Immuni: come capire se stiamo facendo la scelta giusta

Immuni non è ancora disponibile sugli App Store di Google e Apple e non è corredata da una descrizione del protocollo, né da un audit sulla sicurezza. Tralasciando gli aspetti controversi di natura tecnica, è il nodo della sicurezza a destare preoccupazione.

Articolo a cura di Avv. Mario Montano (Esperto in ICT Law – Studio Legale Lisi)

Da giorni non si parla d’altro. Il contact tracing entrerà a tutti gli effetti a far parte della strategia nazionale di contrasto all’epidemia, grazie ad un App: “Immuni”, sviluppata dalla software house Bending Spoons Spa, in collaborazione con Jakala Spa, una martech company e il Centro medico Santagostino, una catena di ambulatori privati.

Immuni: come funziona

Immuni si basa sulla tecnologia Bluetooth Low Energy (BLE) e consentirà di “tracciare” i cittadini, tramite la gestione di due “diari”, uno clinico (da compilare autonomamente) e uno degli spostamenti (da compilare automaticamente) allertando così i soggetti entrati in contatto con positivi al Covid-19.

Sui dettagli della soluzione scelta dal Governo, o meglio dalla Task Force istituita dal Governo per vagliare le proposte giunte tra il 24 e il 26 marzo in risposta al bando (fast call), non ci sono al momento molte informazioni, se non quelle contenute nell’ordinanza n. 10/2020 del 16 aprile del Commissario straordinario Arcuri e nelle dichiarazioni della ministra Pisano del 21 aprile.

A differenza di altre soluzioni proposte, come l’app “riservista” Covid Community Alert, interamente opensource, sviluppata da un team internazionale di esperti e promossa dall’imprenditore e informatico Stefano Quintarelli, Immuni non è ancora disponibile sugli App Store di Google e Apple e non è corredata da una descrizione del protocollo, né da un audit sulla sicurezza. Tralasciando gli aspetti controversi di natura tecnica, è il nodo della sicurezza a destare preoccupazione.

L’Olanda alle prese con il bug dell’App di tracciamento

Il 20 aprile, stando a quanto riportato dal quotidiano De Standaard, l’app “Covid19 Alert!”, tra le applicazioni proposte al Governo olandese per il tracciamento dei contagi, ha subito una violazione di sicurezza (data breach), che ha comportato la diffusione dei dati personali di alcuni utenti (nomi, e-mail, password criptate).

Uno degli sviluppatori ha precisato che si è trattato di “un errore umano”, come se le violazioni di sicurezza potessero verificarsi senza l’intervento diretto o indiretto delle persone: che si tratti di un accesso abusivo a un sistema informatico, di un’interruzione di corrente o del comportamento infedele di un amministratore di sistema, alla base vi è sempre un errore umano, che può essere minimizzato soltanto con l’adozione di idonee misure tecniche e organizzative, ai sensi dell’art. 32 GDPR, a seguito di un’attenta e approfondita valutazione d’impatto sulla protezione dei dati ex art. 35 GDPR, qualora il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, come suggerito da ultimo dalle “linee guida dell’EDPB n. 3/2020 sul trattamento dei dati sanitari con finalità di ricerca scientifica nell’ambito dell’epidemia da COVID-19”, adottate il 21 aprile.

Sul piano della sicurezza, l’app Immuni solleva ancora numerosi interrogativi.

Immuni: gestione centralizzata o decentralizzata dei dati

Per definire uno standard tecnologico comune, è stata avviata un’importante iniziativa a livello europeo denominata PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), consorzio al quale aderisce Bending Spoons Spa, che ha proposto un modello basato su un server centralizzato per i dati, il che potrebbe aumentare i rischi di una violazione di sicurezza, replicando quanto avvenuto solo poche settimane al server gestito da INPS.

Il progetto DP-3T (Decentralized Privacy-Preserving Proximity Tracing) si è separato da PEPP-PT e propone un modello decentralizzato, in cui la crittografia-generazione delle chiavi avviene direttamente sui dispositivi degli utenti e non sui server.

Dalle poche informazioni disponibili, sembrerebbe che Immuni adotterà un sistema decentralizzato per garantire un migliore funzionamento nei sistemi operativi mobile.

Quanto al server che conterrà i dati pseudonimizzati (c.d. backend) dei pazienti contagiati e da cui inviare la notifica a coloro i quali sono entrati in contatto con loro, l’auspicio è che sia gestito interamente da soggetti pubblici e la cosa sembra essere stata confermata dalla ministra Pisano nelle dichiarazioni rilasciate il 21 aprile.

Adozione di idonee misure tecniche e organizzative e valutazione d’impatto (DPIA)

Un altro aspetto non ancora reso pubblico riguarda le misure tecniche e organizzative adottate da Bending Spoons per attenuare il rischio per i diritti e le libertà delle persone fisiche ai sensi dell’art. 32, par. 1, GDPR.

L’adozione di ID dinamici che sostituiscono i dati degli utenti è una chiara misura di pseudonimizzazione, che dovrà però essere accompagnata da ulteriori misure volte alla corretta gestione delle liste contenenti i dati personali degli utenti con i relativi ID, in modo da evitare che possano essere diffuse, consentendo la identificazione degli interessati.

La Ministra Pisano ha sottolineato che “l’applicazione non dovrà accedere alla rubrica dei contatti del proprio telefono, non chiederà nemmeno il numero e non manderà SMS per notificare chi è a rischio”.

Nessun riferimento è stato fatto alla valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 GDPR e se questo sia stato un parametro di cui ha tenuto conto la Task Force nel selezionare l’applicazione per il tracciamento dei contatti.

Rilascio del codice sorgente in modalità open source

Sempre secondo le dichiarazioni della ministra Pisano “Il codice sorgente del sistema di contact tracing sarà rilasciato con licenza Open Source MPL 2.0 e quindi come software libero e aperto”.

La Mozilla Public License (MPL) è certamente una licenza di software libero, considerata di copyleft debole, ossia copre soltanto un sottoinsieme di opere basate sul codice coperto da licenza, quelle cioè che sono il risultato di un adattamento del codice sorgente. La licenza non copre, invece, quelle parti dell’opera che possono considerarsi delle vere e proprie aggiunte.

Al di là delle dichiarazioni pubbliche istituzionali, soltanto il rilascio del codice sorgente dell’applicazione permetterà una valutazione indipendente della soluzione offerta “per spirito di liberalità e pro bono” dalla Bending Spoons.

Articolo a cura di Avv. Mario Montano (Esperto in ICT Law – Studio Legale Lisi)

L’Avv. Mario Montano approfondirà i nodi e le criticità del contact tracing, in occasione di un nuovo appuntamento gratuito dei “Caffè con…”, pillole di un quarto d’ora su digitalizzazione e privacy, in diretta oggi alle ore 11:00.

Lo speech sarà disponibile, anche successivamente, su piattaforma Digital & Law Academy.

Per info e iscrizioni: https://studiolegalelisi.it/portfolio/streaming-gratuito-un-caffe-con-una-pausa-di-aggiornamento/

Fonte: Key4biz | di a cura di Avv. Mario Montano (Esperto in ICT Law – Studio Legale Lisi)

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL