Dopo aver conosciuto Immuni, abbiamo chiesto ad autorevoli esperti di protezione dei dati, di diritto d’autore e di sicurezza informatica il giudizio sull’app di contact tracing scelta dal Commissario straordinario per l’emergenza Covid-19, Domenico Arcuri.
Stefano Mele: “Dati in Italia affidati a un soggetto pubblico e app obbligatoria, altrimenti non si sperimenta software barattando la privacy dei cittadini”
A Key4biz Stefano Mele, avvocato specializzato in diritto delle tecnologie, privacy e cybersecurity, ha osservato: “In attesa di conoscere pubblicamente la scheda tecnica dell’app e la relazione governativa, l’auspicio è che chi conserverà i dati sanitari dei cittadini, che comunicheranno attraverso l’applicazione di essere risultati positivi al Covid-19, lo faccia utilizzando server dislocati solo sul territorio italiano, in modo da non rendere disponibili i dati a soggetti terzi che potrebbero essere tentati di farne un uso per finalità ulteriori.” Mele auspica la sovranità digitale per la gestione del contact tracing di Stato: “Peraltro, coerentemente con il dettato dei decreti emanati finora dal Governo, la gestione di questi dati dei cittadini non potrà che essere affidata ad un soggetto pubblico italiano”.
Secondo la ricostruzione giornalistica, il cittadino che usa l’app Immuni può caricare su un server i dati raccolti dalla sua app, compresa la lista anonima delle persone a cui è stato vicino. Affinché l’operazione sia efficace, il caricamento deve avvenire su cloud, in maniera protetta. Quali i rischi di questa struttura tecnologica, abbiamo chiesto ancora a Stefano Mele.
“I rischi sono altissimi, perché questa tipologia di dati personali è altamente appetibile – per diverse ragioni – agli occhi di numerose tipologie di soggetti: dagli hacktivisti ai cyber criminali, passando per le aziende private nazionali ed internazionali, fino ai Governi di altri Paesi (anche quelli alleati). Pertanto, auspico che una delle maggiori peculiarità di questo cloud sarà quella delle adeguate misure di sicurezza applicate a protezione di questi sistemi, sia per l’accesso dall’esterno che per l’accesso da parte del personale interno. Non dimentichiamoci mai, infatti, che il rischio cyber si governa anche (e, in alcuni casi, soprattutto) gestendo la minaccia che proviene dall’interno, ovvero ponendo dei solidi presidi di sicurezza nei confronti delle “fragilità” degli esseri umani, che possono essere disattenti, ricattati, costretti o addirittura comprati per ottenere delle informazioni così rilevanti sul piano economico”.
Dati anonimi o pseudonimizzati?
Ancora non si sa ufficialmente quali dati tratterà l’app Immuni se anonimi o pseudonimizzati. La ministra dell’Innovazione Paola Pisano ha parlato spiegato: “I dati siano resi sufficientemente anonimi da impedire l’identificazione dei soggetti”.
Di cosa si tratta effettivamente e qual è la differenza tra dati anonimi o “sufficientemente anonimi”, ossia pseudonimizzati?
“I dati sufficentemente anonimi non esistono. L’anonimizzazione dei dati personali o c’è o non c’è e, quando viene applicata, è un processo irreversibile. Le norme sono molto chiare sul punto”, puntualizza Mele. “Per cui, nel caso di questa app, se dichiaro che il dato sarà anonimo, nessuno potrà e dovrà essere messo in grado di identificare il soggetto positivo al Covid-19 e chi gli è stato a contatto. Acclarato ciò, quindi, a mio avviso l’app non potrà che trattare dati cosiddetti ‘pseudonimizzati’, ovvero suscettibili di subire un processo di reidentificazione solo in caso di rilevata positività e solo da parte di chi – ancora una volta – è strettamente autorizzato a prenderne visione”.
“Infine, questa app, oltre a garantire la più stringente compliance sul piano della normativa in materia di protezione dei dati personali e il massimo delle garanzie in materia di sicurezza informatica e delle informazioni, sia nel device che nel cloud, per essere davvero efficace dovrà essere installata ed utilizzata da almeno il 60% della popolazione. Considerando questo dato, pur essendo certamente un garantista dei diritti dei cittadini anche in una simile situazione emergenziale, devo affermare però che, affinché questa app assolva davvero al compito per cui è stata creata, occorrerebbe rendere l’installazione obbligatoria. Altrimenti, non credo che si raggiungerà la fatidica soglia del 60% della popolazione e il risultato sarebbe solo di aver incredibilmente barattato un diritto di libertà dei cittadini, com’è quello alla privacy e alla protezione dei dati personali, con l’utilizzo di un’applicazione per smartphone, come se fossimo di fronte ad un qualsiasi software commerciale e non a una delle possibili soluzioni per l’emergenza sanitaria più vasta di cui la mia generazione ha memoria”.
Gallus: “La app statale di contact tracing è open o no?”
Questa è la domanda principale posta da Giovanni B. Gallus, perché nel suo post su LinkedIn, l’avvocato spiega che dall’ordinanza firmata dal Commissario Arcuri non è chiaro se il codice sorgente dell’app è open source o no. Riportiamo un passaggio del post:
“…Nella premessa si legge si dice che “la società Bending Spoons S.p.a., esclusivamente per spirito di solidarietà e, quindi, al solo scopo di fornire un proprio contributo, volontario e personale, utile per fronteggiare l’emergenza da COVID-19 in atto, ha manifestato la volontà di concedere in licenza d’uso aperta, gratuita e perpetua”, e si sottolinea come la società sia (come è ovvio) la titolare dei diritti. Quindi, bene, sembrerebbe open!
Ma, sempre in premessa, si afferma che “intende concedere in licenza”, e, il periodo dopo, invece, si parla di “procedere senza ritardo all’acquisizione del diritto di autore sul codice sorgente e su ogni altro elemento e componente necessario” (ma l’acquisizione del diritto d’autore è cosa ben diversa dalla licenza…).
Nella parte dispositiva, invece, si afferma “dispone di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito”.
E allora, è free as in freedom, o solo gratuita?
E quindi mi chiedo: il codice sorgente è disponibile o no? E se è disponibile, a che condizioni? Perché si scrive in premessa che il commissario sta acquisendo i diritti d’autore, quando invece è una mera licenza? E di che tipo di licenza si tratta?
Non sono sofismi, ma è fondamentale essere chiari: sarà open source o no? Attendiamo fiduciosi”.
Le vulnerabilità del Bluetooth evidenziate da Nardelli e Corradini
Le vulnerabilità del Bluetooth sono state evidenziate da Enrico Nardelli e Isabella Corradini, che scrivono:
“Richiedere infatti che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è di fatto equivalente a chiedere loro di non chiudere a chiave la porta di casa perché deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. Lo stesso accadrebbe nel mondo digitale, con la differenza che qui tutto accade senza la nostra percezione. I dispositivi di tutti si troverebbero sottoposti a scansioni a tappeto da parte dei ‘cattivi’ che, ormai, non hanno bisogno di essere hacker di professione, dal momento che le cassette degli attrezzi per scardinare le “case digitali” si trovano sul mercato a prezzi abbordabili”.
“Una volta entrati”, continuano Nardelli e Corradini, “il problema non sarebbe più tanto quello relativo ai dati dell’app di tracciamento dei contatti ma quello, più grave, di avere un intruso ostile all’interno di ciò che è ormai strettamente integrato nella nostra esistenza, lo smartphone, depositario di tutti i nostri segreti, personali e professionali. L’unica contro-misura sarebbe aggiornare costantemente il proprio telefono. Ma quanti di noi lo fanno? Vogliamo davvero poggiare la privacy dei cittadini sulla certezza (!?) che abbiano tutti aggiornato il proprio smartphone?”
Concludono Nardelli e Corradini:
“Nelle discussioni in corso si dà per scontato che le soluzioni digitali siano comunque utili, nonostante chi le abbia usate estensivamente perché le aveva già a disposizione, Singapore, abbia dovuto poi mettere il paese in quarantena. Nonostante le organizzazioni internazionali sopra citate abbiano sottolineato la necessità, per misure di questo genere, di effettuare preventivamente valutazioni costi-benefici dei potenziali risultati ottenibili. Dove sono tali analisi?”
A Key4biz Nardelli ha detto: “Sull’intersezione tra tracciamento e sovranità digitale ritengo che il problema più grave sia a monte. In altre parole, se anche ogni nazione si tracciasse solo i suoi cittadini, invece di avere una soluzione pan-europea come auspica la commissione, non sarebbe comunque meglio, perché è il tracciamento digitale dei contatti in sé che è pericoloso”.