Affinchè l’app Immuni possa diventare davvero uno strumento utile all’Italia ai fini del contenimento del contagio, l’app ha il dovere di conquistare anzitutto la fiducia degli italiani. L’approfondita analisi di codice, tecnologia e procedure è dunque essenziale, perché solo la supervisione di tecnici e autorità potrà regalare ai cittadini la giusta tranquillità nell’affidare il proprio smartphone al sistema. Particolarmente importante è dunque a tal fine l’analisi del Copasir (Comitato Parlamentare per la Sicurezza della Repubblica), organo deputato proprio a valutare che lo strumento posto in essere abbia le caratteristiche necessarie per potersi considerare sicuro nelle mani dei cittadini.
Immuni: l’analisi del Copasir
Il risultato, più che una promozione o una bocciatura, è un’analisi molto dettagliata dei singoli aspetti sensibili dell’app Immuni, del modo in cui è stata scelta e del modo in cui verrà realizzata. Il Copasir, alla luce del fatto che l’app ad oggi è soltanto un progetto e ancora non la si sia vista in azione, ha enucleato quindi gli aspetti cruciali del processo, ponendo in evidenza quelle che ritiene possano essere le principali fragilità da tenere in considerazione.
Alcuni di questi punti hanno già trovato parziale risposta nelle ultime ore, altri necessiteranno di debito approfondimento. Ma su una cosa l’organo di controllo intende essere chiaro fin dal principio: non è in discussione l’opportunità o meno di adottare un sistema di contact tracing, poiché questa è una decisione che spetta alla politica (e la risposta italiana appare in linea con i paralleli progetti in essere in tutta Europa). Il giudizio non è dunque relativo al “se”, ma al “come”:
Il Comitato non intende entrare nel merito della scelta del Governo di predisporre uno strumento di tracciamento dei contatti sociali per prevenire i rischi derivanti dal contagio Covid-19. Scelta che del resto altri Paesi hanno effettuato, o sono in procinto di effettuare, nel quadro delle iniziative volte al contenimento dell’epidemia. Il Comitato ritiene, però, di segnalare alcuni aspetti critici, che dovrebbero essere corretti, per evitare che l’efficacia della iniziativa risulti ridotta, e, soprattutto, che si possano determinare rischi connessi sia alla trasmissione dei dati dei cittadini, in ordine al rispetto della privacy e alla sicurezza dei dati personali, sia in particolare alla stessa gestione complessiva, dal punto di vista epidemiologico, dell’emergenza sanitaria.
Il ruolo di Immuni
Una delle prime preoccupazioni espresse è relativa alla mancata definizione esatta dell’app, delle sue finalità e, soprattutto, del suo ruolo nei confronti delle strategie del Servizio Sanitario Nazionale: in che misura e con che modalità sarà integrato l’uso dei tamponi per la ricerca dei casi positivi e per l’isolamento delle persone a rischio?
La nostra analisi vuol comunque soffermarsi soprattutto sui rilievi di tipo tecnico, dando per scontato (sebbene scontato non sia) che l’ovvietà del ruolo complementare a quello dei tecnici sanitari sia in qualche modo risolta in azioni che lo stesso SSN metterà a punto nel frattempo.
[gallery_embed id=142986]
No a limiti e coercizione
Il Copasir chiede esplicitamente che si eviti che possano sussistere atteggiamenti discriminatori o coercitivi in relazione all’uso dell’app, che è di libera installazione e tale deve rimanere:
Il Comitato ritiene che tale disposizione possa risultare insufficiente a escludere eventuali provvedimenti più restrittivi, da parte di soggetti istituzionali o da privati, volti a selezionare l’accesso delle persone (a luoghi, zone territoriali, locali pubblici o privati eccetera), sulla base dell’utilizzo o del mancato utilizzo dell’applicazione. Tale eventualità sarebbe infatti in netta contraddizione con quanto dispone il comma 1 dell’articolo 6 circa l’installazione su base volontaria dell’applicazione di contact tracing
Nella relazione si chiede inoltre di rispettare in modo preciso il limite del 31 dicembre come data ultima per la fruizione dell’app: ogni traccia della piattaforma dovrà dunque essere cancellata entro la fine di questo sfortunato 2020. Su questo aspetto il Governo è stato chiaro: così sarà.
Sicurezza e geopolitica
Altra preoccupazione espressa è relativa alla programmazione dell’app ed all’uso di risorse private o fuori dai confini nazionali: il Copasir si chiede insomma cosa potrebbe accadere in caso di nuove frizioni geopolitiche o altre eventualità che possano celarsi tra i dettagli di una raccolta dati tanto capillare.
[…] la definizione dettata da privati dell’architettura dell’intero sistema informatico, inclusa la App, nonché la necessità di ricorrere a soggetti privati non nazionali, per quanto da considerare affidabili, per il CDN destinato a contenere i dati raccolti, potrebbero prestarsi a manipolazioni dei dati stessi, per finalità di diversa natura: politica, militare, sanitaria o commerciale. Si sottolinea inoltre come la possibile alterazione dei dati potrebbe far sovrastimare o sottostimare l’entità stessa dell’epidemia.
Il Copasir ragiona ovviamente nell’ottica del “possibile”, basandosi su una descrizione teorica dell’app e delineando quelle che sono le possibili fragilità. La finalità appare meritevole: cautelarsi di fronte ai pericoli che potrebbero presentarsi, affinché tutti gli attorni in campo possano offrire rimedi, soluzioni o argomenti a supporto delle proprie scelte.
Dati e confini
[…] i dati raccolti attraverso l’applicazione non potranno essere trattati per finalità diverse da quella di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica.
I dati dovranno dunque essere raccolti in modo tale da non poter essere trattati con finalità differenti da quelle di contenimento del contagio, ma dovranno altresì restare entro i confini nazionali e nessun attore terzo deve avere la possibilità di attingervi informazioni:
Ciò al fine di impedire che simili informazioni – rilevanti sia sul piano della qualità sia della quantità e soprattutto della capillarità – possano più o meno direttamente entrare nel possesso di attori europei e internazionali, sia pubblici sia privati, a vario titolo interessati.
Il ruolo della Bending Spoon
Ulteriore criticità rilevata dal Copasir è relativa al ruolo dell’azienda scelta per lo sviluppo del contact tracing in salsa italiana, ossia la Bending Spoons:
Il Comitato esprime preoccupazione per il fatto che dopo l’entrata in esercizio della App Immuni, che dovrà comunque essere preceduta da fasi di test, la Bending Spoons, secondo quanto previsto dal contratto, continuerà la sua attività di aggiornamento dell’applicazione per un periodo di sei mesi, determinando quindi una potenziale dipendenza del sistema posto in essere da tale sviluppo tecnologico, affidato anche in questo caso a una società privata. Sul punto non risulta chiaro se l’attività di aggiornamento della App da parte di Bending Spoons possa svolgersi in sovrapposizione e/o congiuntamente con l’attività di PagoPA.
A tal proposito le parole del ministro Paola Pisano sembrano già aver chiarito in buona parte la questione, poiché a seguito dell’intervista con Report è emerso il ruolo preminente di Sogei e PagoPA nell’affiancare la Bending Spoons nella progettazione del sistema. Il Governo intende evidentemente avvalersi fino a fine anno del supporto dei programmatori, evitando di farsi trovare impreparato nel caso in cui qualcosa non dovesse andare per il verso giusto. Il Copasir a tal proposito chiede soltanto piena indipendenza dello Stato rispetto all’azienda, affinché non sia quest’ultima a tenere in mano il timone quando l’app entrerà a regime.
Rischio cracker
Ulteriore lecita osservazione del Copasir è relativa al rischio di intrusione informatica: l’alto quantitativo di dati sensibili sullo stato di salute dell’utente e su eventuali indizi relativi ai suoi spostamenti, infatti, rendono il sistema particolarmente appetibile ed esposto a possibili attacchi. Cosa succederebbe se qualcuno riuscisse a prendersi gioco dei sistemi di sicurezza implementati? Quale impatto potrebbero avere delle notifiche casuali inviate alla popolazione, segnalando falsi positivi e scatenando il caos (e la caduta dell’affidabilità dell’app)?
Il ragionamento dell’organo di controllo sembra essere più che altro una richiesta: si valuti tutto quanto possibile per assicurare la bontà dell’app, affinché nulla possa accadere.
Né può essere sottovalutato il rischio tecnologico, anch’esso difficilmente mitigabile, almeno nel breve periodo, consistente in possibili attacchi di tipo informatico da parte di hacker o altri soggetti o in possibili truffe ai danni degli utilizzatori della App. La tecnologia Bluetooth risulta infatti particolarmente vulnerabile a intrusioni i cui effetti, in questo contesto, potrebbero essere tali da diffondere allarme ingiustificato nella popolazione, ad esempio mediante l’invio di messaggi falsi o fraintendibili, relativi, inter alia, allo stato di salute o al possibile contagio dei destinatari
Oltre il confine
L’ultimo interrogativo posto dal Copasir è relativo alla compatibilità internazionale, aspetto che abbiamo già approfondito su queste pagine nelle ore scorse. Su questo punto sta lavorando la Commissione Europea, nella speranza di recuperare il tempo perduto e di arrivare in tempi rapidi ad una soluzione che metta tutti d’accordo per far dialogare le differenti app nazionali nel linguaggio comune della salvaguardia sanitaria su tutto il territorio europeo.