volontari a bassa potenza (legali) e far credere al dispositivo di trovarsi in una posizione completamente diversa da quella effettiva, il ricevitore è inoltre alquanto sensibile a fenomeni di oscuramento radio e spesso totalmente inefficace in ambienti chiusi come all’interno di edifici o lungo vie strette di un tessuto urbano ad alta densità abitativa. In molti smartphone è anche facile tramite manovre legali e liberamente descritte in rete impostare i parametri di funzionamento di un dispositivo alterando volontariamente i dati di georeferenziazione che le app ricevono per le elaborazioni successive. Si tratta di una combinazione semplice di impostazioni del terminale e l’impiego di applicativi che gli sviluppatori di software impiegano usualmente per il test di prodotti. In conclusione, sia per le  caratteristiche di accuracy dei sistemi usualmente installati nei dispositivi radiomobili, sia per la facilità di alterazione dei dati che possono essere raccolti dagli stessi l’informazione che una app può raccogliere a proposito della georeferenziazione di un terminale al variare del tempo è da considerarsi inaffidabile per fornire un metodo di calcolo di distanze tra apparati radiomobili con accuratezza migliore di una decina di metri.

Radiolocalizzazione basata sul punto di accesso alla rete.

Si possono distinguere famiglie principali di metodologie possibili

  1. rete cellulare

Come noto la rete cellulare ai fini di consentire la comunicazione in mobilità è strutturata in modo tale da effettuare scambi di informazioni continue tra terminale e stazioni di terra al fine di determinare la stazione radiobase più adatta a fornire comunicazione radio tra terminale e la stazione stessa. Vengono adottate strategie diverse che tengono conto della qualità del segnale istantaneo scambiato tra il terminale e le celle adiacenti, informazioni storiche a breve periodo sulle informazioni precedenti, lo stato delle stazioni radiobase nelle adiacenze del terminale radiomobile. Il principio fondamentale è che sia il terminale sia la stazione radiobase possono determinare con ragionevole approssimazione il livello di potenza dei segnali ricevuti, anche modulando la potenza di quello inviato e da queste risalire a informazioni di distanza tra il terminale e la stazione radiobase utili a effettuare scelte nella assegnazione di una stazione radiobase a un terminale al variare del tempo utili a mantenere attiva la comunicazione. Tali tecniche non sono progettate per fornire servizi di radiolocalizzazione, ma per garantire piuttosto la comunicazione. Essendo tuttavia la portata radio utile di un cella limitata va da sé che un dispositivo radiomobile si debba trovare in un raggio utile (ad es. poche centinaia di metri) dalla corrispondente stazione radio base, fornendo quindi informazioni alquanto  approssimative di geolocalizzazione, in altri termini è possibile stabilire che l’apparato si trova entro un raggio di qualche centinaio di metri dalla corrispondente antenna radio della cella. I gestori di telefonia, tramite il software di rete possono disporre di questa informazione nell’esercizio della rete automaticamente gestita da server e conservate con policy dipendenti da gestore e sistema in genere per un periodo di tempo limitato per ragioni di economia di dati fisicamente conservati. È anche possibile effettuare operazioni di triangolazione radio sfruttando l’informazione scambiata da un terminale radiomobile con più celle. Ciò richiede l’esecuzione di algoritmi aggiuntivi in genere eseguiti direttamente dal gestore della rete tramite le strutture di calcolo presenti, in questo caso esperimenti hanno mostrato che l’accuracy nella determinazione della posizione possa aumentare notevolmente, la stessa comunque resta limitata all’ambito della  decina di metri e dipende fortemente da condizioni ambientali e di posizionamento del terminale sul territorio, potendo la stessa accuracy peggiorare drasticamente in condizioni di mobilità, presenza di ostacoli, compresenza di apparati radio e dipendendo la stessa anche dalle caratteristiche dei terminali radiomobili i cui componenti non sono progettati per offrire servizi di radiolocalizzazione sfruttando informazioni di potenza o qualità del segnale scambiato. RIsultati migliori potrà fornire la tecnologia di recente proposizione ’5g’, e che tuttavia allo stato attuale è solamente sperimentale.

In tutti i casi si può concludere che la tecnologia e la rete radiomobile allo stato attuale non permette di radio localizzare un terminale in modo georeferenziato nemmeno con accuratezza di alcuni (ad es. 2 o 3) metri in modo ingegneristicamente ragionevole ed affidabile ai fini della georeferenziazione di terminali con scopi di investigazione correlati alla pubblica sicurezza. Un accuratezza possibile, ma sotto la condizione di concordare tra i gestori metodi di stima della posizione potrebbe attestarsi intorno alla decina di metri, mentre è nota e già impiegata dalla magistratura la geolocalizzazione di apparati radiomobili nell’ambito del raggio utile di copertura radio di una stazione radiobase (dipendente dalla cella, ma tipicamente dell’ordine di grandezza del centinaio di metri).

 

  1. punti di accesso alla rete (ad es. router wifi)

valgono ragionamenti del tutto analoghi al caso della rete radiomobile, con l’aggravante che:

- il posizionamento nello spazio di un router usato per fornire  accesso alla rete dati pubblica (internet) è normalmente effettuato a cura di un utente finale fruitore del servizio di connettività e non è assolutamente pensato per offrire cura e ripetibilità nel suo posizionamento georeferenziato

- i router non sono normalmente dotati di dispositivi di localizzazione, ed inoltre essendo gli stessi posizionati usualmente in ambienti chiusi di fatto renderebbero tali dispositivi inefficaci

- le sottoreti gestite dai router sono usualmente private e prive delle funzionalità che consentirebbero loro l’esecuzione di algoritmi di radiolocalizzazione ripetibili e affidabili

- l’identificazione del terminale passa attraverso parametri di configurazione di rete che un utente può alterare in modo consapevole o addirittura ingenuo in modo tale da mascherare l’effettiva identità del terminale.

in conclusione tecnologie di radiolocalizzazione di terminali sfruttando apparati di rete wifi o similari sono da considerarsi totalmente inaffidabili a fini di georeferenziazione di terminali con scopi investigativi o di pubblica sicurezza con i livelli già descritti di accuratezza.

stima diretta di prossimità tramite informazioni di segnali radio scambiati tra terminali

È noto che la potenza di un segnale radio trasmesso, vede modificare la propria intensità puntuale a causa della radiopropagazione nello spazio e il principio di conservazione dell’energia. Tale effetto può in linea di principio essere impiegato per stabilire la distanza tra una trasmettitore e ricevitore una volta che siano note

  • le caratteristiche radioelettriche del trasmettitore e del ricevitore (tipologia di antenne, loro caratteristiche radioelettriche, schema di modulazione adottato ecc.)
  • informazioni sui segnali scambiati (ad es. potenza al connettore di antenna di ricevitore e trasmettitore)
  • caratteristiche dell’ambiente circostante (es. spazio libero, oppure natura e posizionamento di parti elettricamente passive ma in grado di alterare i segnali radio ricevuti tramite fenomeni di assorbimento, riflessione, scattering)

È anche nota la possibilità di effettuare operazioni di triangolazione tramite più ricevitori mutuamente sincronizzati. Tale eventualità viene qui esclusa nel caso considerato ora, per ragioni metrologiche pratiche: per poter triangolare con accuratezza dell’ordine della decina di centimetri la posizione di un dispositivo rispetto ad almeno altri due è richiesta una sincronizzazione temporale che gli smartphone correnti non offrono, e l’assunzione di propagazione in spazio libero, comunque il metodo di calcolo richiederebbe risorse dei dispositivi che rendono impraticabile il metodo a meno di non accettare accuratezze dell’ordine di grandezza della decina di metri.

In ogni caso la letteratura scientifica riporta da lungo tempo risultati e tecnologie utili all’implementazione di tecniche  utili a determinare la distanza tra una coppia ricevitore trasmettitore e tuttavia va osservato che:

  • i dispositivi radiomobili non dispongono di antenne e componenti radio tarati utili a fornire misure di prossimità radio in modo ripetibile e affidabile (in assenza di procedure di taratura riferite a laboratori della catena metrologica internazionale, in linea pratica non è possibile garantire alcunché circa l’accuratezza associata a un metodo di stima se non limitatamente al raggio di comunicazione del dispositivo radio);
  • i componenti di radiocomunicazione locale (comunemente noti come bluetooth e wifi) permettono lo scambio di informazioni nell’ambito di raggi di azione operativi fortemente dipendenti da numerosi fattori (varianti tecnologiche al tipo di componenti, tecnologia radiotrasmissiva, antenne e struttura radioelettrica dei dispositivi coinvolti, fattori ambientali esterni) e si estendono comunemente da alcuni metri (una decina) fino a parecchie decine di metri;
  • numerosi fattori di natura pratica possono alterare le stime di distanza in modo imprevedibile (ad es. orientamento del terminale nello spazio, posizionamento di ostacoli o fonti elettricamente passive ma influenti sulla radiopropagazione, includendo tra essi l’eventuale presenza di persone e loro comportamento fisico nei confronti del terminale, come il suo posizionamento in mano piuttosto che in una tasca di un abito, il materiale dei tessuti dell’abito stesso ecc.)

In tutti i casi e le tecnologie attualmente in uso nei dispositivi radiomobili in libera vendita al dettaglio per la radiocomunicazione (smartphone, tablet ecc.) non sono mai attuate azioni di taratura puntuale dei dispositivi stessi metrologicamente riferibili alla catena di riferimento internazionale tali da garantire le informazioni di natura radioelettrica che un applicativo possa usare nel tentativo di stabilire mutue distanze. Ne è prova il fatto che nessun terminale radiomobile venga fornito con un certificato di taratura a corredo del dispositivo relativo alla caratteristiche radioelettriche dello stesso e neppure lo stesso sia disponibile per l’utente dal servizio assistenza del produttore. Ciò non è in conflitto con gli obblighi commerciali del produttore di dispositivi, poiché lo stesso deve poter garantire funzioni di connettività e scambio dati, in accordo a norme internazionali di riferimento utili a provare efficacia ed efficienza nello scambio di informazioni o conformità a standard protocollari. Norme che vengono soddisfatte tramite test su prototipi poi non venduti, o semplici test grossolani di funzionalità a fine linea produttiva (“go – no go testing”). Quindi non è possibile, indipendentemente dai componenti effettivamente usati tra quelli disponibili in un terminale radiomobile e dai metodi di stima usati, predeterminare e garantire nel tempo un livello prestabilito di accuratezza. Pertanto allo stato attuale la conclusione che si può dedurre in modo ragionevolmente certo ai fini investigativi è che la coppia ricevitore trasmettitore si possono trovare mutuamente entro il raggio di azione degli apparati stessi utili alla radiocomunicazione, che si può assumere in modo ragionevole limitato a alcune decine di metri, potendo però lo stesso estendersi notevolmente in condizioni favorevoli di propagazione radioelettrica (spazio libero e assenza di fenomeni interferenti), così come ben noto dalle specifiche tecniche circa la cosiddetta “portata utile” dichiarata dai costruttori. Ed anche volendo derogare in modo infame ai requisiti di taratura è ben noto che le fasce di variabilità delle stime ottenute tramite l’impiego di metodi di letteratura ben difficilmente offrono accuratezza migliore di qualche metro; non a caso nella letteratura si raggiungono con soddisfazione obiettivi di localizzazione “room accuracy” in casi di studio ben selezionati, e non di misure di distanza tra coppie ricevitore-tramettitore di uno smartphone generico in un contesto abitativo o della vita quotidiana con accuratezze di una decina di centimetri o migliori, (nel qual caso invece si usano con successo tipicamente tecniche basate su dispositivi laser specificamente progettati).

 

Fattori di confondimento grossolani

Un sistema di misura della mutua distanza tra due dispositivi radiomobili, indipendentemente dalle caratteristiche di affidabilità e accuratezza, non possono e nemmeno devono poter essere univocamente legate alla posizione assunta dai rispettivi presunti proprietari per una serie di buone ragioni che rendono assolutamente inaffidabile la corrispondenza presunta uno ad uno tra posizione del dispositivo e posizione del soggetto proprietario presunto. Infatti:

  • il soggetto proprietario è libero di lasciare non sorvegliato e funzionante il terminale radiomobile mentre lui si trova altrove, anche a distanza ben maggiore di quella oggetto di soglia di attenzione e anche per molto tempo.

Alcuni esempi chiarificatori:

- il soggetto lascia in automobile (oppure in un armadietto di una struttura aperta al pubblico o di un circolo) il terminale e nel frattempo si dedica ad altra attività che lo porta per ore a parecchie decine  se non centinaia di metri dal terminale stesso;

- il soggetto presta il terminale a un altro soggetto ritenuto fidato (amico, familiare) e nel frattempo si reca altrove rispetto al nuovo soggetto che ha il terminale in affido;

- il terminale viene temporaneamente smarrito o sottratto senza consenso per essere poi successivamente ritrovato (tramite ad es. i servizi nativi di ricerca offerti dai costruttori o gadget radio di segnalazione acustica a corto raggio);

- il terminale resta in una borsa, anche in vista del soggetto o affidata a un soggetto terzo fidato, mentre il soggetto proprietario si allontana dalla stessa per decine di metri per svolgere altre attività (ad es. un’attività lavorativa o ricreativa per la quale borsa e telefono risultano di impaccio);

si noti che in tutti gli esempi non esaustivi precedenti l’insieme delle persone potenzialmente coinvolte e che possano o non possano violare criteri prescrittivi sulle distanze mutue viene a cambiare in maniera elatoria e assolutamente imprevedibile;

  • terminale e soggetto possono trovarsi a distanze inferiori a quelle considerate e prescritte come oggetto di attenzione e tuttavia separate da elementi architettonici o funzionali trasparenti ai campi elettromagnetici ma tali da rendere inutile la prescrizione sulla distanza (ad es. il soggetto si trova in auto mentre un terminale interagente terzo si trova al di fuori, oppure il terminale si trova posizionato in prossimità di un muro di una stanza oltre il quale, in una stanza differente si trova un secondo terminale che calcola la distanza tra i due come inferiore alla soglia di attenzione);
  • il terminale può essere spento, nel qual caso non può fornire nessuna misura.

Sulla base delle considerazioni precedenti risulta chiaro che un sistema di tracciamento della posizione di terminali radiomobili non può dedurre nulla di certo e nemmeno affidabile rispetto alle posizioni assunte dai proprietari o utilizzatori abituali degli stessi.

Prendere decisioni sulla posizione di persone sulla base della posizione di terminali radiomobili:

  • non permette di fornire nessuna garanzia che il proprietario o utilizzatore abituale sia stato o non sia stato a distanze inferiori a quanto prescritto con soggetti terzi;
  • non permette di identificare soggetti terzi rispetto a un terminale assegnato affermando che siano stati o non stati a distanze inferiori rispetto a prescrizioni date di un soggetto indagato.

 

In altri termini, un metodo di radiolocalizzazione di persone che impieghi smartphone di proprietari presunti presenta un rischio consistente e purtroppo non facilmente prevedibile di generare un numero elevatissimo sia di falsi positivi (soggetti attribuiti come essere stati a distanze inferiori alla prescrizione e che non lo sono stati), sia di falsi negativi (soggetti che si sono avvicinati a distanze inferiori a quanto prescritto e non rilevati).

 

Garanzia delle funzioni svolte da un applicativo

L’unico modo per permettere ad un soggetto di poter verificare in proprio le operazioni svolte da un programma applicativo (“app”, per brevità) eseguito su di un dispositivo radiomobile, e più in generale di un qualunque strumento di calcolo in grado di gestire connessioni di rete autonomamente è quello di:

  • disporre del codice sorgente che genera la app, in forma integrale al fine di poter analizzare il codice e da quello risalire alle operazioni svolte,

e

  • produrre in proprio il codice eseguibile della app che verrà eseguita,

o in alternativa:

  • poter disporre di uno strumento di confronto ragionevolmente certo tra la app in formato eseguibile che verrà installata ed eseguita e la app che viene generata a partire dal codice sorgente disponibile. Ad esempio impiegando gli stessi strumenti di sviluppo del distributore e offerti al soggetto che compie la verifica in proprio, o acquisiti gratuitamente da un soggetto terzo fidato;
  • poter ottenere la versione eseguibile da un soggetto terzo pubblico garante della corrispondenza tra codice sorgente ed eseguibile e che si assuma la responsabilità derivante dal rilascio di dichiarazioni mendaci circa la corrispondenza stessa tra codice eseguibile e sorgenti offerti per la verifica.

Naturalmente l’attività di verifica può essere affidata a un soggetto fidato, rispetto al soggetto che vuole compiere la verifica. In ogni caso sarebbe buona norma consegnare al committente della verifica copia del codice sorgente oggetto della verifica stessa.

Si noti che questa è una prassi abbastanza comune nel caso del software in uso presso gli istituti di credito, laddove il rischio di dolo e iol valore commerciale delle elaborazioni svolte è elevato. Tipicamente gli istituti di credito sviluppano in proprio gli applicativi o ricevono codice sorgente degli applicativi che poi essi stessi trasformeranno in eseguibili e rispetto ai quali hanno la responsabilità sul dato con l’utente finale. Anche nel caso di altro software per il quale l’organizzazione che lo esegue risponde in solido nei confronti di terzi è prassi comune richiedere il codice sorgente. Avviene così ad ulteriore esempio per i vari stack software in esecuzione su sistemi in tempo reale “mission critical” (come i settori dell’automotive, aerospaziali, della difesa, della manipolazione e controllo anche commerciale di gas o miscele esplosive). L’azienda committente richiede ai partner fornitori il codice sorgente che verrà impiegato per la sua implementazione ed esecuzione nei prodotti finali. E così avviene anche usualmente per il software di sistema, guarda caso, degli smartphone.

 

Risulta poi che la app proposta per il tracciamento di persone memorizzi su ogni terminale i dati di adiacenza degli altri terminali incontrati, i dati stessi vengono quindi attribuiti a persone fisiche. Dunque, a titolo di esempio, lo smartphone di A memorizza dati sensibili e riferiti alla posizione di X, Y, Z. Tuttavia A non ha nessuna possibilità di poter eliminare i dati (sensibili) di X, Y, Z.

Più in dettaglio, A memorizza sul proprio dispositivo dati sensibili di X, Y, Z e vede nel suo terminale identificati i soggetti X,Y, Z tramite codici (ad es il codice IMEI che identifica univocamente i terminali di X, Y, Z). La corrispondenza tra codici memorizzati e i soggetti X,Y,Z è fornita tramite i database dei gestori di telefonia o soggetti terzi partner.  In ogni caso, sia pure privi di nomi e cognomi o numeri di telefono, A memorizza dati sensibili riferibili facilmente a X,Y, Z tramite le basi di dati dei gestori di telefonia o partner. Da che risulti A non ha nessun modo per poter verificare il processo di memorizzazione nemmeno in forma anonima o aggregata, pur  trattandosi di dati sensibili; inoltre A non ha modo di poter cancellare dati sensibili riferibili a X,Y, Z e memorizzati sul suo dispositivo. Poiché non è rilasciato il codice sorgente dell’app e i meccanismi di memorizzazione adottati non è nemmeno garantito che i dati sensibili precedenti vengano rimossi a fronte di una disinstallazione della app mantenendo dunque attiva la responsabilità di A a detenere dati sensibili di X, Y, Z anche a fronte della disinstallazione dell’app di tracciamento. (in proposito si ricorda a corredo come che molte app commerciali non provocano la cancellazione di dati memorizzati a fronte di una loro disinstallazione, così come avviene a titolo di esempio per applicativi di fotoelaborazione, montaggio video o scrittura di testi).

Non si capisce perché in proposito non sia stata scelta una policy di gestione dei dati diversa. Ad esempio un progetto già bocciato dal ministero prevedeva a grandi linee che l’app memorizzasse sul terminale i dati personali relativi agli spostamenti. Poi fosse possibile a un utente  dichiarato positivo a fronte di test clinici depositare in modo volontario su un repository governativo un codice e dati utili a risalire ai suoi spostamenti. Infine, a ciascuna app fosse dato l’accesso ad interrogazioni periodiche del repository ministeriale, per stabilire se il terminale poteva essersi trovato in luoghi frequentati da soggetti infetti. Tutto ciò avrebbe avuto il notevole vantaggio, dal punto di vista della riservatezza di evitare di memorizzare dati sensibili di terzi.

 

Non sono nemmeno disponibili informazioni circa le modalità di aggregazione dei dati ex-post raccolti dai terminali radiomobili, e ancor meno in codice sorgente. Ancora una volta, data la delicatezza del tema sarebbe quanto mai opportuno fosse reso il codice sorgente anche di tali applicativi sia pure non residenti sul telefono per trasparenza e responsabilità dei soggetti cooperanti e che raccolgono i dati stessi.

 

Non risulta al momento della estensione del presente documento nemmeno che i dati sensibili raccolti dalle app siano memorizzati esclusivamente da istituzioni pubbliche ovvero da soggetti terzi privati, con conseguente rischio di creazione di basi di dati che conservino informazioni sensibili sui cittadini successivamente impiegati da soggetti privati a fini commerciali o altro vantaggio. Sembra infatti che all’utente verrà richiesto consenso all’esecuzione della app che implica poi il trattamento dei dati senza poter sapere i soggetti coinvolti alla loro conservazione ed elaborazione.

 

Si ricorda poi che negli smartphone moderni al momento dell’installazione o prima esecuzione tipicamente l’applicativo raccoglie permessi a svolgere operazioni potenzialmente sensibili per l’utente. La stessa app di tracciamento dovrà in particolare:

-    misurare distanze impiegando i componenti radiomobili presenti

-    ottenere informazioni di georeferenziazione (includendo quelle di natura temporale)

-    scambiare informazioni di identità tra terminali limitrofi (ad es. codici IMEI dei terminali)

-    conservare informazioni di localizzazione o distanza in forma permanente nei supporti di memoria interna

-    fornire su richiesta i dati memorizzati ad autorità terze.

Se ne deduce che per poter funzionare al appa di tracciamento dovrà acquisire permessi di esecuzione che permettono potenzialmente di acquisire pressoché qualunque altra informazione memorizzata nel terminale e scambiare qualunque dato con qualunque altro terminale radiomobile o postazione di rete fissa. in altre parole, potrà fare “qualunque cosa”. Nulla vieta dunque che la stessa possa scambiare periodicamente dati sensibili acquisiti con sistemi di memorizzazione esterni terzi, sia riferiti al proprietario, sia riferiti a soggetti terzi. Questa eventualità può essere esclusa solo a valle di un esame approfondito del “codice sorgente” che al momento non è nè disponibile e nemmeno è dichiarato se lo sarà in futuro.

