FASE 2 CORONAVIRUS

Immuni, l’app di stato tra bug e falle ancora aperte: quali rischi per i diritti di tutti

Installare un’app commerciale o un’app di Stato come Immuni, soprattutto se quest’ultima prevede obblighi per i cittadini, non è esattamente la stessa cosa: un errore nel codice o peggio un attacco hacker potrebbero far credere che stiamo infrangendo la Legge, con conseguenze molto gravi. Ecco perché è necessario mettere in evidenza le criticità che potrebbero compromettere l’app di Stato incidendo potenzialmente sui nostri diritti

Pubblicato il 04 Mag 2020

Andrea Millozzi

Blogger & Maker, HiTech Lover

Immuni app di stato bug e criticità

Quando è uscita la notizia che sarebbe stata realizzata una “app di Stato” per il tracciamento del coronavirus (come sappiamo, la scelta è poi ricaduta su Immuni), fin da subito, al centro dell’attenzione mediatica è emerso il dibattito su un eventuale rischio di perdita della privacy.

Trattandosi di dati personali strettamente legati alle condizioni di salute, l’incertezza sul modello di sicurezza da adottare, PEPP-PT (centralizzato) oppure quello di DP-3T (decentralizzato), ha causato un’immediata alzata di scudi da parte degli addetti ai lavori, come hanno ben rappresentato nei loro interventi gli avvocati Fulvio Sarzana e Enrico Pelino, Andrea Lisi e molti altri, tutti giustamente preoccupati per la messa in pericolo dei diritti civili dei cittadini.

Ma più che della privacy, quello di cui davvero dovremmo preoccuparci è il fatto che, vista la drammaticità della situazione, potrebbe accadere che questa “app di Stato” venga resa, come gridato e voluto da più parti, obbligatoria.

Ovviamente con l’obbligatorietà è molto probabile che lo Stato decida di realizzare una legge ad hoc e a questo punto, se gli obblighi legati all’uso dell’app non venissero rispettati, potrebbero scattare per i cittadini sanzioni e reati punibili, anche con il Codice penale.

Purtroppo, però, quello che molti ignorano o non immaginano nemmeno, perché giustamente non esperti del settore tecnico, è che esistono numerosi bug e falle digitali che affliggono applicativi software, processi informatici, protocolli di comunicazione e, quel che è peggio, a volte non esistono neanche toppe in grado di ripararle. E pure quando si trova una soluzione, per una falla chiusa, se ne aprono cento nuove.

Non è un caso, quindi, che anno dopo anno le statistiche raccontano un aumento esponenziale degli attacchi causati dal cybercrime, ai danni dei nostri device, che sono le vittime preferite dagli hacker senza scrupoli: smartphone, tablet, PC, cadono come birilli, uno ad uno, sotto i colpi di malintenzionati che, a differenza nostra, conoscono molto bene i punti deboli e sanno come fare per sfruttarli a loro vantaggio.

La gravità di alcune falle è tale da compromettere l’integrità di qualsiasi app, anche quelle più blasonate come WhatsApp: cosa succederebbe quindi se una volta installata la fantomatica “app di Stato”, questa venisse attaccata e compromessa da qualche malintenzionato che, in questo modo, agirebbe a nostro nome? Rischierebbe di farci arrestare? Di farci pagare multe salate? Potrebbe commettere reati imputabili a noi?

Mettiamo quindi che l’app di contact tracing sia stata definitivamente realizzata e messa a disposizione negli store di Apple e Android, e che da buoni e rispettosi cittadini l’abbiamo tutti scaricata e installata nei nostri smartphone; quali saranno a questo punto i rischi concreti a cui potremmo andare incontro?

Prima di procedere, è utile precisare che l’interesse di chi scrive è unicamente quello di contribuire con informazioni tecniche che possano far emergere potenziali criticità, in modo che chi di dovere possa prendere le dovute precauzioni e realizzare così uno strumento digitale sicuro e chi legge possa accrescere la propria consapevolezza sui rischi insiti nell’installare e adoperare una “app di Stato”.

App di stato: i rischi concreti per i cittadini

Quando è uscita la notizia della realizzazione di quest’app, c’è stato anche chi ha gioito, considerandola l’uovo di colombo, il perfetto connubio tra la tecnologia e il motivo migliore per applicarla, salvando vite umane. La privacy? Nessun problema, tanto ci si fa già tracciare, geolocalizzare, targettizzare dalle varie app e social, solo per ottenere in cambio un servizio, tra l’altro spesso futile, del tutto gratuito.

