immuni

app Immuni Governo

Immuni: l’ultima beffa

Condividi: Immuni è operativa sul territorio nazionale, ma i dubbi rimangono, anzi aumentano. Ad esempio, perché l'app non è stata firmata digitalmente dal governo italiano? Immuni, l’app per il contact tracing del Governo Italiano, è attiva da oggi, 15 giugno, su tutto il territorio nazionale.L’annuncio è stato dato dal Presidente del Consiglio, Giuseppe Conte, in occasione della presentazione del DCPM dell’11 giugno, che inaugura la Fase 3. Purtroppo, i dubbi che avevamo già espresso in passato, Dossier Immuni del 22 aprile e Dossier Immuni/2: Decreto, Dubbi E Google Sull’app del 4 maggio, sono confermati e, anzi, se ne aggiungono altri.IndiceSperimentazione Secretata?Digital and Social DivideImmuni e RistorantiIl Governo non “firma” l’app Immuni. Addio privacy?ConclusioneSperimentazione Secretata?Immuni era scaricabile già da una settimana in tutta Italia, benché fosse attiva la sola sperimentazione nelle regioni di Abruzzo, Liguria, Marche e Puglia. La Ministra dell’Innovazione, Paola Pisano, intervenendo ad inizio sperimentazione ad UnoMattina su Rai1, dichiarava che l’app era stata «accolta bene dai cittadini, che ne hanno apprezzato la semplicità e l’utilizzo, e l’utilità» (ma non i pregiudizi sociali) ed informava che erano stati effettuati più di due milioni di download.Improvvisamente, siamo entrati nella “fase di produzione”, nella piena attività dell’app senza che il Governo abbia comunicato quali risultati siano stati raggiunti dalla sperimentazione.Quanti hanno scaricato l’app? In quanti la usano quotidianamente? Ci sono stati malfunzionamenti? Falsi positivi? Dalle dichiarazioni della ministra Pisano (7 giugno) fino alle dichiarazioni del Commissario all’Emergenza, Domenico Arcui, a Sky TG24 (12 giugno) si parla solo di circa due milioni di download (Arcuri di 2,2 milioni).Il 12 giugno, il governatore della Liguria, Giovanni Toti, ha dichiarato lo sblocco dei primi 3 codici dell’app Immuni a seguito di 3 soggetti positivi. Qual è stato l’esito? In quanti hanno dichiarato di fare il test a seguito dell’alert ricevuto dall’app? Se non lo hanno verificato, che sperimentazione hanno fatto? Ad esempio, sarebbe stato sufficiente far giungere una segnalazione all’ASL dal medico di base «richiesti x test a seguito di alert Immuni».La trasparenza non sembra una qualità di questo progetto.Digital and Social DivideIl periodo di quarantena ha acceso un faro su una verità nota agli addetti ai lavori ma non al grande pubblico: il digital divide.Abbiamo imparato che questo termine indica la disparità di accesso al digitale. Mancanza o limitazione della rete di connessione (la mitica banda–qualcosa), ma anche mancanza o inadeguatezza dei dispositivi digitali, mancanza o insufficiente abilità o competenza dell’uso dei dispositivi digitali.Se fosse presente una connessione, ma non fossero soddisfatti anche gli altri due requisiti, non sarebbe possibile usufruire dei servizi emergenziali ed il digital divide si trasformerebbe in social divide. L’app Immuni ha dei requisiti che restringono l’installazione sui soli dispositivi di ultima generazione.In tempo di coronavirus, con il crollo del PIL, disoccupati ed inattivi alle stelle, attività commerciali che non apriranno più, sussidi che tardano ad arrivare e famiglie in difficoltà, non c’è spazio per l’acquisto di costosi smartphone.In una famiglia media, quanti dispositivi bisognerebbe acquistare? Gli anziani, soggetti più a rischio, hanno abilità e competenza per gestire uno smartphone? Siamo sicuri che questo limite anagrafico non si abbassi a causa della povertà o del livello di istruzione?Tecnici e Governo si affrettano ad accusare Apple e Google di applicare regole marketing restrittive  ai loro Store e dispositivi tali da compromettere l’utilizzo di Immuni. Questi vincoli, però, sono di pubblico dominio ed accessibili a tutti gli sviluppatori IOS ed Android. Inoltre, Google Analytics, ShinyStat, StatCounter e tanti altri, mettono a disposizione di chiunque abbia un’app, un blog, un forum o un sito web, strumenti di analisi tra i quali le tipologie di dispositivi di accesso, persino il loro sistema operativo.Governo, Ministro ed Esperti coinvolti, da quale esperienza professionale provengono per non conoscere queste informazioni, per non verificare i requisiti hardware e software dell’app, ma “scoprirli” solo in fase di rilascio? L’alternativa è fra dilettantismo e l’ipocrisia (cosa nascondono?).Intanto milioni di persone non saranno protette, proprio quelle più deboli e bisognose di assistenza!Immuni e RistorantiImmuni è su base volontaria, cioè non c’è obbligo di utilizzo.La Fase 2, che prevedeva la riapertura dei ristoranti, stabiliva l’obbligo di registrazione e la conservazioni dei dati dei clienti che prenotavano. Il DCPM del 10 giugno, conserva questo obbligo (vedi Scheda Tecnica RISTORAZIONE, quinto punto).Fra le molte domande possibili, riporto solo le più immediate:Se immuni è anonimo, perché il tracciamento nei ristoranti è nominativo?Se Immuni è decentralizzato, perché nei ristoranti c’è la centralizzazione dei dati?Chi conserva i dati? Come ne garantisce l’integrità e la sicurezza? Chi e come cancellerà i dati?In caso di positività, qual è il processo di segnalazione ed allarme previsto? Chi informa i clienti potenzialmente contagiati? Che fine ha fatto la privacy?Perché schedare i soli clienti prenotati e non gli avventori?Ma più di tutti: perché questa norma se c’è già il tracciamento di Immuni?Il Governo non “firma” l’app Immuni. Addio privacy?Il Laboratorio Nazionale di Cybersecurity del Consorzio Interuniversitario nazionale per l’informatica (CINI), ha pubblicato, il 10 giugno, il white paper «Considerazioni su Privacy e Security delle App di Proximity Tracing».Le 17 pagine del documento sono un’analisi approfondita sul tracing, sulle sue implementazioni e sulla realizzazione dell’app Immuni.Le analisi ed i dubbi che abbiamo espresso in passato, trovano conferma dal CINI. Ad esempio, la pseudo anonimizzazione, i differenti metodi in Europa che invaliderebbe la nostra privacy (il governo glissa su questo problema, nascondendosi in un non meglio specificato bug di sistema di Apple e Google che impedisce l’uso di Immuni all’estero. Sentite anche voi le unghie sul vetro?), l’accesso e la conservazione dei dati.Tralasciando le ipotesi di hackeraggio, tutte le criticità espresse in passato vengono confermate e se ne scoprono di nuove, ad esempio l’affidabilità incerta  dei dati metrici del bluetooth.Il sospetto più grave sollevato dal documenti riguarda la privacy. Infatti, Immuni si basa su un funzioni dei sistemi operativi di Google ed Apple, proprietari e quindi non pubblici. Si chiede il CINI: come possiamo avere la certezza che la privacy di Immuni non sia vanificata da qualche routine di sistema?In aggiunta, al paragrafo 4.2, si riporta la preoccupazione degli stessi sviluppatori di Immuni per l‘impossibilità di verificare se il codice open source dell’app sia effettivamente quello distribuito negli Store Google ed Apple o se abbia subito modifiche.Un timore espresso dai tecnici del governo!Non solo. Cito testualmente a pag. 10: «Questo problema non è di secondaria importanza. A tal proposito è opportuno osservare che, contrariamente alla prassi, la app di Immuni distribuita su Google Play, non è firmata digitalmente dallo sviluppatore, ma da Google stessa. Sorge quindi il dubbio che neppure le autorità italiane siano in grado di verificare la corrispondenza tra il codice distribuito pubblicamente e la versione distribuita su Google Play e installata sui nostri smartphone».La firma digitale è un sistema per cui viene garantito che il contenuto distribuito sia corrispondente a quello inviato. In pratica, il governo non può garantire che Immuni sia esattamente quello che loro hanno sviluppato!Cosa stiamo scaricando? Davvero dobbiamo dare fiducia a dei colossi, arricchiti commerciando le informazioni sugli utenti, quando dicono che non raccoglieranno i nostri dati?ConclusioneImmuni continua ad essere un’app poco trasparente, doveva salvaguardare il benessere comune ed è, invece, uno strumento per una sola parte della società, mentre quella più a rischio rimane esclusa dal servizio che doveva proteggerla.Il Governo ha effettuato una sperimentazione di cui non conosciamo gli esiti, ma di sicuro non ha “firmato” l’app, cioè non garantisce che Immuni funzioni come ha sempre dichiarato che dovrebbe funzionare.Invece di perdere tempo sulle presunte immagini sessiste, date in pasto ad un pubblico distratto e distraibile, bisognerebbe concentrarsi sulle reali criticità e porre queste domande scomode ai nostri rappresentanti politici. Condividi:

