Apple e Google hanno annunciato le ultime specifiche e il lancio – già avvenuto su iPhone con iOS 13.5 e su Android con un aggiornamento ai Google Play Services – di quella che diventerà la spina dorsale dei sistemi di tracciamento contro il coronavirus basati su applicazioni. In Italia, come già confermato dal Governo, l'app prescelta è Immuni, un software sviluppato dall'italiana Bending Spoons che a partire da fine maggio renderà possibile il tracciamento dei contatti tra i cittadini. Il cuore di questa app – così come di molte altre app europee e non – saranno però le nuove API annunciate con un accordo senza precedenti stretto da Apple e Google: sarà grazie a questi accorgimenti che i sistemi operativi iOS e Android consentiranno alle app di operare in background senza le limitazioni alle quali devono sottostare le altre applicazioni.

In breve, normalmente un software non potrebbe utilizzare in maniera così estensiva il Bluetooth Low Energy né accedere a un monitoraggio dei contatti così esteso. Grazie alle nuove API, invece, le applicazioni selezionate dai Governi – e solo ed esclusivamente quelle – potranno lavorare senza intoppi all'interno di entrambi i sistemi operativi. Da oggi, quindi, l'Exposure Notifications System diventa realtà per diversi paesi del mondo, dove raggiungerà gli smartphone di milioni di persone in attesa dell'arrivo delle applicazioni ufficiali. Nel caso di Immuni non si hanno ancora date precise, ma è probabile che arriverà a breve e quindi entro la fine di maggio come confermato recentemente dalla ministra Pisano.

Attualmente 22 paesi, spiegano Apple e Google in una nota congiunta, hanno richiesto l'accesso alle API del sistema, con diverse altre nazioni attese per le prossime settimane. Si tratta di collaborazioni instaurate e da instaurare con i servizi sanitari nazionali che rappresentano una tappa obbligata per consentire il funzionamento corretto di queste applicazioni: il sistema di Apple e Google non è un sostituto di queste app, ma un supplemento che le aiuta a funzionare al meglio. Nel corso delle ultime settimane le due aziende hanno collaborato con i Governi, gli sviluppatori e gli esperti di privacy per realizzare e aggiornare i documenti e la documentazione resa pubblica alla fine di aprile.

Come funzionano le API di Apple e Google

Come richiesto dagli organi sanitari internazionali, le API messe a punto dai due colossi americani consentiranno di definire ciò che costituisce un "contatto", determinare il numero di contatti avuto da un singolo individuo, di associare il rischio trasmissione alla loro definizione di contatto e di avvisare gli utenti esposti utilizzando una combinazione di API e dati immessi volontariamente dai singoli utenti. Di fatto, consentiranno al sistema di tracciamento di scambiare chiavi temporanee con gli altri smartphone e gestire le notifiche di allerta che gli utenti riceveranno se si verificano casi di contatti con persone risultate positive al virus.  Saranno però le autorità sanitarie a decidere quando partiranno queste notifiche, quali messaggi inviare agli utenti e come contattarli per ulteriori informazioni.

Dal punto di vista della privacy, il sistema di Apple e Google dovrà essere attivato volontariamente dagli utenti e potrà essere disattivato in qualsiasi momento. Non traccia la posizione delle persone tramite GPS e il "match" tra positivo e possibile contatto viene effettuato solo sullo smartphone: il server non saprà mai chi è entrato a contatto con la persona positiva. Gli utenti devono decidere se comunicare di essere positivi e questa informazione non viene inviata ad Apple o Google. L'intero sistema sfrutta chiavi generate casualmente il cui "motore" sarà aggiornato continuamente per garantirne la sicurezza ed evitare che qualcuno possa comprendere in che modo vengono inviate le chiavi e inserirsi nel processo. Tutti i metadati associati al traffico Bluetooth saranno criptati per rendere più difficile identificare una persona.

Le regole per i Governi

Le applicazioni basate su questi sistema dovranno essere state create da o per un governo e potranno essere usate solamente per gli sforzi contro il coronavirus. Dovranno richiedere il consenso agli utenti prima di poter essere associate al sistema di notifiche delle due aziende e dovranno raccogliere solo i dati necessari sugli utenti. Non è permesso targettizzare pubblicità usando questi dati. Le applicazioni non potranno richiedere l'accesso alla posizione degli utenti tramite GPS e l'utilizzo delle API sarà limitato a un'unica applicazione per paese, nel nostro caso Immuni. Il rilascio delle API avverrà a partire da oggi con aggiornamenti per iOS e Android e sarà seguito dal lancio delle app. Immuni dovrebbe arrivare entro fine maggio.