Di per sé il discorso sembra avere senso, ma c’è un aspetto importante che sfugge ai più: quando usiamo certi servizi delle Big Tech, lo facciamo stipulando, con delle aziende private, dei veri e propri contratti che sottoscriviamo accettando “Termini e condizioni d’uso“.

Questi contratti in un certo senso, ci proteggono, perché se le aziende, agendo illegalmente, installano backdoor, registrano o memorizzano dati riservati, rivendono i nostri dati a terzi eccetera se, in definitiva, non rispettano gli accordi e si comportano contro i nostri diritti, possono essere denunciate ed essere chiamate a pagarne le conseguenze davanti ad un giudice.

Al contrario, se abbiamo a che fare con una “app di Stato”, la situazione è radicalmente diversa e molto seria.

Nel caso dell’app Immuni, ad esempio, essendoci di mezzo la salute di un’intera Nazione (e quella mondiale), in un ipotetico domani, neanche troppo lontano, lo Stato potrebbe prevedere degli obblighi di uso per i cittadini, e per questo l’app sarebbe soggetta a leggi e regolamenti molto più stringenti che, aspetto fondamentale, non riguardano il Codice del Consumo, ma quello Civile e/o Penale, che ci coinvolge e responsabilizza personalmente, a cui quindi dovremmo rispondere in prima persona.

Potenzialmente, ragionando sempre per ipotesi, una leggerezza o un errore nella scrittura del codice di un’app realizzata da (o per lo) Stato potrebbero farci finire in galera, scontare le colpe di qualcun altro, farci pagare multe da migliaia di euro, rendere pubblici dati privati e sensibili (come quelli sanitari) oppure, nel caso di Immuni, potrebbe bloccarci in quarantena, anche se non siamo né malati, né contagiosi.

Alberto Gambino, Presidente Italian Academy of the Internet Code, parlando di una eventuale obbligatorietà, ha affermato: “In termini giuridici l’obbligo non significa che sia “coercibile”, nel senso che l’autorità pubblica ne imponga coattivamente l’utilizzo, ma significa che se per la mancata osservanza dell’utilizzo dell’App si è provocata la morte di altri concittadini, la responsabilità individuale ne uscirà aggravata”.

E se “la mancata osservanza dell’utilizzo dell’app”, dovesse dipendere da un bug che causa un malfunzionamento? Come sarebbe possibile dimostrarlo?

Come se non bastasse, molti non si rendono minimamente conto dell’importanza di tenere aggiornati i propri dispositivi, e spesso non si preoccupano di farlo: ma anche volendo, sono davvero tanti i prodotti che vengono completamente abbandonati dalle aziende che già dopo qualche anno smettono di fornire il supporto e l’assistenza necessari. Il risultato è che ci sono in giro tantissimi smartphone con sistemi operativi obsoleti e quindi potenzialmente pieni di falle pericolose, che espongono i consumatori a rischi di ogni genere.

Sotto i colpi degli hacker cedono anche i colossi hi-tech, è del tutto legittimo pensare che potrebbe accadere anche ad una eventuale “app di Stato” di essere presa di mira da malintenzionati i quali, accedendovi e approfittando delle falle presenti, sarebbero in grado di rubare la nostra identità digitale, commettendo reati e facendoli apparire come fossero opera delle nostre azioni.

Anche in questo caso, se l’inosservanza delle disposizioni dovesse essere causa di un attacco informatico, come sarebbe possibile dimostrarlo?

Purtroppo è una eventualità per niente remota: proprio in questi giorni si è diffusa la notizia di una grave vulnerabilità riscontrata in iPhone e in iPad, prodotti Apple che notoriamente sono considerati più sicuri di quelli Android, evidentemente non a ragione, visto che: “l’exploiting della vulnerabilità 0-day – che quindi non ha soluzione – potrebbe consentire ad un attaccante remoto che conosce l’indirizzo e-mail configurato dalla vittima nel suo iPhone, di inviare un messaggio malevolo in grado di eseguire codice arbitrario sul dispositivo. In questo modo, l’aggressore è in grado di installare nel dispositivo target malware con funzionalità di cyber spionaggio, a completa insaputa della vittima e senza richiedere alcuna interazione da parte sua”.

Nessuna app è al sicuro

In generale, anche al di fuori dell’informatica, i “cattivi” sono sempre molto più motivati dei “buoni” nel portare a termine propositi truffaldini. Quindi, nel caso peggiore (più avanti vedremo che non è così raro come si pensi), a causa di hacker senza scrupoli in grado di sfruttare le eventuali falle presenti, qualsiasi app, se non correttamente implementata, potrebbe trasformarsi potenzialmente in uno strumento di tracciamento in grado di rivelare le nostre abitudini, di targettizzare e individuare le nostre amicizie, i luoghi che visitiamo, di ascoltarci e vederci mentre siamo in atteggiamenti intimi con qualcuno che non è il nostro coniuge, oppure potrebbe essere in grado di inoculare, modificare e/o eliminare foto, video, documenti sullo smartphone dell’ignaro malcapitato che non solo non saprà mai cosa è avvenuto, ma non potrà mai dimostrare ad un giudice, che ne so, che, ad esempio, quelle foto pedopornografiche presenti nello smartphone, non sono le sue.

Anche se appare difficile per molti credere ad una evenienza simile, basterà ricordare che, stando alle notizie passate, qualcosa del genere è capitato ad una delle app più scaricate al mondo: stiamo parlando di WhatsApp, l’app di Facebook, che ha dalla sua più di 5.000.000.000 di download.

Ad ottobre scorso è stata resa nota la vulnerabilità CVE-2019-11932 che non risiede nel codice sorgente di WhatsApp ma in una libreria Open Source (e su questo argomento ci torneremo più tardi) utilizzata dalla Galleria dell’App. In sostanza, come riportato in questo dettagliato articolo sul tema “Vulnerabilità in WhatsApp (già corretta) e in altre 30.000 app Android, con una GIF rubano dati dal telefonino: i dettagli“:il difetto di sicurezza causa una corruzione della memoria dello smartphone consentendo ai criminal hacker di ottenere l’accesso al dispositivo con privilegi utente elevati. Risultato? Il payload malevolo ha tutti i permessi di accesso in lettura e scrittura alla memoria dello smartphone (sia quella interna sia quella esterna su SD card) e al database dei messaggi. Ed ha anche tutte le autorizzazioni già concesse a WhatsApp dall’utente, inclusa la registrazione audio, l’accesso alla telecamera, l’accesso al file system, alla sandbox stessa dell’app e così via”. In poche parole, la vulnerabilità garantisce il pieno possesso del dispositivo ad un eventuale malintenzionato.

Quello che lascia stupiti è che “per riuscire nel proprio intento, l’attaccante non deve far altro che inviare un’immagine in formato GIF sul dispositivo Android della vittima, utilizzando qualsiasi canale di comunicazione (quindi non necessariamente la chat di WhatsApp) e attendere che l’utente semplicemente apra la Galleria dell’app di messaggistica per condividere un qualsiasi contenuto con un amico”. Praticamente un gioco da ragazzi.

Per fortuna la falla è stata poi definitivamente chiusa con un successivo aggiornamento, ma il messaggio che dovrebbe arrivare è che se basta il file di una immagine GIF ad abbattere il software di un gigante hi-tech da miliardi di dollari, è molto probabile che anche una App di uso pubblico potrebbe rivelarsi “debole” ed essere corrotta con estrema facilità, con la notevole differenza che l’impatto sulla sfera personale, rispetto ad una commerciale, sarebbe molto più invasivo e potenzialmente pericoloso per i diritti democratici, visto che agisce sulla libertà delle persone.

Non è un caso che nei paesi in cui governati da regimi dittatoriali, questo tipo di strumenti non solo è ben visto, ma è reso obbligatorio (come succede attualmente in Cina) e i cittadini che non si allineano sono pesantemente perseguiti.

Nel frattempo, in Occidente, in particolare in Olanda, hanno deciso di combattere la pandemia, usando dei braccialetti elettronici, per ora in modo volontario, dispositivi, che inviano ai server di Stato, in tempo reale, lo stato di salute delle persone.

Magari un domani, in un futuro che pare imminente, potremmo essere tutti obbligati ad indossarne uno.

L’appello degli scienziati e il caso FOIA

Che i dubbi sull’opportunità che lo Stato utilizzi tale strumento siano fondati, lo dimostra anche l’appello condiviso da più di 300 scienziati tra accademici e ricercatori, che chiedono di stare attenti perché prendere una scelta poco oculata oggi potrebbe portare “un domani ad usare queste informazioni nel modo sbagliato”.

Ovviamente quando ci sono di mezzo i diritti civili, e quando questi vengono messi in discussione, ad equilibrare l’ago della bilancia intervengono Leggi e regolamenti appositi, come nel caso del FOIA o Freedom of Information Act che è uno strumento fondamentale per la libertà di informazione e il controllo sull’operato delle pubbliche amministrazioni e autorità.

Introdotto nell’ordinamento italiano dall’Art. 6 del D.lgs. 25 maggio 2016, n. 97, che ha sostituito l’art. 5 del “Decreto trasparenza” n. 33 del 2013, il FOIA è un “accesso civico generalizzato“. Che cosa significa? Significa che ad ogni cittadino è garantito il diritto di accedere ai dati e documenti detenuti dalle pubbliche amministrazioni motivo per cui è considerato un fondamentale strumento di controllo e vigilanza.

Peccato che con il Decreto-legge “Cura Italia” del 17 marzo 2020, è stato previsto quanto segue: le amministrazioni pubbliche sospenderanno le risposte a richieste di accesso documentale (legge 241/1990), civico e civico generalizzato (D.lgs. 33/2013) che non hanno carattere di “indifferibilità e urgenza” fino al 31 maggio 2020 (art. 67.3).

In sostanza si è deciso di sospendere (seppur temporaneamente) il FOIA e sacrificare così la “trasparenza” sull’altare dell’emergenza, andando a minare ancora una volta la fiducia dei cittadini ai quali, contemporaneamente a questa decisione, viene chiesto di installare una “App di Stato” di cui ancora non si conosce in concreto il funzionamento: non molto rassicurante.

Se a tutto questo aggiungiamo anche che gli italiani stanno ancora aspettando da giugno 2019, di proroga in proroga, l’elezione dei membri delle due Authority più importanti, quella cioè del Garante Privacy e dell’AGCOM, che nel frattempo agiscono “limitatamente agli atti di ordinaria amministrazione, nonché indifferibili o urgenti”, il quadro dello sbilanciamento a tutto sfavore dei cittadini è evidente.

Bug: ecco quali sono i punti deboli, anche per un’app di Stato

Stando a quanto ha dichiarato il Ministero dell’Innovazione in un lungo post, l’applicazione “non dovrà accedere alla rubrica dei contatti del proprio telefono, non chiederà nemmeno il numero e non manderà SMS per notificare chi è a rischio”.

Inoltre, continua, sarà “necessaria l’integrazione delle indicazioni e dei protocolli sanitari stabiliti dal Ministero della Salute e dalle autorità sanitarie”. L’applicazione, viene ribadito, “si baserà sull’installazione volontaria da parte degli utenti” e “il suo funzionamento potrà cessare non appena terminerà la fase di emergenza”.

Ed è prevista, specifica il ministero, la “cancellazione di tutti i dati generati” durante l’utilizzo. L’app, conclude il ministero, “non conserverà i dati relativi alla geolocalizzazione degli utenti, ma registrerà esclusivamente i contatti pseudonimizzati di prossimità rilevati mediante la tecnologia Bluetooth Low Energy” e per concludere il codice sorgente del sistema di contact tracing “sarà rilasciato con licenza Open Source MPL 2.0” e “quindi come software libero e aperto”.

Quindi tutto ok? Forse non proprio.

È fin troppo evidente che le informazioni gestite dall’app Immuni fanno gola all’industria farmaceutica, a chi si occupa di sanità privata, alle compagnie assicurative e a mille altri soggetti che basano il proprio business sulla conoscenza delle condizioni di salute di un soggetto. L’interesse sull’argomento è alto, ed è facile aspettarsi attacchi informatici continui, tanto più che le statistiche in questo senso indicano un aumento esponenziale, anno dopo anno.

Gli esperti parlano addirittura di “punto di non ritorno“, come riferito nell’introduzione del Rapporto Clusit 2020:

“Nell’anno appena passato si è consolidata una discontinuità, si è oltrepassato un punto di non ritorno, tale per cui ormai ci troviamo a vivere ed operare in una dimensione differente, in una nuova epoca, in un “altro mondo”, del quale ancora non conosciamo bene la geografia, gli abitanti, le regole e le minacce. Gli attaccanti non sono più “hackers”, e nemmeno gruppetti effimeri (più o meno pericolosi) di “artigiani” del cybercrime: sono decine e decine di gruppi criminali organizzati transnazionali che fatturano miliardi, multinazionali fuori controllo dotate di mezzi illimitati, stati nazionali con i relativi apparati militari e di intelligence, i loro fornitori e contractors, gruppi state-sponsored civili e/o paramilitari ed unità di mercenari impegnati in una lotta senza esclusione di colpi, che hanno come campo di battaglia, arma e bersaglio le infrastrutture, le reti, i server, i client, i device mobili, gli oggetti IoT, le piattaforme social e di instant messaging (e la mente dei loro utenti), su scala globale, 365 giorni all’anno, 24 ore al giorno. Una situazione di inaudita gravità, che mette in discussione ed a repentaglio tutti i presupposti sui quali si basa il buon funzionamento dell’Internet commerciale e di tutti i servizi (online e offline) che su di essa fanno affidamento”.

Purtroppo, sull’app Immuni non sono molte le informazioni disponibili: sarebbe utile sapere se siano stati considerati alcuni aspetti, tra cui alcuni prettamente tecnici, che potrebbero minare in qualsiasi momento l’integrità dell’app, permettendo ad eventuali malintenzionati non solo di rubare o compromettere i dati, ma anche di prendere pieno possesso del dispositivo di chi ha diligentemente installato il software sul proprio device.

In questo articolo, a cui vi rimando per approfondire, “Privacy online, così mettiamo a rischio i nostri dati senza rendercene conto“, ho messo in evidenza alcune gravi vulnerabilità difficilmente superabili, di cui ne riporto qui, alcune, quelle davvero emblematiche.

  • SIMJacker: si tratta di una grave falla di sicurezza presente nei dispositivi che adoperano per il loro funzionamento delle SIM card, per cui non solo telefoni, ma anche prodotti IoT. Come avviene l’attacco? Semplicemente attraverso un SMS creato ad hoc, inviato da un malintenzionato alla sua vittima la quale, non accorgendosi di nulla (l’SMS non appare!), si ritrova con un telefono spia in tasca. Il guaio è che non si tratta di un malware ma di un problema che affligge i due sistemi presenti in quasi tutte le schede SIM: il SIM Application Toolkit e il S@t browser, progettati per rispondere in automatico ai comandi inviati dagli operatori. “Di fatto, tutti i produttori e i modelli di telefoni cellulari sono vulnerabili all’attacco SimJacker in quanto la vulnerabilità sfrutta una tecnologia legacy integrata nelle schede SIM le cui specifiche non sono state più aggiornate dal 2009, mettendo potenzialmente a rischio oltre un miliardo di persone”. Potete approfondire la questione grazie a questo dettagliato articolo di Paolo Tarsitano: “SimJacker, la vulnerabilità delle SIM card che consente di “bucare” tutti i telefoni con un SMS, sfruttata anche in Italia“.
  • WIBattack: come se non bastasse, è già stata scoperta una variante della temibile SIMJacker, denominata appunto WIBattack. Anche in questo caso, trattandosi di una vulnerabilità nella SIM, l’attacco avviene attraverso un SMS di testo, invisibile all’utente, che consente all’attaccante di prendere possesso del telefono.
  • Sniffing BLE Long-Lived: si tratta di una vulnerabilità che si basa sulle trasmissioni Bluetooth. Tale vulnerabilità è presente nel protocollo BT, in particolare l’implementazione di BLE (Bluetooth Low Energy), proprio quella scelta per far funzionare l’App Immuni con tanto di indicazione del Garante Europeo. L’attacco permette di spiare la vittima aggirando la protezione impiegata dai device. In questo modo è possibile effettuare il tracking di una persona, raccogliendo dettagli in riferimento alla sua localizzazione e altre informazioni potenzialmente sensibili.
  • Knob: anche questa vulnerabilità affligge il protocollo Bluetooth e risulta particolarmente grave visto che risiede in un difetto nello standard. Un malintenzionato può usare l’attacco Knob per decifrare le informazioni scambiate dai due dispositivi e accedere ai nostri dati, o ascoltare le nostre conversazioni. Purtroppo, non c’è modo di intervenire a livello degli applicativi, l’unica soluzione è aggiornare i driver o il sistema operativo, cosa che, specialmente per i dispositivi più vecchi, non sempre è possibile. Sempre relativamente al Bluetooth Low Energy, va ricordata la nota ben evidenziata in rosso nella pagina delle specifiche ufficiali: “quando due device sono accoppiati per suo tramite i dati scambiati sono accessibili a tutte le altre App, quindi l’App dovrà avere intorno una debita barriera per impedire un hackeraggio dall’interno del terminale”.
  • ToRPEDO & PIERCER: un gruppo di ricercatori della Purdue University e dell’University of Iowa ha svelato che i protocolli di rete 4G e 5G soffrono di una serie di vulnerabilità che consentirebbero agli hacker l’accesso alle telefonate degli utenti e il tracciamento della loro posizione, aggirando i protocolli di sicurezza delle reti. Secondo gli stessi ricercatori è molto probabile che queste vulnerabilità siano troppo onerose da correggere (sia tecnicamente che economicamente), per cui l’unica soluzione si teme sia quella di attendere una radicale modifica del protocollo per una reale risoluzione del problema.
  • Border Gateway Protocol: Il BGP permette agli ISP (Internet service provider) di scegliere automaticamente il percorso migliore per un determinato flusso di dati. Il problema è che sono state riscontrate delle vulnerabilità in questo standard, cosa che potrebbe permettere un hijacking o, addirittura, un Denial of Service in grande scala, o, ancora più grave, il dirottamento dei dati tra app e server. Il consiglio è quello di testare il proprio ISP e, nel caso risulti afflitto dal bug in questione, sollecitarlo a prendere provvedimenti.
A quanto pare, quindi, i problemi di cyber security non riguardano solo il codice realizzato per implementare le app, ma abbracciano diversi aspetti che sono al di fuori della gestione di qualsiasi azienda software e tanto meno dei cittadini: ecco perché, prima di considerare del tutto sicura un’app, appare necessario occuparsi di queste (e molte altre) vulnerabilità, tanto più se sarà necessario installare ed adoperare, una “app di Stato” che non solo tratta dati sensibili, come quelli sulla salute, ma coinvolge anche i nostri diritti.

App di stato e open source: la panacea di tutti i mali?

Pare certo che l’app Immuni si baserà quindi su codice open source, opzione che porta con sé pregi e difetti: da una parte, avere una platea mondiale di volontari dediti a smanettare sul codice permette di ottimizzare e realizzare migliorie in tempi brevi, ma dall’altra comporta anche il prestare il fianco a possibili hacker che sarebbero in grado di sfruttare le eventuali falle presenti, se non nel codice dell’app, in quello magari delle librerie esterne di cui fa uso.

Di questo avviso è anche Marco Ramilli, PhD Founder & CEO di Yoroi, che su Twitter segnala, appunto, di stare attenti.

Infatti, visto che non è possibile ogni volta reinventare la ruota, è lecito pensare che nel software (anche nell’app Immuni?) vengano usate delle librerie di codice di terze parti: il problema è che usare librerie open source provenienti da altre fonti può essere pericoloso; è successo ad esempio in passato nel caso della famosa libreria crittografica OpenSSL in cui sono state riscontrate diverse vulnerabilità, di cui alcune di “alta gravità“. Proprio pochi giorni fa è stata sanata una ulteriore falla in questa utile, e per questo molto usata, libreria.

A tal riguardo vale la pena ricordare la notizia dell’App di Tracing olandese Covid-19 Alert!, simile a Immuni, che proprio recentemente ha subito una clamorosa perdita di dati personali: il data breach è stato scoperto grazie al fatto che il codice era disponibile alla verifica pubblica; questo dimostra comunque quanto il “codice aperto” sia importante, specialmente per un apparato che può influenzare profondamente la salute pubblica e il controllo sociale. Ma qual è la situazione delle falle di sicurezza nel software Open Source disponibile oggi? Synopsys ha realizzato in proposito una infografica del suo report “2019 Open Source Security and Risk Analysis (OSSRA)“.

Conclusioni

Come abbiamo visto, purtroppo sono molte le incognite ancora aperte per realizzare un’app che dovrebbe coadiuvare la ripresa del Paese, ma di cui purtroppo non si conoscono importanti dettagli, come ad esempio:

  1. L’app Immuni sarà interoperabile e utilizzabile anche all’estero? Chi viene da fuori Italia, potrà adoperarla?
  2. Come esposto chiaramente in questo articolo a nome dell’avvocato Antonino Polimeni (esperto di Internet), nonostante le informazioni presenti nell’App siano anonimizzate (o pseudonimizzate), sembrerebbe che nel trasferimento dei dati tra App e server, in realtà ci sia un dato che potrebbe far risalire a nomi e cognomi degli utilizzatori: l’indirizzo IP (infetti c’è chi afferma con decisione che no, in realtà i dati non sono anonimi). E’ previsto un modo per scongiurare questa eventualità o c’è una volontà precisa per poter in qualche modo risalire alle persone contagiate?
  3. Di recente ci sarebbe stato un accordo Google – Apple per realizzare un protocollo comune relativo al Bluetooth in grado di facilitare il contact tracing: c’è chi dice che in questo modo le aziende hi-tech già in grado di monitorare i cittadini attraverso altri sistemi come le celle di telefonia, il GPS, il WiFi, ecc., agendo a livello di Sistema Operativo proprio su un aspetto così importante come il contact tracing, avranno la possibilità di ottenere maggiori e dettagliate informazioni su di noi, ma con la differenza che sarà molto più difficile scoprire eventuali abusi di queste tecnologie: è una preoccupazione infondata?
  4. Se, come sembra ormai accertato, in Europa si adotterà la soluzione tecnologica prevista dal duo Google – Apple, il risultato sarà una inevitabile spaccatura con l’ecosistema digitale Cinese, in cui l’epidemia ha avuto origine e dove notoriamente, tutti i servizi di Big G non sono accessibili. In questa situazione, non si rischia in futuro, usando sistemi digitali diversi, di compromettere gli sforzi fatti dai vari Paesi per limitare la diffusione del virus?

App Immuni: alla luce dei fatti, ci si chiede se questo strumento servirà davvero, se si riuscirà a farlo adoperare alla maggioranza delle persone (o almeno al minimo indispensabile per essere considerata utile), e se sarà o meno, visti i bug presenti e ancora irrisolti, un pericolo per la privacy: staremo a vedere, ma ricordiamoci che in gioco, ci sono i diritti fondamentali dei cittadini, come giustamente fa notare Fabio Chiusi di valigiablu.it.

Resta emblematico il fatto che per l’app si sia adottato il codice open source, ritenendo quindi che il concetto di “aperto e osservabile da tutti”, sia più “sicuro” e “trasparente”, ma non ci si spiega allora il perché non sia stata utilizzata la stessa strategia in ambito politico… per saperne qualcosa in più su Immuni, oltre all’audizione presso la Commissione Affari costituzionali del Ministro Paola Pisano, c’è stato bisogno di scomodare il Comitato Parlamentare per la sicurezza della Repubblica.

Per non parlare dell’imbarazzante messaggio che appare aprendo il sito del Governo in qualsiasi browser:

Vien da sé che un decreto intitolato “Misure urgenti su giustizia e tutela dei dati personali” è poco credibile quando viene mostrato su un sito istituzionale che appare agli occhi di qualsiasi browser come: “Sito non sicuro”.

In sostanza questo succede perché non è stato implementato il protocollo SSL (Secure Sockets Layer), per cui, tutti i dati che passano tra visitatore della pagina e server (e viceversa), sono in chiaro e leggibili da un eventuale “man in the middle“, cioè, un eventuale impiccione che si mettesse lì a sbirciare le comunicazioni, che, oltre ad ascoltarle, teoricamente, non troverebbe grandi difficoltà anche a modificarle. Per chiarirci, nel caso ad esempio, ci fosse una procedura di login, tutte le credenziali passerebbero in chiaro… insomma, non è un biglietto da visita molto rassicurante per qualsiasi venditore di software, figuriamoci per qualcuno che vuole offrire una App che, potenzialmente, potrebbe agire sulla nostra privacy e sui nostri diritti.

Oggi c’è già chi minimizza sulla privacy perché “la salute è più importante di qualche informazione privata e poi tanto, chi non ha nulla da nascondere, non ha nulla di cui preoccuparsi” e per questo chiede a gran voce che venga imposta l’obbligatorietà.

Chissà se chi la pensa in questo modo cambierebbe idea ascoltando la voce di Edward Snowden: “non puoi pensare che non ti interessi la privacy perché non hai nulla da nascondere, sarebbe come dire che non ti interessa la libertà di stampa perché non ti piace leggere o che non ti importa della libertà di culto perché non credi in Dio. La privacy è l’espressione individuale di un diritto collettivo. Ma quando costruiscono un sistema che cataloga, immagazzina, sfrutta gli scambi tra esseri umani, per usarli contro di noi, devi stare in guardia e chiederti: e ora cosa ci succederà?”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati