privacy

L’app Immuni dirà la data esatta del contatto a rischio coronavirus: che errore

Risulta dall’attuale versione del codice, dopo l’ultima correzione fatta da Bending Spoons. E questo può esporre a rischi privacy che francamente potevamo evitare. Ecco perché

01 Giu 2020
Antonino Polimeni

Avvocato, Polimeni.Legal

Mirko Cazzolla

Mobile App Specialist


L’app Immuni dirà la data esatta in cui l’utente è stato esposto a un rischio contagio coronavirus. E’ quanto risulta dall’attuale versione del codice, dopo l’ultima correzione fatta da Bending Spoons. E questo può esporre a rischi che francamente potevamo evitare. Avevamo accennato già a questo rischio, per primi, in un precedente articolo, ma la novità è che in seguito Bending Spoon ha modificato il codice persino in peggio.

La data esatta di esposizione al virus nel codice dell’app Immuni

Di preciso è comparsa la variabile lastExposureDate che indica la data esatta di esposizione.

Improvvisamente, quindi, a causa di questa banalissima notifica, Immuni prende la peggiore delle pieghe possibili (un sistema centralizzato ben protetto, avrebbe avuto un impatto minore sui diritti delle persone). A questo punto non è più un problema di sicurezza, di anonimato, di crittografia, di reverse engineering.

Siamo al più banale dei paradossi: qui ci va di mezzo la più semplice e odiosa delle conseguenze, quella che coinvolge la gente, quella che potrebbe realmente consentire un (ulteriore e definitivo) allontanamento da parte della popolazione.

Siamo veramente desolati di dover fare questo tipo di considerazione, ma ci tocca rimanere obiettivi di fronte alle informazioni che troviamo.

Il via libera del Garante Privacy

Lo stesso Garante della Privacy, oggi ha dato parere positivo ad Immuni. E in un passaggio del provvedimento odierno, spiega che “se tale indice di rischio supera una soglia predefinita, l’app mostra all’utente un messaggio di allerta sulla possibile esposizione al contagio (c.d. notifica di esposizione), per essere stato un contatto stretto di un soggetto accertato positivo al Covid-19 (Il giorno TOT sei stato vicino a un caso COVID-19 positivo)”. Cita espressamente “Il giorno TOT”.

Siamo, onestamente, sorpresi. Eppure dichiara: “Particolare attenzione dovrà essere dedicata all’informativa e al messaggio di allerta”.

E, come se non bastasse, l’Autorità ha chiesto che gli utenti siano informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio. Ciò significa che l’utente dovrà essere informato dei parametri che rendono l’esposizione “rischiosa”: tempo e distanza (intensità del segnale per la precisione).

L’indice di rischio

Secondo il protocollo Apple-Google, utilizzato da Immuni, ogni Paese può, infatti, decidere quale tempo di esposizione e quale distanza massima considerare “a rischio”.

Per esempio, Immuni (almeno nella versione mostrata in questi giorni) considererà “rischiosa” di default una esposizione minima di 15 minuti (con un peso di 3 in una scala di valori che va da 1 a 8, peso che aumenta a 5 superati i 20 minuti e a 7 per esposizioni che vanno oltre i 30 minuti).

Questo ulteriore elemento, di cui l’utente deve essere “bene informato”, peggiora ulteriormente la situazione: “quale persona ho incontrato lunedì scorso per quindici minuti? Non può che essere lui!”.

Ci chiediamo, infine, quale sia l’utilità di mostrare all’utente la data del possibile contagio.

In conclusione

Il sistema di Apple-Google era stato pensato per dare la possibilità ai governi di stabilire i parametri di esposizione, proprio al fine di poter comunicare all’utente solo “Hai avuto un contatto rischioso, vai a fare un test”. La valutazione dell’utente, sul “quando” questo è avvenuto appare superflua e, davvero non porta alcun beneficio.

Abbiamo aperto una issue sul repository di github, chiedendo quale sia la funzionalità di questa informazione. Vi aggiorneremo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4