Immuni è attiva in tutta Italia da lunedì 15 giugno ed “il download è stato eseguito fino da 2.780.000 di utenti”, ha detto due giorni fa nell’Aula del Senato Paola Pisano, ministra dell’Innovazione.
Nel ricordare che scaricare Immuni non significa, necessariamente, anche utilizzarla e nell’osservare che la “sperimentazione” avvenuta in Abruzzo, Liguria, Marche e Puglia non è stata una vera sperimentazione, ma solo una messa a punto di carattere tecnico, perché una vera sperimentazione sull’efficacia richiede più tempo e comparazione con altri metodi, analizziamo come l’app dello Stato italiano per il tracciamento dei contatti e allerta sarà interoperabile con le altre app nazionali di tracciamento dei contatti basate su un’architettura decentrata con l’API Apple/Google.
La soluzione di interoperabilità decisa dagli Stati membri
Gli Stati membri, con il sostegno della Commissione, hanno concordato una serie di specifiche tecniche volte ad assicurare lo scambio sicuro di informazioni tra le app nazionali di tracciamento dei contatti basate su un’architettura decentrata (Apple e Google). Una volta introdotta ufficialmente la soluzione tecnica, le applicazioni nazionali funzioneranno senza soluzione di continuità quando gli utenti viaggeranno in un altro paese dell’UE che applica anch’esso l’approccio decentrato.
l funzionamento transfrontaliero delle app di tracciamento dei contatti e di allerta è illustrato in questa infografica della Commissione europea.
Il framework delle due big tech è stato utilizzato, oltre al nostro Paese, da Finlandia, Portogallo, Svizzera, Austria, Polonia, Germania, Estonia, Lituania e Irlanda.
Francia e Spagna non lo adottano. In UK il Governo punta a lanciare l’app in autunno, dopo aver deciso in queste ore di passare al sistema di notifiche delle esposizioni di Apple e Google.
Quindi Immuni non sarà interoperabile con le app di Francia e Spagna?
La creazione di una federazione europea di server, “il gateway Ue”
Ma l’aspetto più critico che emerge dalle linee guida “Interoperability specifications for cross-border transmission chains between approved apps” concordate tra Stati membri e Commissione Ue per far dialogare le varie app nazionali quando ci si sposta in Paesi UE è:
- la creazione di una federazione europea di server, “il gateway Ue”, che riceve e crea COVID-keys tra i backend nazionali dei Paesi coinvolti, per l’Italia Sogei e PagoPa, stando al decreto-legge 28/2020 trasmetteranno i dati criptati (“COVID-keys”, Paesi di interesse, ecc.), “ma trasmetteranno anche i dati criptati di coloro che non viaggiano e restano a casa”, osserva Alessandro Del Ninno, avvocato esperto di Data Protection dello studio Tonucci & Partners di Roma.
- Inoltre, il gateway unitario Ue deve essere dato in gestione ad un “trusted operator”.
“Non è specificato se il trusted operator che sarà selezionato deve essere un soggetto pubblico comunitario (ad esempio l’agenzia UE per la sicurezza ENISA), quindi il rischio potrebbe essere che il gateway sia gestito da un privato. In linea teorica nel processo di selezione potrebbero entrare le stesse Apple o Google”, nota ancora Del Ninno. - Inoltre il gateway Ue potrà gestire solo COVID-keys di utenti risultati positivi al virus. Nessun altro tipo di chiavi può essere gestito centralmente per evitare rischi di privacy e
- Dovrà essere open-source e verificabile. Un OTT accetterà questa sfida di trasparenza?
- Infine, alla federazione di server potranno aderire “trusted non-EU countries” e le app si scambieranno le informazioni su Paesi di origine e di destinazione.