Cookie free: nessun "biscotto" per spiare i lettori. Sono in corso di eliminazione i link di facebook, che tracciano chi clicca su "mi piace" o "condividi"

"Immuni", la soluzione proposta è a rischio privacy?

Privacy e sicurezza - Andrea Gelpi - 21 aprile 2020

Nell'ordinanza del commissario Arcuri si legge che Immuni, l'app scelta per il contact tracing in Italia, proposta da Bending Spoons SpA, è stata scelta anche "per la conformità al modello europeo delineato dal Consorzio PEPP-PT e per le garanzie che offre per il rispetto della privacy". Ma quali sono le specifiche del "modello europeo" che viene citato? Quali "garanzie" offre realmente?
Da una prima analisi sorgono molti dubbi, sopratutto perché il "modello" non sembra il più idoneo proprio sotto l'aspetto della riservatezza.

Il sito del consorzio PEPP-PT (Pan-European Privacy - Preserving Proximity Tracing, nato fra la fine di marzo e i primi giorni di aprile) non offre molte indicazioni sulla sostanza del progetto, anche se il "manifesto" presenta aspetti interessanti. In un documento di inizio aprile si dice infatti che il progetto punta al rispetto del GDPR, che farà uso di cifratura anche dentro i telefonini, che sarà a codice aperto e internazionale. Si parla poi di due possibili soluzioni una centralizzata e una distribuita.

Quella distribuita è molto simile al progetto Apple-Google di cui ho parlato una settimana fa.
Una differenza importante è che, mentre il progetto Apple-Google utilizza dati cifrati e li memorizza nel dispositivo, il progetto PEPP-PT i dati cifrati li memorizza nel dispositivo cifrandoli una seconda volta. Nel progetto Apple-Google, se ottengo dal cloud le chiavi dei contatti "a rischio" e ho accesso al telefono, posso accedere ai dati stessi e sapere quando quel telefono è stato in contatto con l'infettato. Se i dati nel telefono sono ulteriormente cifrati, anche se li estraggo non li posso usare senza la chiave usata per cifrarli.

La versione centralizzata, invece, pare preveda la creazione di un sistema, gestito di fatto dal governo di ogni Stato, che rilascerà le chiavi ai vari dispositivi. Al contrario del sistema distribuito, che usa la creazione della chiave all'interno del dispositivo. La soluzione centralizzata permette al sistema di sapere quale dispositivo (e quindi l'identità del suo proprietario) è entrato in contatto con quello di un contagiato. Molti esperti stanno criticando sulla rete questo approccio. Per esempio, si veda questa ricerca di Nadim Kobeissi, secondo la quale, a meno di ferree regole di cifratura, sarebbe possibile risalire alle informazioni del dispositivo che le possiede e quindi la privacy non sarebbe garantita.

Da alcuni post scritti negli ultimi giorni, pare di capire che il consorzio PEPP-PT abbia abbandonato la versione distribuita a favore di quella centralizzata e che questa non sarà a codice aperto (qui le informazioni disponibili). Pare inoltre che a trainare lo sviluppo sia un'azienda tedesca, consulente del governo di Angela Merkel.
La cosa ha una sua logica. In effetti che senso avrebbe portare avanti un progetto parallelo a quello di Apple e Google? Non sarebbe più saggio puntare sulla versione centralizzata, ma nello stesso tempo tenere le porte aperte per integrare quella proposta dai due big?

Pare anche che il consorzio si stia muovendo sempre più sotto la spinta dei governi e quindi gli aspetti tecnici vadano coperti da motivazioni politiche. La situazione al momento sembra molto confusa e non sembra che ci sia voglia di chiarire le cose.

Entrambe le soluzioni, come sappiamo, usano il Bluetooth, con il quale vengono scambiate informazioni che potrebbero essere generate dal dispositivo stesso, oppure ricevute dal sito centrale. Queste informazioni dovrebbero rimanere nel dispositivo per 21 giorni, ma questo dipende da come sarà realizzata l'app di gestione dei dati.
Le informazioni scambiate via Bluetooth saranno gestite dalle API (punti d'accesso al programma che pilota le informazioni). Una app dovrà inviare comandi alle API che eseguiranno quanto richiesto, inviando alcune informazioni, memorizzandone altre, cancellando i contenuti più vecchi di un certo numero di giorni, ecc.

Da un lato il progetto Apple-Google sembra offrire una maggiore garanzia di riservatezza dei dati trattati, ma dipenderà molto dalle app che ne faranno uso. Se un'app utilizzerà dati di fatto anonimi, ma ci aggiungerà altri dati "pescati" nel telefonino, la riservatezza potrebbe essere compromessa. Senza contare che il progetto, fondato su una aggiunta ai sistemi operativi, potrebbe non essere limitato alla lotta alla pandemia, ma restare disponibile per ulteriori utilizzi futuri, a oggi ignoti.

Dall'altro lato la soluzione centralizzata proposta da PEPP-PT, essendo al momento chiusa, non permette di sapere "che cosa" realmente verrà fatto e soprattutto "come". Le informazioni al momento disponibili, lasciano spazio a numerosi dubbi sulla reale anonimizzazione dei dati. Il codice aperto (open source) è un'esigenza irrinunciabile.

L'analisi del codice potrebbe fugare molti dubbi espressi in questa sede.
Adesso, quando essere chiari è fondamentale, si procede in modo confuso, rischiando di ridurre sensibilmente l'efficacia dell'operazione, perché si alimentano i dubbi nelle persone che alla fine non si fideranno dell'app e non la installeranno.

Vedi anche Contact tracing via Bluetooth, attenzione alla sicurezza e Android e iOS, quali garanzie per l'anti-Covid-19?