Tra gli italiani che possiedono uno smartphone, soltanto una percentuale di poco superiore al 10% ha scaricato l’app Immuni (4,3 milioni e certo meno quelli che ancora l’hanno attiva). Il perché di questa mancanza di fiducia è presto detto: assenza di trasparenza da parte del Governo. Ma non è, ovviamente, solo questo il problema.
Certo, è assolutamente esagerato affermare, come qualcuno ha fatto, che quest’app sia stata fatta per spiare i cittadini ma è pur vero che anche le poche voci in circolazione possono minare il terreno e l’effetto valanga può portare a diffondere la voce velocemente e creare sfiducia.
Facciamo allora un elenco di elementi che il Ministero della salute, titolare del trattamento dei dati, avrebbe dovuto fare e non ha fatto ed elementi che non ha messo a disposizione ai cittadini e alla comunità scientifica.
Non abbiamo nessuna evidenza:
- se il sistema Immuni stia facendo ciò per cui è stato commissionato e progettato;
- del DPIA del sistema Immuni;
- del livello di affidabilità dei risultati;
- del rischio residuo per la privacy e security del sistema Immuni.
Il sistema Immuni sta facendo ciò per cui è stato commissionato e progettato?
La normativa di riferimento stabilisce che il sistema di allerta Covid-19 (sistema Immuni) debba perseguire esclusivamente la finalità, da un lato, di “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi” e, dall’altro, di “tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legata all’emergenza Covid-19”.
Dopo due mesi da quando è stata rilasciata e resa disponibile l’app Immuni, solo circa 4,3 milioni di cittadini l’ha scaricata sul proprio smartphone, cioè il 12% della popolazione tra i 14 e 75 anni con uno smartphone compatibile e capaci di scaricarla e usarla. I casi positivi prodotti dall’app Immuni sono finora 46, casi positivi che hanno consentito di inviare il messaggio di notifica per allertare gli utenti che usano Immuni con i quali sono entrati in contatto precedentemente.
Ricordiamo che per avere risultati attendibili e tracciamento efficace (secondo il parere dell’Oxford University), l’app deve essere usata da almeno circa il 20% della popolazione, anche se non ci sono ancora evidenze scientifiche sulla quota necessaria. E né che ci possa essere un’efficacia assoluta di queste app: ma tant’è, può essere corretto comunque averle disponibili piuttosto che il contrario.
Per la precisione serve che il 56% della popolazione usi l’app per ottenere un’efficacia ottimale con cui l’app basterebbe a controllare l’epidemia senza necessità di altri interventi governativi. Quote inferiori possono essere utili per limitare il contagio e salvare vite umane, ma senza soddisfare le finalità stabilite dal governo.
In ogni caso, data la posta in gioco, conviene sempre provarci. E può essere utile – come sottolineato anche ad Agendadigitale.eu dal professore Stefano Denicolai, associato presso Università degli Studi di Pavia, Dipartimento di Scienze Economiche e Aziendali e membro della task force per Immuni – un’adozione molto mirata e fortemente promossa dalle istituzioni nelle zone più a rischio che si manifesteranno. Insomma, se la percentuale di adozione sarà buona in quelle zone non sarà un problema se sarà bassa sulla media italiana.
Il governo è veramente preoccupato?
Dalle dichiarazione e azioni di alcuni esponenti possiamo dire che al momento il governo è veramente preoccupato della debole adozione.
Per riuscire a raggiungere un buon livello di utilizzo dell’app, concentrato soprattutto nelle zone più a rischio e a maggiore densità della popolazione, si sono messi in movimento tutti i componenti del governo.
Il Comitato Tecnico Scientifico (CTS), ha raccomandato alla ministra dell’Innovazione, Paola Pisano, di diffondere l’app nelle scuole, tra il personale docente e non docente, gli studenti di scuola secondaria superiore e comunque gli alunni con età superiore ai 14 anni e anche tra i loro genitori.
Il ministro della Difesa, Lorenzo Guerini, ha suggerito l’utilizzo di Immuni “per tutelare la salute del personale delle forze armate e delle loro famiglie”.
La Federazione dei Medici di Medicina Generale ha annunciato che da luglio scenderanno in campo anche i medici di famiglia, consigliando l’app Immuni ai propri pazienti, anche con manifesti illustrativi nelle sale d’aspetto.
Inoltre, nei programmi del ministero dell’Innovazione c’è una nuova campagna di comunicazione sull’app.
Insomma, si fa di tutto per convincere gli italiani a scaricare l’app sul proprio cellulare.
Perfino il Garante per la privacy si è espresso dicendo che “Il tifo contro Immuni non ha senso”.
Gli altri paesi a che punto sono con le app covid?
Quando Apple e Google nel mese di aprile avevano annunciato il loro piano congiunto per rilasciare gratuitamente il framework di notifiche di esposizione allo scopo di supportare le app per il contact tracing, avevano dichiarato anche che avrebbe garantito la privacy dei cittadini e non avrebbero tracciato la geolocalizzazione degli utenti. Sembra che i cittadini tedeschi, incoraggiati da questa dichiarazione, siano convinti più degli altri e il Robert Koch Institute[1], ha fornito un aggiornamento sui progressi, celebrando il fatto che l’app sviluppata dal governo tedesco, dopo un mese e mezzo, sia stata installata da circa 16 milioni di persone su 83 milioni di tedeschi. Il presidente dell’Istituto Prof. Lothar Wieler ha dichiarato che “l’applicazione funziona e che i 500 utenti di app, dichiarati positivi al virus, hanno avuto l’opportunità di avvisare gli altri tramite l’app.
Il governo UK, invece, ha avuto un ripensamento e, il mese scorso, ha deciso di abbandonare il sistema centralizzato e di commutare il progetto alla versione decentralizzata basato sul framework di notifiche di esposizione di Apple e Google. Questo modello è stato favorito dagli attivisti per la privacy perché il processo di abbinamento si svolge sugli smartphone degli utenti piuttosto che su un server centrale, fornendo un maggior grado di anonimato.[2]
Anche la Svizzera e Irlanda hanno optato per il sistema decentralizzato basato sul framework di notifiche di esposizione di Apple e Google. In Irlanda in due settimane l’app è stata scaricata da 1,3 milioni di cittadini (più del 30% dei cittadini con smartphone).
Secondo BBC News, i problemi abbondano: in Giappone solo 7,7 milioni di cittadini hanno scaricato l’app su 126 milioni di abitanti e l’app ha registrato solo 27 casi positivi.
L’app australiana Covidsafe ha avuto problemi tecnici (come hanno rivelato i documenti presentati al Senato)[3]. All’inizio di giugno circa 6 milioni di cittadini australiani avevano scaricato l’app.
In Francia CNIL ha rilevato diverse irregolarità dell’app relativi alla Privacy e ha invitato il Ministero della solidarietà e della salute a rimediare. In ogni caso l’app è stata scaricata da circa 2,3 milioni su 70 milioni di cittadini.
Alcune idee per migliorare l’app
Ciò considerato, vediamo cosa si può fare per aumentare fiducia e gradevolezza con l’app.
Cominciamo da qualcosa di semplice. L’esperienza con Immuni la stiamo facendo un po’ tutti. L’abbiamo installata, l’abbiamo configurata e dietro la richiesta abbiamo specificato la regione nella quale viviamo. E poi silenzio! L’app non si fa più sentire, rimane completamente muta! Ci si dimentica di averla installata. Si può dire che è molto discreta e rispetta la privacy.
In realtà lavora in silenzio, con il BLE attivo (condizione necessaria per il suo funzionamento). Nessuna interazione proattiva per ricordarci che è li presente e cerca di proteggerci. Quando ci ricordiamo di lei, dubbiosi della sua attivazione, apriamo il cellulare, la guardiamo e constatiamo che è ancora attiva.
Il colmo è quando si cambia regione; chi si ricorda di aggiornarla? Ci si sposta, per esempio, da Milano a Novara, ma l’app, giustamente, non essendo in grado di rilevare la geolocalizzazione, non si accorge dello spostamento e ci conteggia ancora tra i cittadini con l’app attiva della provincia di Milano.
Basterebbe implementare un servizio interattivo di comunicazione, naturalmente rispettando sempre la privacy, per dare prova che il servizio è attivo e ricordare all’utente di aggiornare la provincia. Si potrebbe inserire a fianco dell’icona della batteria anche l’icona dell’app Immuni con la sigla della provincia. Sarebbe, inoltre, utile sapere, attraverso notizie flash, il numero degli utenti della provincia con app attiva e il numero delle persone riscontrate positive in provincia e altre informazioni relative al Covid-19. Tecnicamente queste informazioni (TEK, Analytics di tipo Epidemiological e Operativo Info sono fornite con l’autorizzazione basato su un codice OTP) sono presenti nel sistema di backend.
DPIA del sistema Immuni
Punto più complesso è la trasparenza. La protezione dei dati “by design” stabilito nell’art. 25 del GDPR è un principio fondamentale e deve essere rispettato. Tale principio è stato dettagliato nell’art. 35 del GDPR specificando che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.”
Attualmente a che punto è il Ministero della salute, Titolare del trattamento dei dati, con il DPIA?
Siamo venuti a conoscenza, attraverso il Registro dei provvedimenti n. 95 del 1 giugno 2020 del Garante per la privacy, che il Ministero della salute, con la nota del 28 maggio 2020, ha trasmesso al Garante, ai sensi dell’art. 36, § 5, del Regolamento e dell’art. 2-quinquiesdecies del Codice, la Valutazione d’impatto sulla protezione dei dati, effettuata ai sensi dell’art. 35 del Regolamento, per essere autorizzato ad avviare il trattamento di dati personali relativo al “Sistema di allerta Covid-19”.
Il documento DPIA, dunque, esiste ed è consegnato al Garante per la privacy.
Abbiamo fatto una ricerca approfondita per trovare ed esaminare il contenuto, ma non siamo riusciti a trovarlo.
Il DPIA non è disponibile per la cittadinanza e per la comunità scientifica.
Abbiamo saputo che il DPIA è un documento segretato per via del Freedom of Information Act (FOIA)[4]!
E gli altri paesi come hanno fatto? Sappiamo che la Germania e la Svizzera l’hanno reso disponibile sul web e, giustamente, non giudicano questo contenuto riservato! Chiunque esegue una ricerca sul web trova questi documenti.
Il governo tedesco ha emesso il DPIA, Version 1.6 – April 29, 2020 e l’ha messo a disposizione dei cittadini.
La Confederazione Svizzera ha fatto di più. Oltre a pubblicare il Final Risk Report PST NCSC, ha invitato la comunità scientifica a commentare il contenuto. La stessa cosa ha fatto con i test sull’app SwissCovd: ha invitato i cittadini a segnalare eventuali malfunzionamenti attraverso un modulo on line.
A questo punto, la domanda nasce spontanea: come la mettiamo con la trasparenza?
Caro Ministro e caro garante, non vi pare che ci sia una contradizione tra i vostri criteri e i criteri degli altri paesi europei?
L’argomento è aperto e noi siamo disponibili a qualsiasi confronto, ma siamo anche disposti a valutare la bontà e la conformità del DPIA all’art. 35 del GDPR.
Siamo, dunque, in attesa del DPIA!
Livello di affidabilità dei risultati
Per conoscere il rendimento dell’app Immuni è fondamentale sapere se sta producendo falsi negativi e falsi positivi; in altri termini: il software non sta avvisando gli utenti che sono stati in stretto contatto con un utente infetto e sta avvisando utenti che non sono stati a contatto con un utente infetto.
Il problema delle indicazioni non affidabili potrebbe creare veramente molti danni ai cittadini con conseguenze sulla loro vita. Per far fronte a questo problema è necessario valutare l’affidabilità del sistema e quantificare l’errore standard considerato accettabile. Questo compito forse spetta al Ministero della salute con il numeroso gruppo di esperti che ha a disposizione.
Per quantificare l’errore standard occorre conoscere bene gli argomenti in gioco e avere esperienza di analisi e operatività in campo in quanto il sistema Immuni è vasto e le vulnerabilità numerose, soprattutto nell’utilizzo dei beacon BLE.
Gli studi hanno indicato che il BLE è un sistema non proprio affidabile per determinare la distanza tra due persone in alcune situazioni con ostacoli in mezzo e i beacons RPI possono essere intercettati da malintenzionati.
Questo tipo di vulnerabilità intrinseche è stato rilevato anche dal dirigente del Dipartimento tecnologie digitali e sicurezza informatica del Garante nel docweb 9357972:
- possibile reidentificazione degli utenti che abbiano mutato il proprio stato di salute, diventando positivi al Covid-19, conferendo al sistema i propri identificatori TEK (o Diagnosis Keys).
- limitare al massimo le occasioni in cui gli pseudonimi di breve periodo RPI, diffusi in radiofrequenza con tecnologia BLE, possano essere rilevati da soggetti estranei al sistema Immuni in abbinamento temporale all’acquisizione di informazioni identificative, per poi essere, eventualmente, confrontati con gli pseudonimi ottenuti con procedimento matematico applicabile da chiunque alle Diagnosis Keys messe a disposizione in rete da Immuni così come da ogni sistema “decentralizzato” di exposure notification.
- sicurezza del dispositivo smartphone, per prevenire l’azione di malware o di ogni altra app apparentemente innocua ma che potrebbe avere un comportamento malizioso (con o senza la consapevolezza dell’utente) acquisendo, per esempio, gli stessi dati utilizzati dalla app Immuni per poi trasmetterli all’esterno, alimentando così raccolte su larga scala di pseudonimi RPI che consentano la ricerca di corrispondenze utili a ricostruire, per esempio, spostamenti delle persone oppure a individuare gli pseudonimi dei soggetti positivi.
- possono essere attivi dei dispositivi fisici o programmi software di scansione (sniffer) in grado di intercettare la trasmissione degli pseudonimi all’esterno del dispositivo, che avviene in radiofrequenza in modalità broadcast, ascoltabile da chiunque utilizzi l’idonea tecnologia.
- Nel caso del ricorso a dispositivi elettronici specializzati, potrebbero anche essere superati gli ordinari limiti spaziali del rilevamento, dovuti alla scarsa potenza dell’emissione radio BLE, consentendo di captare gli identificativi RPI trasmessi anche in un’area vasta con l’utilizzazione di un solo “punto di ascolto” nascosto.
- re-identificazione “inferenziale”: questa prescinde dall’utilizzo di tecnologie e ciascun soggetto che riceverà un alert di esposizione a rischio, al pari di chi – al di fuori del sistema Immuni – riceva una diagnosi di positività, sarà portato a una ricostruzione anamnestica dei pregressi contatti intercorsi con altre persone a cui possibilmente attribuire l’avvenuta esposizione al rischio di contagio o addirittura lo stato di malattia, analizzando retrospettivamente i contatti più prolungati avuti nella finestra di osservazione attivata per la app (pari a 14 giorni).
Queste vulnerabilità e altre questioni sono stati segnalate dal Garante per la privacy al Ministero della salute, il quale dovrà attivare soluzioni entro fine luglio allo scopo di beneficiare dell’autorizzazione del Garante concessa con il Registro dei provvedimenti n. 95 del 1° giugno 2020.
Rischio residuo per la privacy e security del sistema Immuni
Le uniche misure tecniche di sicurezza che il gruppo di progetto ha specificato (commentate da noi in un articolo precedente) sono quelle descritte nella specifica Immuni-Application Security Description (memorizzata nel Github). Queste misure si riferiscono al profilo di sicurezza dell’app Immuni.
Nulla abbiamo saputo per quanto riguarda le misure organizzative e le misure tecniche di sicurezza per l’intero sistema Immuni.
Siamo dunque convinti che siano state intraprese anche altre misure, ma questo, forse è avvenuto in modo empirico, senza seguire approcci sistemici. Esistono norme e linee guida sulle misure tecniche e organizzative con approcci sistemici oltreché ingegneristici. A titolo di esempio citiamo le norme ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 15408. Lo abbiamo scritto, lo ripetiamo e lo diremo fino alla noia!
Seguendo un approccio sistemico per la valutazione degli impatti e la valutazione dei rischi (seguendo le norme ISO 31000 e ISO/IEC 27005) si è in grado di valutare i livelli di rischio per ogni trattamento e per ogni processo e, inoltre, si riesce a ponderare i rischi e a stimare il rischio residuo per ogni trattamento e per ogni processo.
Naturalmente, nel caso in cui il rischio residuo è maggiore di quello accettabile, occorre intraprendere misure tecniche e organizzative per abbassare ulteriormente il rischio residuo e renderlo pari o minore di quello accettabile.
Sembrerebbe che, nel caso del sistema Immuni, nessuno sia a conoscenza di approcci sistemici per la gestione della privacy e della security. Noi siamo qui anche per ricordare al Ministro della salute che esiste la norma ISO/IEC 27701, la quale tratta la privacy e la security in modo sistemico come anche altre pubblicazioni che possono aiutare ad affrontare l’argomento.
Sulla base di quanto sopra possiamo affermare con ragionevole certezza che il Ministero della salute non è a conoscenza dei rischi residui del sistema Immuni. Se è così ci sentiamo autorizzati a pensare che il Ministero della salute non è in grado di stimare nemmeno quali possono essere le conseguenze per i cittadini. Secondo il parere di chi scrive questa situazione è molto grave!
Finora il governo come ha risposto in merito?
Riportiamo in seguito alcune dichiarazioni del Garante per la Privacy. Antonello Soro ha sostenuto che “il tifo contro Immuni non ha senso” e che “l’App Immuni contiene garanzie sufficienti dal punto di vista della protezione del dato. Il rischio è inferiore rispetto a quello generale che si corre tutte le volte che tali informazioni vengono trattate nella dimensione digitale” e, in altre parole, l’app Immuni è stata promossa anche se, è vero, come ammette lo stesso Garante Soro, “dobbiamo mettere in conto sempre la possibilità remota che ci sia un hacker che, nonostante un sistema di sicurezza molto forte e solido come quello gestito da Sogei, tra i più affidabili e presidiato anche dal punto di vista militare, abbia la capacità di ‘bucare’ i server! Tutto può capitare: anche il Pentagono ha subito un accesso abusivo” (Docweb: 9432471 del 02/07/2020)[5].
Pertanto, noi cittadini vogliamo sapere a quali garanzie sufficienti si riferisce il Garante e cosa aveva in mente quando diceva che “dobbiamo mettere in conto sempre la possibilità remota che ci sia un hacker che, nonostante un sistema di sicurezza molto forte e solido come quello gestito da Sogei, tra i più affidabili e presidiato anche dal punto di vista militare, abbia la capacità di ‘bucare’ i! server”.
Ma quale possibilità remota! Basterebbe leggere i giornali per rendersi conto di quello che succede nel mondo dell’information security. La dichiarazione del garante mi ricorda quella di quel manager che sosteneva durante l’assessment per la sicurezza delle informazioni: “le cose brutte succedono solo agli altri!”.
La confusione del dopo notifica: tampone chi era costui
Infine, sempre per quanto riguarda la trasparenza, non è possibile sapere con certezza cosa dovremo fare esattamente e cosa ci capiterà dopo aver ricevuto la notifica di possibile contatto a rischio contagio.
Come ci confermano dal nuovo numero verde di Immuni, le procedure cambiano da Regione a Regione e persino a volte da Asl ad Asl. La cosa più preoccupante per i molti scettici di Immuni è che non ci sono garanzie sui tempi per i tamponi né una procedura sicura e standardizzata che porti al controllo dell’utente che ha ricevuto la notifica. In Germania ci sono molte stazioni di testing accessibili: uno dei motivi forse del successo maggiore della loro app covid.
Così magari molti non la installano per paura di non sapere che fare dopo la notifica: assecondare il dovere civico, “auto-denunciarsi” al medico curante e così rischiare di restare bloccati a casa magari per un falso positivo?
Certo, sempre meglio sapere di essere a rischio per evitare – se non altro – di mettere in pericolo i propri parenti magari cagionevoli; quindi installare l’app per questa testata è probabilmente la scelta giusta (“più giusta” rispetto all’unica alternativa, non installarla). Ciò non toglie però che una maggiore chiarezza del sistema e quindi fiducia degli utenti sarebbe stato utile un sistema sanitario meno burocratico e più standardizzato almeno su questo fronte (di fronte all’emergenza), nonostante l’annosa questione delle autonomie regionali.
A.L.
Bibliografia
- L’Istituto Robert Koch è un’organizzazione responsabile per il controllo e la prevenzione delle malattie infettive in Germania, facente parte del Ministero federale della salute tedesco. ↑
- Fonte: BBC News- Coronavirus: The great contact-tracing apps mystery, by Rory Cellan-Jones & Leo Kelion, Technology reporters, 22 July 2020. ↑
- Fonte: https://www.theguardian.com/australia-news/2020/jun/17/covid-safe-app-australia-covidsafe-contact-tracing-australian-government-covid19-tracking-problems-working ↑
- https://www.foia.gov.it/foia/ ↑
- Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali (Di Salvo Ingargiola, Fortune Italia, 2 luglio 2020) ↑