COVID-19

App Immuni, tra sicurezza e privacy: i presupposti per una reale efficacia del tracciamento

Nell’attuale emergenza pandemica è utile domandarsi cosa dovrebbe fare il Governo per gestire con credibilità ed efficacia la fase 2 dell’emergenza Covid-19 con la mobile app Immuni. Ecco alcune best practice per le attività di monitoraggio e controllo del progetto

23 Apr 2020
T
Ioannis Tsiouras

Consulente, Assessor/Auditor e Formatore - Information Security e Privacy, Risk Management, Business Continuity e Sistemi di Gestione per la Qualità


L’adozione di un’app per contenere e contrastare l’emergenza epidemiologica in un determinato contesto altamente complesso, com’è quello italiano, è una sfida senza precedenti: questo perché il download dell’app Immuni che il Governo ha deciso di adottare, per dare risultati attendibili e considerare efficace lo strumento di tracciamento, deve essere installata su 60% degli smartphone della popolazione, e inoltre perché si tratta di un sistema complesso che vede coinvolte competenze interdisciplinari.

Per raggiungere questo risultato il Governo deve essere convincente e per esserlo deve garantire una certa trasparenza verso i cittadini, mettendo a disposizione la metodologia seguita dall’organizzazione che progetta e sviluppa l’applicazione, l’applicazione stessa e le caratteristiche dell’organizzazione che gestirà il servizio.

È evidente che il progresso e l’ottimizzazione dell’app non consiste nell’accumulo di certezze che si basano sull’oscurità, ma nella progressiva eliminazione degli errori che si scoprono attraverso il confronto e il contributo degli esperti.

Perciò tutto deve essere messo a disposizione dei cittadini, visto che sono essi stessi che devono essere tracciati e devono fornire i propri dati.

App Immuni: alcune domande al Governo italiano

Le domande da fare al Governo relativamente alla privacy sono quelle che la signora Elizabeth Denham (UK Information Commissioner) ha formulato e ha riportato nel blog dell’ICO e noi le proponiamo in modo personalizzato per il contesto in esame:

  • Hai dimostrato come la privacy è integrata nella tecnologia del responsabile del trattamento? I principi di protezione dei dati “by design e by default” (art. 25 del GDPR) sono fondamentali. La collaborazione di Google ed Apple, per utilizzare la tecnologia di tracciamento dei contatti nel loro lavoro congiunto, chiarisce bene come questi si stanno allineando a questi principi. Le organizzazioni che creano apps devono adottare un approccio simile. È ovvio che le organizzazioni devono muoversi rapidamente, ma lo sviluppo iniziale di una DPIA sulla privacy dovrebbe essere eseguita in quanto costituisce un requisito minimo. Il Governo italiano è in grado di dimostrare come la privacy è integrata nella tecnologia di Bending Spoons S.p.A. e che è stata eseguita la DPIA?
  • La raccolta e l’uso dei dati personali sono necessari e proporzionati? I dati personali che vengono raccolti devono essere solo quelli necessari (art. 25 del GDPR) e proporzionati alla specifica finalità del trattamento. L’utilizzo dell’innovazione digitale per affrontare le sfide poste da questa emergenza sanitaria pubblica, è accettata nel momento in cui il pubblico è informato sul fatto che il governo sta pensando di trovare le soluzioni meno invadenti per la privacy e che eventuali restrizioni alla libertà sono necessari per proteggere la salute pubblica. Il Governo italiano ha effettuato un’analisi sulla necessità e proporzionalità nella raccolta e utilizzo dei dati personali?
  • Quale controllo hanno gli utenti sui propri dati? Come possono gli interessati a esercitare i loro diritti? Il Titolare del trattamento dovrebbe fornire agli interessati informative chiare sull’utilizzo dei propri dati personali e indicazioni chiare per impedire i trattamenti non autorizzati e non desiderati. Se, per esempio, il tracciamento dei contatti venisse incorporato in un trattamento più ampio, queste informazioni aggiuntive dovrebbero essere chiare. Il Governo italiano metterà a disposizione informative chiare sui dispositivi personali mobile degli utenti?
  • Quanti dati devono essere raccolti e trattati centralmente? Il punto di partenza per il tracciamento dei contatti dovrebbe basarsi su un’architettura distribuita che mira a trattare i dati, in primis, ove possibile, sui dispositivi degli utenti. Devono essere pertanto applicate misure di sicurezza adeguate a tali trattamenti locali e per eventuali trasferimenti di dati verso il database centrale. Naturalmente stiamo parlando di Smart Object con tecnologia IoT. Il Governo italiano ha stabilito i dati che devono essere raccolti dai dispositivi mobile degli utenti e quali dati devono essere trasmessi e per quanto tempo devono essere conservati nel database centrale?
  • Esistono policies per garantire la riservatezza, l’integrità e la disponibilità dei dati durante l’esercizio? Durante l’esercizio, i processi di governance e di responsabilità relativa alla capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento sono stati definiti (art. 32 del GDPR)? Il Governo italiano ha stabilito le policies per garantire la riservatezza, l’integrità e la disponibilità dei dati durante l’esercizio?
  • Cosa succede quando il trattamento non è più necessario? Questo caso è particolarmente critico: quello che è appropriato e proporzionato in risposta a un’emergenza internazionale in materia di salute pubblica, appare piuttosto diverso al termine di tale emergenza. Quale considerazione è stata presa su come termina la raccolta dei dati e cosa succede ai dati raccolti? Naturalmente la risposta a tale domanda potrebbe non essere data durante la DPIA iniziale. Questo è il motivo per il quale la DPIA dovrebbe essere riesaminata e aggiornata anche in tempi successivi dopo la prima esecuzione. Il database centralizzato, sebbene i dati siano pseudonimizzati o cifrati, è una raccolta di lingotti d’oro, appetibile a diverse entità e diventa un bersaglio senza precedenti. Il Governo italiano ha predisposto una policy per il decommissioning del sistema Immuni e del database e le notifiche a ciascun destinatario (come il sistema sanitario nazionale) cui sono trasmessi i dati personali?

App Immuni: analisi del contesto

Nell’Ordinanza n. 10/2020 del Commissario Straordinario per l’Attuazione e il Coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid-19, firmata dal dott. Arcuri, si legge che “è stata selezionata la soluzione “Immuni”, proposta dalla società Bending Spoons S.p.A., ritenuta più idonea per la sua capacità di contribuire tempestivamente all’azione di contrasto del virus, per la conformità al modello europeo delineato dal consorzio PEPP-PT (Pan-European Privacy Preserving Proximity Tracing) e per le garanzie che offre per il rispetto della privacy”.

A tale proposito si ricorda che anche se il Governo ha stipulato il contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto per il servizio con la società Bending Spoons S.p.A., il Governo rimane l’unico titolare del trattamento dei dati personali dei cittadini, trattamento che avviene attraverso l’app e il sistema in questione.

L’analisi della situazione porta a dedurre che non si tratta solo dell’app Immuni da installare sul dispositivo mobile individuale, ma di un sistema complesso composto da diversi sottosistemi ICT e sistemi convenzionali, che formano una catena per erogare il servizio.

A titolo di esempio si possono citare alcuni sottosistemi che possono comporre il sistema Immuni: l’app Immuni, il Bluetooth LE, l’algoritmo per la creazione del codice riconducibile allo smartphone e la crittografia, l’algoritmo per l’elaborazione locale e, in funzione del modello, l’autorità sanitaria, il Wi-Fi o GPS per la connessione al server con il database di memorizzazione del codice fornito dall’autorità sanitaria, le reti pubbliche di trasmissione dei dati, il datacenter o cloud eccetera.

Sicurezza delle informazioni e privacy

Allo scopo di rendere quanto segue comprensibile vorrei chiarire alcuni concetti.

Occorre tenere presente che in alcuni articoli e in alcuni Considerando del GDPR viene richiamato, in modo non proprio evidente, un concetto che pochi hanno colto. Questo concetto è la “information security” trattato dalla norma ISO/IEC 27001[1]. La norma ISO/IEC 29100[2] invece utilizza il concetto di “Privacy”, mentre la norma ISO/IEC 27701[3] ha introdotto il concetto di “information security e privacy”. Quest’ultima è stata emessa per agevolare la situazione in quanto integra i requisiti del GDPR con i requisiti della ISO/IEC 27001 (supportata dalle linee guida ISO/IEC 27002[4] e ISO/IEC 27018[5]).

La “sicurezza delle informazioni” è quella attività volta a definire, conseguire e mantenere la riservatezza, l’integrità e la disponibilità delle informazioni e dei dati nell’ambito dei processi di trattamento.

D’altro canto, l’art. 32, par. 1 b) del GDPR specifica che il titolare del trattamento e il responsabile del trattamento mettono in atto, tra le altre misure, anche “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.

Risulta evidente, quindi, che entrambi i concetti hanno lo stesso obiettivo.

La “sicurezza delle informazioni” di un’organizzazione rappresenta la base per la protezione della “privacy”. Si può dire che la sicurezza delle informazioni è un’impostazione più estesa rispetto alla privacy, in quanto ingloba tutte le informazioni e i dati dell’organizzazione: dati di business e dati personali delle persone fisiche.

Pertanto, si sottolinea che la parola “privacy” non è citata dal GDPR, ma solo dalla norma ISO/IEC 29100. Il suo significato corrente è relativo al diritto della persona fisica di pretendere che le informazioni che la riguardano vengano trattate da altri solo in caso di necessità. In questo contesto il GDPR ha come oggetto “la protezione delle persone fisiche con riguardo al trattamento dei dati personali”.

La “sicurezza delle informazioni e privacy” rappresenta la base per creare un rapporto di fiducia verso tutti gli stakeholder (clienti, fornitori, dipendenti, persone interessate che forniscono i propri dati personali ecc.). Una “sicurezza delle informazioni” solida è la base della protezione della “privacy”. La privacy richiede una sicurezza effettiva, ma quest’ultima da sola non garantisce una privacy effettiva.

Quale modello per l’app Immuni?

Nell’Ordinanza n. 10/2020 si legge che “è stata selezionata la soluzione “Immuni”, proposta dalla società Bending Spoons S.p.A., ritenuta più idonea per la sua capacità di contribuire tempestivamente all’azione di contrasto del virus, per la conformità al modello europeo delineato dal consorzio PEPP-PT e per le garanzie che offre per il rispetto della privacy.

Diverse organizzazioni hanno intrapreso l’iniziativa per sviluppare sistemi di tracciamento dei contatti con architetture che vanno da quella centralizzata a quella decentralizzata o mista. Alcuni progetti sono in fase di sviluppo, altri sono già implementate. L’architettura con le maggiori possibilità di essere effettivamente efficace potrebbe essere quella con una spina dorsale tecnologica comune che consente di comunicare con efficacia e che apre un’ampia partecipazione tra i dispositivi mobili più popolari attualmente in uso.

Su questo versante si muove la collaborazione di Google ed Apple, per utilizzare la tecnologia di tracciamento dei contatti nel lavoro congiunto, utilizzando anche il nome non più “contact tracing”, ma si chiama “notifica di esposizione” per evitare ambiguità di interpretazioni relative alla privacy.

Ad oggi non si conosce con certezza la strada che il nostro governo intraprenderà per garantire la privacy e la sicurezza nelle soluzioni informatiche.

Considerando che gli attori coinvolti (politici e tecnologici) nelle decisioni sono diversi, si è deciso di non descrivere nessuna architettura e tecnologia al riguardo.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Non possiamo dimenticare però la linea guida del Comitato dei Garanti Europei (European Data Protection Bpoard, EDPB) “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak del 21 aprile 2020 che cerca di fare chiarezza sui requisiti che un’app di contact tracing deve rispettare, sottolineando che l’introduzione di uno strumento di questo tipo dovrà far parte di un approccio sistemico applicato alla contrazione del virus e facente parte di una strategia di sanità pubblica nella quale devono essere presenti altri strumenti, come i test diagnostici e la tracciabilità manuale dei contatti per eliminare i casi dubbi (come ha dichiarato Jason Bay, responsabile del progetto del governo TraceTogether di Singapore).

Le linee guida di EDPB chiariscono le condizioni e i principi per l’uso proporzionato dei dati di localizzazione e degli strumenti di tracciamento dei contatti, per due scopi specifici:

  • utilizzare i dati di localizzazione per supportare la risposta alla pandemia modellando la diffusione del virus in modo da valutare l’efficacia complessiva delle misure di confinamento;
  • tracciamento dei contatti, che ha lo scopo di informare gli individui del fatto che si sono trovati nelle immediate vicinanze di qualcuno che alla fine si è confermato portatore del virus, al fine di rompere le catene di contaminazione il prima possibile.

Tutto questo rispettando i requisiti del GDPR e della “Privacy Directive” e, l’uso delle applicazioni di tracciamento dei contatti, dovrebbe essere su base volontaria e non deve basarsi sui movimenti dei singoli, ma piuttosto sulle informazioni di prossimità riguardanti gli utenti.

Una cosa è certa che, nel momento in cui il Governo decide il modello dell’app, egli dovrà informare i cittadini e renderla open source, allo scopo di dare la possibilità ai cittadini esperti e alla stampa di analizzare e vagliare in che misura la privacy e la sicurezza delle informazioni sono assicurate. Questo sembra che sia la condizione necessaria per convincere almeno il 60% dei cittadini a installare l’App sui propri devices (si precisa che circa il 70%-75% dei cittadini sono in possesso di uno smartphone).

Le linee guida di EDPB (art. 24) sottolineano l’aspetto che “Il monitoraggio sistematico e su larga scala della localizzazione e/o dei contatti tra persone fisiche è una grave intrusione nella loro privacy. Questo può essere legittimato solo basandosi su una adozione volontaria da parte degli utenti per ciascuna delle rispettive finalità. Ciò implicherebbe, in particolare, che le persone che decidono di non utilizzare o non possono utilizzare tali applicazioni non dovrebbero subire alcuno svantaggio“.

L’app Immuni, perciò, non può che rispettare tutti i requisiti della linea guida EDPB.

Il modello del sistema Immuni adottato dal Governo

Nell’Ordinanza n. 10/2020 si legge che “è stata selezionata la soluzione “Immuni”, proposta dalla società Bending Spoons S.p.A., ritenuta più idonea per la sua capacità di contribuire tempestivamente all’azione di contrasto del virus, per la conformità al modello europeo delineato dal consorzio PEPP-PT e per le garanzie che offre per il rispetto della privacy”.

Si sta scoprendo invece che non è proprio così. Il modello suggerito da PEPP-PET sembra essere un modello che utilizza l’architettura distribuita, nel senso che non esiste un database centralizzato e che probabilmente è poco efficace per la tracciabilità e la gestione di un individuo potenzialmente positivo al coronavirus da parte delle strutture sanitarie.

Risulta, pertanto, che finora il Consorzio PEPP-PET non abbia messo a disposizione le specifiche del suo modello. Questa mancanza non ispira fiducia e ha portato a qualche operatore esperto del settore (come per es. l’epidemiologo svizzero Marcel Salathé) a dissociarsi dalle iniziative di PEPP-PET.

Dalle informazioni che girano su web si apprende che Immuni non segue il modello PEPP-PET, cioè non è un sistema che si basa su un database centralizzato.

Sembrerebbe (il condizionale è d’obbligo) che il nostro Governo sia orientato a utilizzare l’architettura mista: sistema distribuito con l’installazione dell’app sui dispositivi mobile individuali con la capacità di comunicare tra loro con la tecnologia Bluetooth, la tecnologia GPS e internet e l’applicazione web server con il database centralizzato ubicato in un datacenter o in cloud per raccogliere i dati necessari e per gestire gli utenti potenzialmente positivi.

Visto che il modello del sistema che sta per adottare il Governo non è proprio quello di PEPP-PET, allora la dichiarazione dell’Ordinanza n. 10/2020 non è più valida, in quanto i riferimenti e i requisiti variano completamente.

Non si parla, quindi, di un sistema decentralizzato, ma di un sistema misto con un’infrastruttura che coinvolge il terminale portatile smart dell’utente con la tecnologia Bluetooth, il sistema GPS, la tecnologia internet su reti pubbliche, il Web server e il database centralizzato.

A questo proposito si ricorda che non si tratta di soddisfare i requisiti relativi alla privacy del GDPR, ma anche i requisiti di information security e di cyber security. Se l’Ordinanza non sarà corretta il Governo rischia di ricevere un sistema che non soddisfa né l’Ordinanza stessa e nemmeno le regole del modello PEPP-PT.

Ci si aspetta, quindi, un aggiornamento dell’Ordinanza n. 10/2020, ma anche la predisposizione delle specifiche tecniche che costituiscono il riferimento per il sistema Immuni a fronte delle quali avverrà la validazione e l’accettazione del sistema stesso da parte del Committente.

App Immuni: alcune preoccupazioni

Le preoccupazioni e i problemi che possono nascere sono diverse e di vario genere.

La lettera “Tracciamento dei contatti e democrazia: lettera aperta ai decisori”, preparata, pubblicata sul sito di Nexa Center for Internet & Society e che vede l’adesione di diversi cittadini, esprime preoccupazioni diffuse. Siamo convinti che tutto dovrebbe essere fatto dando priorità alla tutela dei diritti fondamentali dei cittadini, prendendo da subito provvedimenti per evitare che possano insinuarsi interessi con finalità diverse.

Le preoccupazioni aumentano qualora il Governo optasse per una soluzione completamente centralizzata (che al momento sembra essere scongiurata) o con architettura mista con la quale le vulnerabilità e le minacce aumentano, con app sul dispositivo mobile non proprio smart.

Si può citare a titolo d’esempio il fatto che con il Bluetooth è possibile tracciare un contatto e incrociare i dati a prescindere da dove questo sia intercettato. Se l’algoritmo non è proprio intelligente un dato grezzo rilevato viene trattato come tutti gli altri; quindi, per questo tipo di algoritmo logico, un passante incrociato per strada o un vicino di casa che sta al di là del muro che divide i due appartamenti, come anche un collega di lavoro con cui si condivide l’ufficio non fanno differenza.

Non possiamo dimenticare che la tecnologia GPS e internet potrebbero tracciare non solo il contatto, ma anche la sua localizzazione a scapito della privacy. Inoltre, le vulnerabilità della tecnologia GPS e la sicurezza dei servizi applicativi su reti pubbliche sono debolezze critiche che devono essere rimosse fin dalla progettazione del sistema.

È recente la notizia della falla nell’app adottata dal Governo olandese per tracciare i contagi. Stando a quanto scrive il quotidiano DeStandard, circa 100-200 nomi e credenziali di utenti sono stati rese pubblici. Questo potrebbe succedere quando gli sviluppatori non seguono policies per lo sviluppo sicuro del codice. Un errore banale, ma proprio banale, è quando mancano le regole da seguire per sviluppare il codice in modo sicuro. Spesso si inseriscono, non si sa per quale motivo, credenziali in chiaro nel codice. Comunque questo dimostra che per sviluppare un codice sicuro occorre seguire le policies restrittive.

È da non sottovalutare, inoltre, la minaccia del social engineering usata da truffatori e da malintenzionati al fine di spingere gli utenti a scaricare versioni fasulle delle app ufficiali di tracciamento che contengono funzioni nascoste di raccolta di dati, o anche funzioni che falsificano l’identità con la conseguenza di prendere il controllo remoto del dispositivo mobile individuale (smartphone) di chi le scarica e le installa.

Il problema che potrebbe creare veramente molti danni ai cittadini con conseguenze sulla vita e sulla morte degli stessi è quello relativo alle indicazioni non affidabili, cioè risultati di falsi positivi e negativi.

Per far fronte a questo problema è necessario valutare l’affidabilità del sistema e quantificare l’errore standard considerato accettabile.

Pianificazione e controllo del progetto

Alla luce di quanto detto finora, ci chiediamo cosa dovrebbe fare il Governo per la buona riuscita del progetto.

Per garantire la trasparenza e conquistare la fiducia dei cittadini allo scopo di convincerli a installare l’applicazione sul proprio smartphone e ottenere il consenso[6], è necessario che il Governo metta a disposizione degli stessi le specifiche tecniche dell’app (specifiche dei requisiti funzionali, requisiti prestazionali, requisiti di qualità (come affidabilità, portabilità, usabilità, efficienza), infine requisiti per la privacy e information security), che costituiscono il riferimento a fronte delle quali occorre effettuare la validazione e l’accettazione del sistema Immuni.

La pianificazione e il controllo da parte del Governo non dovrebbe limitarsi a un semplice monitoraggio dello stato di avanzamento delle attività, ma dovrebbe esercitare una gestione rigorosa se veramente sta cercando di evitare sorprese e insuccessi.

Come in tutte le organizzazioni di successo anche il Governo, prima di affidarsi totalmente ai fornitori, avrebbe dovuto preparare un Business Plan del sistema Immuni. Da quello che si legge nell’Ordinanza n. 10/2020, visto che fa riferimento in modo astratto al modello PEPP-PT e richiama in modo altrettanto astratto la privacy, si evince che tale documento non esiste.

A questo punto, è auspicabile che la società Bending Spoons S.p.A. proceda con la preparazione di uno studio di fattibilità del sistema Immuni e delle specifiche dei requisiti funzionali e non funzionali del sistema stesso.

Come è stato detto il sistema non è composto solo dal software dell’app, ma anche da una serie di sistemi hardware e software. Perciò il progetto vede coinvolti anche altre risorse, come fornitori di hardware, installatori, fornitori di erogazione di servizi hosting o cloud.

Vista la complessità del sistema e della rapidità con la quale occorre operare per gestire l’emergenza, è auspicabile l’assegnazione di un Project Manager con responsabilità e autorità stabilite per la conduzione e gestione del progetto nella sua integrità e con l’obiettivo di completare il progetto nei tempi e nei budget previsti per la qualità desiderata, economicamente efficace e per la soddisfazione degli stakeholder.

Attività di monitoraggio e di controllo

Non volendo entrare più in dettaglio nelle attività di competenza del fornitore ci limiteremo quindi alle attività di controllo che il Governo dovrebbe esercitare allo scopo di aumentare la consapevolezza dei cittadini e convincerli a installare e utilizzare l’applicazione.

A questo proposito il Governo dovrebbe eseguire le seguenti attività di controllo:

  • audit di valutazione della metodologia di progettazione e sviluppo. L’audit ha lo scopo di valutare se la metodologia del processo di progettazione e sviluppo della società Bending Spoons S.p.A. segue le norme e le guide internazionali di ingegneria dei sistemi ICT (per esempio ITIL, metodologia AGILE supportata da tools tecnologici avanzati). L’audit, inoltre, dovrebbe valutare le policies per la sicurezza delle informazioni e privacy con riferimento alla ISO/IEC 27002 e ISO/IEC 27018 (a titolo di esempio si citano le policies per il dimensionamento della capability dei sistemi, per il controllo degli accessi, per lo sviluppo sicuro del software e dei sistemi, per il change management, per la gestione degli errori e anomalie, per la separazione degli ambienti di sviluppo-test-produzione, per i livelli di test prestazionali e di sicurezza, per il trasferimento dei dati, per i controlli crittografici, per il delivery del sistema, per la gestione della configurazione (versioning), per il data breach ecc.);
  • audit di conformità al GDPR. L’audit ha lo scopo di valutare in che misura sono stati soddisfatti i requisiti del GDPR. In particolare, la soddisfazione dell’art. 35-Valutazione d’impatto sulla protezione dei dati (DPIA e valutazione dei rischi che incombono sugli interessati/cittadini) seguendo approcci per il risk assessment adeguati alla sicurezza delle informazioni e privacy di sistemi complessi che devono trattare “dati particolari” e dati di soggetti vulnerabili, su “larga scala” e con l’uso di tecnologie innovative. In tal caso il risk assessment dovrebbe essere eseguito secondo metodologie consolidate come quella della line guida ISO 31000[7] che, per l’information security, è personalizzata nella linea guida ISO/IEC 27005[8]). Questa metodologia va oltre gli approcci delle linee guida ENISA (queste ultime possono andare bene alle organizzazioni e per sistemi di bassa complessità). Inoltre, questo audit dovrebbe valutare il livello di conformità dell’app Immuni all’art. 32-Sicurezza dei dati del trattamento. Il piano di trattamento dei rischi dovrebbe adottare misure che vanno oltre i semplici esempi dell’art. 32 (la pseudonimizzazione e la cifratura) e deve basarsi sui controlli della norma ISO/IEC 27002 e ISO/IEC 27018.
  • test di accettazione del sistema. Il Governo, prima di installare il sistema in produzione ed effettuare il deployment dell’applicazione ai cittadini, dovrebbe eseguire il test di accettazione su un campione pilota e conosciuto. Lo scopo del test di accettazione è quello di valutare la conformità del sistema ai requisiti delle specifiche funzionali, prestazionali e di sicurezza, di caratterizzare l’affidabilità del sistema e quantificare l’intervallo di confidenza (dimensione dell’errore standard considerato accettabile) relativo ai rischi di falsi positivi e negativi (problema che può comportare anche conseguenze sulla vita e sulla morte stessa degli utenti).
  • Vulnerability Assessment. Un inventario degli asset del sistema completo e aggiornato è un prerequisito per un’efficace gestione delle vulnerabilità tecniche. Sarebbe pertanto necessario eseguire valutazioni per identificare le potenziali vulnerabilità tecniche. Possono essere utilizzati strumenti automatici per l’analisi del codice dell’applicazione Immuni (Code Review), test di sicurezza alla valutazione dell’efficacia delle misure di sicurezza, test di valutazione delle vulnerabilità dell’intero sistema con strumenti automatici (automated vulnernability scanning tool), penetration test, test per la sicurezza dei servizi applicativi su reti pubbliche, per la protezione delle transazioni dei servizi applicativi eccetera.

Conclusioni

Il Commissario Straordinario per l’emergenza coronavirus, dott. Arcuri, nelle varie conferenze stampa, ha dichiarato che l’app Immuni garantirà il rispetto della privacy, il rispetto dei requisiti di sicurezza e l’installazione sarà su base volontaria.

Si spera che dietro le sue parole ci sia un lavoro serio e responsabile, sia da parte del Governo sia da parte del fornitore Bending Spoons S.p.A, per garantire il deployment di queste caratteristiche verso i processi operativi e verso tutte le entità coinvolte.

È giusto che vengano adottate tecnologie innovative. I cittadini, però, come per qualsiasi nuova tecnologia, devono avere fiducia nel fatto che venga utilizzata in modo equo e proporzionato. Il GDPR non ostacola un uso innovativo dei dati personali in un’emergenza di sanità pubblica, utilizzando applicazioni di tracciamento dei contatti, purché vengano applicati i principi di trasparenza, equità e proporzionalità.

Il sistema di tracciamento dei contatti e il monitoraggio della posizione potrebbero aiutare a combattere la pandemia. Tutti portiamo dentro di noi la speranza che tale tecnologia possa aiutare a combattere questo male e a capire meglio come la società stia rispondendo alle misure di isolamento e per avvisare le persone che potrebbero essere state in contatto con il virus.

Il presente lavoro, dunque, vuole fornire suggerimenti utili al Governo, allo scopo di operare in modo sistemico e con responsabilità per gestire al meglio il progetto Immuni e per evitare inefficienze che potrebbero andare alla fine a discapito dei cittadini.

RIFERIMENTI

Ioannis Tsiouras, GDPR-Privacy Risk Management, Edizioni Youcanprint.

NOTE

  1. ISO/IEC 27001 Information technology — Security techniques — Information security management systems — Requirements.
  2. ISO/IEC 29100: 2018 Information technology – Security techniques – Privacy framework.
  3. ISO/IEC 27701:2019 – Security techniques Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information Management – Requirements and guidelines.
  4. ISO/IEC 27002:2013, Information technology – Security techniques – Code of practice for information security controls.
  5. ISO/IEC 27018:2019, Information technology – Security techniques –Code of practices for protection of personally identifiable information (PII) in public clouds acting as PII processors.
  6. Si ricorda che il limite dichiarato da parte degli esponenti istituzionali (?) per avere risultati attendibili e considerare efficace lo strumento di tracciamento è necessario che ci sia una diffusione del 60% dell’applicazione
  7. ISO 31000: 2018 Risk Management – Guidelines
  8. ISO/IEC 27005: 2018 Information technology – Security techniques – Information security risk management.
FORUM PA 6- 11 luglio
Innovazione e trasformazione digitale per la resilienza. Scopri il nuovo FORUM PA digitale
CIO
Dematerializzazione

@RIPRODUZIONE RISERVATA

Articolo 1 di 5