L'approfondimento

App IO, stop alle falle privacy: ora il Garante valuta il via libera al Green pass

PagoPA ha recepito le richieste del Garante privacy e approntato misure tecniche di data protection all’App IO, soggetta nei giorni scorsi al blocco in via provvisoria di alcuni trattamenti di dati che interagivano con Google e Mixpanel

17 Giu 2021
Nicoletta Pisanu

Redattrice Cybersecurity360

Stop alle falle privacy dell’App Io: PagoPA ha introdotto misure tecniche di data protection cogliendo le richieste dal Garante privacy. Ora l’autorità valuterà con il Ministero della Salute la possibilità di usare l’applicazione anche per il Green Pass. Il Garante nei giorni scorsi aveva chiesto a PagoPA di bloccare in via provvisoria alcuni trattamenti di dati che interagivano con Google e Mixpanel tramite tracker, rinviando la decisione di utilizzare il passaporto vaccinale sull’app a un secondo momento: la priorità era sistemare questo aspetto.

Si trattava infatti di trasferimenti di dati all’estero che secondo il Garante, come spiegato dallo stesso Guido Scorza, son stati ritenuti non indispensabili per il funzionamento dell’app e quindi eliminabili senza comprometterne l’uso. Eppure la situazione ha suscitato un vivace dibattito. Un sintomo dello stato dell’arte della diffusione della cultura della data protection nel nostro Paese: “Non stupisce che il Garante abbia evidenziato le criticità – sottolinea l’avvocato Diego Dimalta -. Stupisce, invece, che alcuni politici si siano lamentati di questo. Insomma, come se in un ristorante non rispettassero le norme di igiene e la colpa di una eventuale sanzione venisse data all’ufficio igiene e non al ristoratore. Questa è la percezione della privacy in Italia, come se la colpa fosse del Garante, non di PagoPA che non ha fatto le cose per bene”.

App IO e data protection, le misure introdotte da PagoPA

Nello specifico, PagoPA si è impegnata a:

  • minimizzare i dati degli utenti trasmessi a Mixpanel;
  • modificare il set di dati per evitare che “non sia più trasferito alla società statunitense il codice fiscale dell’utente e altre informazioni non necessarie relative al bonus vacanze e al cashback”, spiega il Garante privacy in una nota ufficiale;
  • informare gli interessati e chiedere il consenso preventivo dell’utente al trasferimento dei dati;
  • disattivare certe funzioni che consentivano di risalire alla localizzazione dell’utente attraverso il suo IP;
  • disattivare i servizi di Google non necessari e adottare misure perché il contenuto degli avvisi ai cittadini non venga più conosciuto da Google.

App IO, il problema non è la privacy ma il modo in cui vengono trattati (male) i nostri dati

Inoltre, dal 9 luglio “gli utenti potranno scegliere quali servizi attivare sull’app IO tra gli oltre dodicimila disponibili e finora attivati tutti di default. Anche l’inoltro alla propria mail di tutti messaggi ricevuti sull’app dovrà essere richiesto dai cittadini”, conferma il Garante nella sua comunicazione. Le misure saranno implementate con una nuova versione dell’app IO, che presto sarà rilasciata.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

L’analisi tecnica dell’aggiornamento dell’app IO

“Con l’aggiornamento dell’app IO alla versione 1.27.0.0 sono stati finalmente risolte le criticità che il Garante alla Protezione dei dati Personali aveva sollevato con il provvedimento di novembre prima (n. 232) e con quello del 9 giugno scorso ma, lungi dal voler alimentare la polemica, occorre però puntualizzare due aspetti”, dice al nostro giornale Federico Fuga, ingegnere elettronico e coordinatore della commissione ICT dell’Ordine degli Ingegneri della provincia di Verona: “in primo luogo, l’adeguamento della app alle richieste del garante non può essere stato fatto nell’ottica di una positiva collaborazione, in quanto il GPDP è un ente regolatorio e sanzionatorio cui è data piena facoltà di legge di bloccare qualunque attività di trattamento di dati personali non effettuati in ottemperanza alle prescrizioni del regolamento europeo. Pertanto l’impressione è che lo scontro tra politica e garante sia tutt’altro che concluso”.

“In secondo luogo”, continua l’ingegner Fuga, “tecnicamente l’affermazione che il trattamento del codice fiscale dei cittadini fosse avvenuto un modalità “sicura” perché si utilizzava un hashing è da considerarsi fuori contesto. Il garante infatti rilevava non tanto il fatto che il dato fosse trattato in chiaro, ma che esso fosse utilizzato ripetutamente , pur “criptato”, legato ai dati del tracker, in questo modo permettendo una banale correlazione tra le varie sessioni dell’utente anche tra dispositivi e installazioni differenti”.

“Verificata invece sul campo il funzionamento della nuova versione”, aggiunge ancora Fuga, “si può rilevare che, effettivamente, solo dopo il primo avvio dell’app e il rifiuto del consenso alla “condivisione dei dati di utilizzo”, il tracker Mixpanel sembra non esser più attivo, mentre sembra che Instabug continui quanto meno a “chiamare a casa” almeno all’avvio dell’app”.

Tutto risolto, dunque? “Sì, riguardo gli aspetti decisamente più critici, ma rimane ancora moltissimo lavoro da fare, per esempio, disabilitare di default tutti i servizi cui il cittadino non sia interessato, aspetto richiesto dal garante nel suo provvedimento ma ancora non completato”, sottolinea l’ingegner Fuga, che conclude sottolineando che “bene ha fatto PagoPA a sanare le vulnerabilità più gravi della propria applicazione; peccato però che essa sia stata fatta in modo soltanto parziale, ma che soprattutto la collaborazione con il garante sia soltanto di facciata, facendo trasparire che ancora una volta il rispetto del regolamento europeo sia un ostacolo e non, come perfettamente espresso da Matteo Navacci su Agenda Digitale ieri, un mezzo per consentire la libera circolazione dei dati nel rispetto di regole per la tutela dei diritti delle persone”.

L’impatto: la decisione del Garante privacy

Il Garante privacy ha apprezzato le modifiche, riservandosi di vigilare “sull’adozione delle misure” e di valutare “l’adeguatezza delle garanzie assicurate da PagoPA per i trasferimenti di dati in Paesi extra Ue”. Il Garante ha spiegato inoltre di aver ritenuto “che siano venute meno le ragioni del blocco dei trattamenti effettuati dall’app che prevedono l’interazione con Google e Mixpanel. La decisione è stata presa all’esito delle interlocuzioni avute con PagoPA e degli sforzi intrapresi dalla società per porre rimedio tempestivamente ai rilievi formulati dal Garante nel suo recente provvedimento e ottemperare alle prescrizioni date”.

Attualmente, però, il blocco del trattamento rimarrà per i dati raccolti e archiviati da Mixpanel “che non potranno più essere usati, ma esclusivamente conservati fino al termine dell’istruttoria dell’Autorità”.

L’analisi: la percezione della privacy in Italia

La vicenda attorno all’app IO e alle falle privacy è interessante perché permette di riflettere sulla cultura della data protection in Italia: “Questa vicenda, ormai risolta, è a mio parere indice dell’umore italiano nei confronti della data protection. Insomma, abbiamo un diritto fondamentale come la privacy – data protection ed abbiamo un’autorità, il Garante Privacy, creata per far sì che tutti rispettino questo diritto. Poi abbiamo degli organi della Pubblica Amministrazione che si appoggiano ad una app creata in modo non confrome a principi quali la privacy by design, by default nonché al principio di minimizzazione”, precisa Dimalta.

E aggiunge: “Chi ha seguito la vicenda saprà del resto che il motivo per cui il Garante ha redarguito PagoPa è che l’app IO, utilizzava servizi di Google e Mixpanel i quali, e questo è il punto, in realtà prevedono la possibilità di configurare il servizio in modo da ridurre al minimo l’invio di dati. Questa possibilità però non è stata sfruttata dagli sviluppatori della app IO, di fatto abilitando circa 12.000 servizi su cui l’utente non aveva alcun potere”.

Il Garante Privacy ha agito secondo legge: “La riprova che non è un burocrate insensibile, spinto solo dalla voglia di dire no, è data dal fatto che, appena PagoPA ha sistemato le criticità evidenziate, l’Autorità ha dato il suo benestare. Ancora una volta, non stupisce il comportamento del Garante, assolutamente lineare, ma stupisce tutto quanto sta attorno”.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr