Immuni: la campagna del Governo ha centrato l’obiettivo? I dubbi che restano | Agenda Digitale

lotta al covid

Immuni: la campagna del Governo ha centrato l’obiettivo? I dubbi che restano

Immuni ha superato quota 9 milioni di download. Uno dei motivi per cui le persone si sono sentite “più ispirate” a scaricare l’app è stata la nuova campagna del Governo, che alla fine diventa quasi un viatico per gestire ancora e sempre meglio l’app. Forse però andrebbero approfondite le ultime perplessità di sicurezza

21 Ott 2020
Marco Santarelli

Chairman of the Research Committee IC2 Lab - Intelligence and Complexity Adjunct Professor Security by Design Expert in Network Analysis and Intelligence Chair Critical Infrastructures Conference


L’app Immuni è stata scaricata su 2 smartphone su dieci in Italia, segnando un grosso balzo in avanti in seguito alla diffusione, lo scorso 8 ottobre di una nota di sensibilizzazione del Governo sull’utilizzo dell’app. Molti sforzi, in questi mesi, sono stati fatti per chiarire i dubbi degli italiani riguardo la sicurezza dei dati. Ancora di recente le istituzioni hanno raddoppiato questi sforzi, ma con efficacia ancora non completa: dubbi e perplessità restano in parte dei cittadini.

La campagna di sensibilizzazione del Governo

Da una parte, i risultati della campagna del Governo (e dei media) sono evidenti. A una settimana dall’iniziativa del Sistema Informazioni per la Sicurezza della Repubblica, in collaborazione con i ministeri della Salute e dell’Innovazione tecnologica e la Digitalizzazione, i download di immuni hanno superato quota 8 milioni di persone. E questa settimana siamo già oltre i 9 milioni.

Quindi il 21% dei nostri smartphone e il 15% dell’intera popolazione (al di sopra dei 14 anni) è stata coinvolta in questo processo. Di download, almeno; non si sa quanti utenti siano attivi, il Governo non comunica il dato (il team all’innovazione lo dice indisponibile). In effetti, solo la Svizzera lo comunica (circa l’80% dei download è un utente attivo lì) e gli altri Paesi comunicano anche meno di noi.

L’ultima nota sull’uso di Immuni completa il decreto Mef del 3 giugno 2020 pubblicato sulla Gazzetta ufficiale 144 l’8 giugno 2020. Qui vi sono le specifiche tecniche sull’utilizzo, sull’accesso, sulla comunicazione e sulla gestione dei dati. In realtà, quello che ne viene fuori non è tanto la possibile spinta che si vuole dare alle persone a scaricare l’app quanto il fatto di affrontare, con argomenti piuttosto convincenti, come si devono utilizzare le app in genere, come bisogna aggiornare i propri sistemi operativi e come bisogna utilizzare gli Store.

I dubbi privacy

Eppure, d’altro canto, nonostante questa campagna e forse proprio per causa sua, la polarizzazione del consenso su Immuni è sempre più alta. Almeno così risulta dall’osservatorio di Twitter.

Forse mai prima d’ora un’app o in genere un servizio digitale istituzionale è stato in grado di creare così tanta acrimonia, dividendo in fazioni i cittadini.

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

L’ultima pietra dello scandalo, la richiesta – di giugno scorso – del Garante Privacy di fare dodici interventi a tutela della privacy degli utenti Immuni. Alcuni giornali ed esperti hanno rilanciato l’accusa di Fratelli D’Italia (in un interrogazione) secondo cui il ministero della Salute non ha mai fatto quegli interventi. Il Garante Privacy ha smentito (al Sole24Ore) quest’accusa.

Il tema è critico, perché oggetto degli interventi era anche la piattaforma Ts, ovvero il luogo a cui le ASL locali inviano i dati relativi ai contagi Covid19. Il rischio da evitare è che la piattaforma scambi i dati con l’operatore telefonico in modo non sicuro. Dubbio plausibile se pensiamo che il codice Otp, generato per scaricare l’applicazione, poteva essere trasmesso in ogni modo e facilmente bucabile al momento stesso in cui si attendeva l’autorizzazione a procedere. Infatti, con l’upload delle proprie credenziali di connessioni, dette Tek (Temporary exposure key), le chiavi crittografiche, benché causali, potrebbero essere intercettate prima di passare al back-end dell’applicazione.

Proprio per questo nel sito del Sistema Informazioni per la Sicurezza della Repubblica si sottolinea l’importanza di comprendere in primis che l’app è nata per l’invio dati al fine di arginare la diffusione del virus Covid-19. Non altro. Al di là del fatto che il Garante per la protezione dei dati personali con provvedimento del 1° giugno 2020 n. 95 ha ribadito che chi non vuole o non può usare l’app, nella sua interezza o in una sua fase, non possa subire alcun pregiudizio e debba godere della parità di trattamento, nell’infografica si richiama fortemente alla capacità di attenzione delle persone a come scaricano, gestiscono e “vivono” le app.

Raccomandazioni e preoccupazioni minime per la sicurezza

Quindi le raccomandazioni del Governo diventano anche delle giuste precauzioni minime per la sicurezza dello smartphone e di ogni device su cui viene scaricata l’app Immuni, indicazioni fondamentali, seppur generiche, per la sicurezza dell’ambiente attorno a cui agisce l’app. Ci si focalizza poi sull’“Utilizzo consapevole degli Store”, ovvero sul diffidare dalle applicazioni non ufficiali scaricabili da siti non raccomandabili sponsorizzati sul web e/o tramite piattaforme social e si danno infine “Consigli pratici per l’app Immuni”, esponendone caratteristiche e funzionalità.

Queste precauzioni si ampliano e aiutano a capire meglio le cose nell’ultima infografica in cui si specifica direttamente la funzionalità di Immuni. Si dice testualmente “lo stato “non attivo” viene visualizzato nel caso in cui non venga accordato anche solo uno dei tre permessi iniziali o lo smartphone non sia connesso alla rete internet in fase di registrazione”.

I tre permessi iniziali, a cui si fa riferimento, sono: notifiche di esposizione al Covid, notifiche push dello smartphone, Bluetooth. Se non diamo l’ok anche solo a uno dei 3, l’app non si attiva. Qui e nella loro spiegazione più efficace (forse e speriamo sempre meglio) si gioca il futuro dell’app Immuni.

Per quanto riguarda il primo permesso, ossia “notifiche di esposizione al Covid”, Immuni ci avverte quando siamo stati a contatto con un’altra persona potenzialmente contagiosa, che si rivela positiva al Covid-19 in base alle informazioni inserite dalla Asl. Il tutto funziona attraverso il Bluetooth, che, pare non monitori né segua i nostri spostamenti. Chiaramente qui sorge un dubbio: se usando il Bluetooth non vengono registrate le informazioni personali, comunque vengono registrati gli apparati, i device e gli altri smartphone che ci girano intorno. Lo scambio è cifrato da codici casuali, che vengono inviati e ricevuti. Tali dati, però, diventano facilmente riconducibili alle nostre identità, se, un esempio tra tanti, attiviamo tra tecnologie Apple il “condividi tra apparati”.

Un’ultima perplessità

Se invece parliamo delle notifiche push dello smartphone le cose si complicano. Le notifiche push non arrivano dalle applicazioni, ma da un web service sulla home del dispositivo sotto forma di alert e sono molto utilizzate dalle applicazioni per aumentare la user experience degli utenti soprattutto per il mobile marketing. Google Maps o applicazioni per lo shopping online ne fanno uso come strategia aziendale. Possiamo definirle notifiche quasi invasive e che appunto, essendo generate da web service, possono risultare pericolose.

Se queste precauzioni sono utili sicuramente per la nostra salute e convivenza in questo momento storico che ci vede tutti, nessuno escluso, coinvolti, forse andrebbero approfondite ancora di più le ultime perplessità a livello di sicurezza dei dati.

Immuni boicottata da Asl e Regioni, spia di un male profondo delle nostre democrazie

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 4