Grazie mille Stefano! (a proposito, ho appena corretto un paio di sviste nella mia descrizione) Il threat model che ho in mente è quello nel quale nella cerchia dei tuoi "conoscenti" viene rivelato che sei infetto. Essendo un dato sanitario, mi pare rientri tra quelli per i quali spetta a te decidere se rivelarlo o meno. Non si tratta di essere "untore", ma capisci che non tutti sono disposti a rivelare a tutti i propri fatti sanitari. Io potrei decidere di sparire dalla circolazione per un paio di settimane perché "devo sottopormi ad un piccolo intervento", senza stare a dire "urbi et orbi" che ho preso il virus. Non penso che durante un tracciamento dei contatti manuali, l'autorità sanitaria, quando avvisa Stefano che è stato in contatto con un malato, gli dica: "guardi che ha recentemente incontrato Enrico che purtroppo ha sviluppato il coronavirus quindi è bene che anche lei si faccia controllare e stia in quarantena", no? Immagino che sostituirà "Enrico" con "una persona", giusto? Con il protocollo descritto c'è un elevato rischio che invece il nome vero possa essere dedotto. Il fatto che con la decentralizzazione del tracciamento dei contatti venga sostituita un unica perdita di molti dati con molte perdite di dati "locali" non ne cambia l'impatto sociale. Per fare un esempio di un gestore transazioni finanziare, vuol dire che alla minaccia di avere un unico grande data leak del suo DB con i dati sensibili dei clienti (p.es. quanti soldi ha sul conto) viene sostituita la minaccia di tanti piccoli data leak locali nei quali ognuno riceve i dati sensibili delle persone con cui ha interagito. Quindi ognuno ha la possibilità di sapere quelli con cui interagisce quanti soldi hanno in banca. La curiosità è una molla potentissima... E poi, immagina quando Enrico dopo un po' ritorna in circolazione. Pensi che le persone lo guarderanno nello stesso modo sapendo che ha avuto il coronavirus? Insomma, la privacy su tutti i dati sanitari c'è per molti motivi, inclusi quelli che attengono alle relazioni sociali, su cui sono sicuro che i sociologi e gli psicologi sociali in lista possono dire molto più di me. Ciao, Enrico Il 11/04/2020 10:10, Stefano Zacchiroli ha scritto:
On Fri, Apr 10, 2020 at 08:25:31PM +0200, Enrico Nardelli wrote:
https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-...
Grazie in anticipo per ogni commento.
Per quel che vale, mi pare tu abbia descritto bene gli improvement recenti al protocollo. Al solito: grazie per questo importante lavoro di divulgazione.
A proposito di questo passaggio del tuo articolo:
Considerando che queste soluzioni di tracciamento dei contatti sono pensate appunto più per la fase di ritorno alla vita normale che per l'attuale fase di quarantena collettiva il problema non è secondario. Con il ritorno alla normalità ricominceranno le regolari attività giornaliere nelle quali tendiamo a incontrare con regolarità persone che conosciamo. Ed è proprio in queste situazioni di incontri regolari/ripetuti che l'approccio di registrare i contatti manifesta la sua debolezza rispetto alla privacy.
Insisto a non capire il threat model che hai in mente.
Anche senza alcuna app di tracing nelle nostre vite (la situazione attuale), le persone per le quali ho la più alta probabilità di venire a sapere che sono positive sono proprio quelle che incontro regolarmente.
È vero in generale---perché ci parlo e comunico in mille modi, ed è interesse di entrambi fare passare l'informazione sulla positività. (A meno che tu non stia pensando ad un threat model di tipo bizantino, in cui un untore vuole massimizzare le possibilità di contagio nascondendo l'informazione, ma allora cambia veramente tutto.)
Ed è ancora più vero in un contesto di contact tracing completamente analogico, con le interviste di cui abbiamo parlato. Perché se mi contattano per verificare se ho effettivamente passato più di 5 minuti con tizio, quanto mi ci vuole per dedurre che tizio è positivo?
Ergo, cosa cambia da questo punto di vista con una app di tracing a la DP3T? Il threat model del contact tracing centralizzato è chiaro; quello del contract tracing distribuito non mi pare tu l'abbia definito, ma è un prerequisito alla tua critica.
A presto
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --