Trasparenza e sicurezza non sono optional: cosa c’è che non va nell’App Immuni

– di Federico Fuga*

Da quando, all’inizio della pandemia, si è iniziato a parlare della app Immuni per il Contact Tracing, i miei sentimenti nei confronti di questo strumento sono andati via via peggiorando. Premesso che non esiste dubbio scientifico sull’opportunità di effettuare tempestivamente il Tracking per circoscrivere velocemente i focolai d’infezione, viceversa la questione è tutt’altro che chiusa riguardo l’implementazione di tale procedura attraverso strumenti software installati nei dispositivi personali dei cittadini. Tali dubbi nascono sia dal problema di garantire un’adeguata diffusione dei software tra la popolazione, sia dai limiti di cui i sensori ed il software inevitabilmente soffrono nel misurare la durata e la significatività dei contatti fisici. Si pensi al caso di un contatto tra un operatore ed un utente avvenuto attraverso la parete di plexiglass obbligatoriamente installata negli uffici pubblici, parete che il software non può rilevare.

Tali dubbi sono tutt’altro che banali: ne ha scritto Nature recentemente.

Purtroppo i dubbi nascono tutti dalla poca trasparenza tenuta sul progetto, poiché tutta la comunicazione è stata tardiva e stimolata solo dal pressing di giornalisti ed esperti di sicurezza, e molte volte è avvenuta in modalità che non hanno fatto altro che moltiplicare dubbi e domande.
La privacy non è una fisima. Se le persone comuni, quelle che dicono di non avere molto da nascondere, in verità non avvertono il problema finché non si verifica, esistono svariate categorie di persone la cui vita dipende dalla confidenzialità di alcune informazioni. I giornalisti e le loro fonti, magistrati, avvocati, e perché no, anche i minori, tra i quali la tecnologia ha una penetrazione molto importante.

Ci hanno assicurato che i dati “saranno abbastanza anonimi da non permettere il riconoscimento delle persone”. Purtroppo però non esistono dati “abbastanza anonimi”. O lo sono, o non lo sono. E anche quando lo sono, potrebbe non essere sufficiente. E’ noto infatti in letteratura una tipologia di attacco tramite dati di altra natura, in grado di associare le informazioni anonime a persone precise. E’ il caso di quando parliamo di “un uomo zoppo che si aggira per il condominio” quando sappiamo che nel condominio esiste una sola persona con queste caratteristiche.

Quel che sappiamo della tecnologia alla base di Immuni è che utilizzerà il Bluetooth. Non avendo altre informazioni se non quelle desunte dal report pubblicato dalla Task Force 6 qualche giorno fa, possiamo arrivare a due diverse conclusioni, ossia che essa o si baserà sul protocollo PEPP-PT europeo, criticato per il centralismo e per l’opacità dei dettagli, oppure che, adeguandosi alla necessità di aggirare alcune limitazioni dei dispositivi iOS e Android, utilizzerà un protocollo simile al DP3T. Già questa incertezza porta la frustrazione dei professionisti della cybersecurity ad un livello piuttosto alto. E c’è l’aspetto che pure utilizzando il Bluetooth, anche se con dati anonimizzati, si lasciano tracce che possono aiutare a ricostruire l’identità degli utenti. Con le dovute risorse, è teoricamente possibile ricostruire i movimenti di un utente risultato positivo ai test del virus. Oppure, creare un contatto con una persona positiva anche a discreta distanza, replicando i segnali emessi dalla sua radio Bluetooth ed indirizzandoli sul dispositivo del nostro obiettivo con un’antenna speciale.

Le vulnerabilità ci sono, e non tutte sono sanabili.

Le linee guide europee raccomandano che l’applicazione sia Open Source, ossia che sia possibile leggere, analizzare e validare il funzionamento attraverso le istruzioni che la compongono in forma testuale, in un linguaggio interpretabile dagli umani, e ciò è stato ufficializzato negli atti normativi. E’ una cosa molto importante, ma non basta. Ricercatori ed appassionati sono pronti a farlo, ma ci vorrà un po’. Questo permetterà di scovare eventuali punti deboli.
E ancora, si discute dell’ubicazione dei server, si cita Google, Firebase, Apple; sommando quanto scritto nel report e il fatto che PagoPA pare entrerà nello sviluppo, possiamo supporre che non sarà diverso dalle altre infrastrutture digitali (Google Cloud è una piattaforma certificata per l’uso da parte della PA), ma quanto dovremo attendere per avere qualche certezza?
Ripeto, non si tratta di lana caprina. Sono tutti aspetti importanti. Il mondo è interconnesso, le categorie a rischio vengono minacciate continuamente anche da governi stranieri e lontani, e poter ottenere informazioni importanti su una figura scomoda può avere conseguenze gravissime. Di solito ad attacchi informatici verso giornalisti ed attivisti fanno seguito attacchi fisici.

E dobbiamo infine pensare ai nostri concittadini ospiti in nazioni diversamente democratiche, che potrebbero aver esposta la propria privacy grazie al Contact Tracing, che sarà un meccanismo globale e standardizzato. Cittadini omosessuali o di minoranze perseguitate potrebbero ritrovarsi profilati e monitorati.

Nell’emergenza è facile passare ogni strumento come necessario, ma credo che uno strumento così invasivo, per quanto probabilmente assai utile, debba essere ponderato e sottomesso allo scrutinio e all’analisi pubblica, con un processo di decisione completamente trasparente.

*Federico Fuga, ingegnere, si è laureato a Padova in Ingegneria Elettronica nel 2001 e dal 2004 svolge come freelance l’attività di sviluppatore di sistemi e software Embedded per aziende di tutto il mondo. E’ appassionato in particolare di Cybersecurity, Ingegneria Forense e di scienza e tecnologia in generale.