Non si capisce dunque l’atto di estrema fiducia nei confronti di un produttore terzo non noto e non istituzionale che un utente qualunque dovrà compiere offrendo un “consenso” all’esecuzione della app. Se può apparire azzardato ma ragionevole nel caso di un applicativo gratuito per la navigazione, che al più porta in un posto sbagliato un conducente, lascia invece seri dubbi ad accettare la stessa nel momento in cui i dati scambiati abbiano come implicazione la denuncia del proprietario di un telefono alle pubbliche autorità con conseguenti atti di natura coattiva.

 

Come fatto spiacevole per un utente a corredo dell’impiego di un appa di radiolocalizzazione si ricorda che l’esecuzione di app che impiegano in modo frequente o intensivo i componenti radio eleva notevolmente i consumi elettrici del un dispositivo stesso. Tale fatto è vero a maggior ragione su dispositivi che non siano di ultima generazione, ad es. più vecchi di un paio di anni. Vi è anche dunque un rischio potenziale, sia pure non documentabile al momento che l’app possa rendersi responsabile di:

  • un peggioramento delle prestazioni di autonomia del terminale dell’utente, rendendo lo stesso non disponibile in situazioni di assoluta necessità (motivo per il quale una persona si dota di dispositivi radiomobili) o costringendo l’utente a dover ricorrere a sistemi addizionali di accumulo energetico
  • un degrado accelerato di parti elettricamente stressate del dispositivo (ad es. le batterie), con conseguenze economiche negative per il possessore del dispositivo stesso

 

Da ultimo, non risultano pubblicati al momento della scrittura del presente documento studi scientifici con esperimenti ripetibili e verificabili che dimostrino:

  • il grado di accuratezza nella radiolocalizzazione effettivamente offerto della app di tracciamento, a prescindere da azioni di taratura o meno sui terminali
  • la ripetibilità delle misure svolte dalla app di tracciamento al variare delle condizioni ambientali, di impiego e rispetto al notevolissimo numero di modelli di terminali radiomobili già venduti sulla quale potrebbe essere installata ed eseguita

Nemmeno risulta siano resi disponibili dati scientifici o ingegneristici a supporto delle possibili azioni di magistratura a seguito delle risultanze dei dati raccolti. Invece a sostegno delle decisioni dei magistrati competenti si ravvede la necessità di poterli opportunamente informare circa le prestazioni tecniche della app di tracciamento al minimo così come ottenute dai proponenti della app. Non è dato nemmeno di sapere le metodologie seguite per la sua messa a punto in fase di sviluppo, della sperimentazione svolta a sostegno delle prestazioni attese della stessa. In altre parole appare ci si sta fidando di prestazioni presunte ma non dichiarate senza avere la minima idea di come le stesse  siano state ottenute. Questa mancanza di trasparenza appare quantomeno disdicevole data la delicatezza del tema trattato.

Tramite articoli divulgativi a stampa sui quotidiani nazionali risulta invece evidente la perplessità allarmata sotto il profilo tecnico di centinaia di studiosi di livello universitario circa le scelte governative annunciate sulla app di tracciamento.

 

Conclusioni

  1. non si comprende quali garanzie di tracciamento possa offrire una app che si avvale di dispositivi non tarati, comunque pensati per offrire accuratezze al calcolo di distanze tra dispositivi intercomunicanti dell’ordine di grandezza della decina di metri nella migliore delle ipotesi quando la presunzione di tracciamento di dispositivi con soglie di rispetto dell’ordine del metro richiederebbe la garanzia di livelli di accuratezza dell’ordine di grandezza della decina di centimetri, ossia di ben due ordini di grandezza migliori
  2. non si comprende quali garanzie di affidabilità e significatività al tracciamento di persone possa offrire un programma in esecuzione su un dispositivo che non necessariamente è usato dalla persona oggetto di tracciamento e che comunque durante l’azione di tracciamento potrebbe essere lontano dal dispositivo generando così una gran quantità di dati intrinsecamente mendaci
  3. non si comprende la ragione per cui non venga fornito il codice sorgente dell’app di tracciamento data la richiesta estremamente invasiva dei diritti di privacy alla persona, rendendo di fatto non verificabili le azioni effettivamente eseguite dalla app stessa e privando l’utilizzatore degli strumenti utili a formare un ipotetico consenso informato
  4. non si comprende la ragione per cui un soggetto debba memorizzare su un dispositivo di proprietà dati sensibili di soggetti terzi senza alcuna possibilità di verificarli, validarli, o semplicemente eliminarli a discrezione del proprietario del responsabile del terminale e dunque responsabile dei dati sensibili di terzi da esso raccolti
  5. non si comprende la ragione per cui lo sviluppo e distribuzione della app possa essere affidato a un’azienda privata e non venga invece svolta dai centri istituzionali pubblici competenti (come ad es. il cineca, il cnr o la pubblica università, tutti competenti in materia e dotati delle corrispondenti risorse)
  6. non si comprendono le modalità di archiviazione memorizzazione e trasmissione dei dati acquisiti, e nemmeno è dato di sapere se, gli stessi siano gestiti e memorizzati da pubbliche istituzioni, come auspicabile, o vengano affidate ad aziende private per profitto
  7. non si comprendono e nemmeno sono rilasciate le modalità di post elaborazione dei dati, delle corrispondenti prestazioni in termini di accuratezza delle informazioni elaborate ex-post anche tenuto conto dell’accuratezza di misura della app di tracciamento
  8. non è dato di sapere quale possa essere la variabilità, l’efficacia, la ripetibilità del comportamento della app in funzione del modello di terminale impiegato, delle sue condizioni operative, della compresenza ed esecuzione di ulteriori app commerciali possibilmente coesistenti con la app di tracciamento e dei numerosi altri inevitabili fattori di confondimento che possono indurre il sistema in errori grossolani
  9. non è dato di sapere quali siano i processi di sviluppo, validazione, le metodologie di test, gli esperimenti effettuati al fine di caratterizzare le prestazioni metrologiche sia della app di tracciamento, sia degli strumenti di ricongiungimento e post-elaborazione dei dati
  10. non si comprendono le ragioni per cui si intendono poter basare azioni di coercizione di ufficio affidate alle istituzioni competenti nei confronti di cittadini basando le stesse azioni su:
  • informazioni raccolte in modo non metrologicamente riferibile, e dunque potenzialmente sbagliate;
  • informazioni di misura raccolte da dispositivi che per scelta progettuale e costruttiva non sono dispositivi di misura;
  • informazioni raccolte che richiedono rilievi accurati da dispositivi che hanno una accuratezza intrinseca peggiore di ben due ordini di grandezza rispetto al requisito di protezione sul quale basa il razionale di tracciamento di persone ai fini della protezione sanitaria;
  • informazioni raccolte sotto ipotesi di impiego di dispositivi da parte dei rispettivi proprietari che sono non verificabili, facilmente non applicate, facilmente affette da errori grossolani, e talora in condizioni di impiego che hanno implicazioni palesemente contrarie a quanto invece potenzialmente dedotto dalla app di tracciamento;
  • informazioni sensibili raccolti tramite una app che effettua elaborazioni complesse non verificabili, nemmeno tramite l’esame del codice sorgente;
  • raccolte di informazioni sensibili ottenute da più dispositivi, successivamente elaborate anche da aziende con fini di profitto in modo non verificabile dalla pubblica autorità e nemmeno rilasciate in codice sorgente;
  • informazioni sensibili di un numero potenzialmente elevatissimo di cittadini raccolte in basi di dati e affidate a soggetti non istituzionali che operano per profitto;
  • informazioni sensibili ottenuti da applicativi dei quali non sono rilasciati esperimenti svolti da centri accreditati per competenza  a livello internazionale e indipendenti atti a dimostrarne efficacia ripetibilità e prestazioni metrologiche.

A cura dello Studio Legale Mereu