Covid Contact Tracing App

Dossier Immuni/2: decreto, dubbi e Google sull’app

Condividi: L'incertezza sui dati raccolti, sull'anonimato e sull'uso. Forse era meglio Google? La prima parte del Dossier Immuni è stata pubblicata il 22 aprile 2020. Alcuni dubbi lì espressi sono ancora validi ma non sono stati ripetuti. Si consiglia la lettura.Il decreto legge n. 28 del 30 aprile 2020 doveva fugare i dubbi nati sulle prime anticipazione di stampa dell’app Immuni. Al contrario, le domande sono aumentate. Non c’è la chiarezza richiesta e si rimane nell’incertezza, si oscilla fra la sensazione di inadeguatezza degli amministratori e il dubbio di fini secondari non dichiarati. La chiarezza degli intenti avrebbe pulito il cielo dalle nuvole che si sono addensate.Indice degli argomenti Definizione dei termini Informativa Raccolta dei dati Conservazione dei dati Durata della conservazione Elaborazione dei dati Riuso del software Conclusione e Proposta1.   Definizione dei terminiPrima di leggere il dl chiariamo dei concetti fondamentali: pseudonimizzazione, minimizzazione ed anonimizzazione.L’articolo 4 nr 1 del GDPR definisce l’identificabilità delle persone come la possibilità, diretta o indiretta, di risalire dai dati online ad una identità fisica. Lo scorporo dei dati dagli elementi di riconducibilità all’identità fisica, benché reversibile, è il processo caratteristico della pseudonimizzazione (art. 4 nr 5 del GDPR). I dati scorporati devono essere conservati in un luogo e su una infrastruttura differente attuando procedure tali da non permettere la re-identificazione.La minimizzazione dei dati (artt. 4 e 5 del GDPR) avviene quando i dati sono «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati».Quindi, il trattamento dei dati prevede la minimizzazione dei dati e, laddove non ci sia anonimizzazione, cioè la disgiunzione fisica dei dati identificati on line, questi siano conservati a parte (pseudonimizzazione).Passiamo quindi a leggere il decreto legge nr. 28 del 30 aprile 2020.2.   InformativaIl dl dichiara che gli utenti «riceveranno chiare e trasparenti informazioni al fine di raggiungere una piena consapevolezza». Proprio in questa ottica sono evidenziati alcuni punti critici su cui vorremmo maggiore delucidazioni. Ci auguriamo di non essere annoverati nel numero dei contrari o, peggio, dei sabotatori dell’app. Se avrete la pazienza di leggere fino alla fine, sarà chiara la nostra posizione e la proposta di una gestione migliore.3.   Raccolta dei datiL’articolo 6, comma 2, punto b si riferisce alla natura dei dati e la loro raccolta. Si dice che, secondo l’art. 25 del Regolamento EU 2016/79, i dati personali sono «esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19». Teoricamente, sono necessari solo l’ID del contatto stretto e un flag “Positivo SI/NO”. Il problema di anonimizzare i dati diventa semplice e la privacy è facilmente garantita.La continuazione del punto b porta alla formulazione dei primi dubbi: «nonché ad agevolare l’eventuale azione di misure di assistenza sanitaria in favore degli stessi soggetti». Quali sono i dati aggiuntivi che permettono questa adozione? Quali sono le “misure di assistenza sanitaria” da agevolare? Chi non utilizzasse l’app, riceverebbe la stessa assistenza?Il punto c dichiara che i dati saranno «resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati». Come abbiamo visto la pseudonimizzazione è un procedimento (reversibile) con cui vengono separati i dati dai loro riferimenti all’identità fisica, che devono essere ugualmente protetti e conservati in luoghi distinti. I dati pseudonimizzati sono ancora soggetti a privacy. Il seguente punto d chiede garanzie per il rispetto di queste norme.Tutta Europa userà delle app interconnesse con infrastrutture di diversa tipologia. Cosa succederà ad un cittadino italiano in trasferta di lavoro in Francia o nel Regno Unito, dove sarà in uso un sistema centralizzato, cioè con dati su server centrali anziché sul cellulare?4.   Conservazione dei datiIl comma 5 dell’art. 6, afferma la titolarità pubblica della piattaforma e garantisce che le infrastrutture sono localizzate nel solo territorio nazionale. Nella sua audizione del 30 aprile 2020, la Ministra Paola Pisano ha reso noto il coinvolgimento di Sogei e PagoPa per la funzione di conservazione dei dati e sviluppo applicativo.Se torniamo indietro al comma 2 punto e, possiamo leggere: «i dati relativi ai contatti stretti siano conservati anche su dispositivi mobili degli utenti», affermazione confermata dalla Ministra nell’audizione (con tanto di sottolineatura della congiunzione “anche”). Anche rimanda ad una differente e contemporanea memorizzazione: i dati sono conservati da qualche parte ed anche sul dispositivo digitale. Dove?Dobbiamo parlare di infrastruttura.Come affermato a voce dalla Ministra Pisano nell’audizione, il sistema italiano ha adottato il modello PEPP-PT e scelta l’opzione di conservazione dei dati decentralizzata. La stessa Ministra Pisano, in audizione, ha ricordato di aver adottato il modello Apple / Google. I due colossi hanno adottato un approccio di totale garanzia della privacy, memorizzando tutti i dati sul cellulare. Il netto rifiuto di cambiare questo approccio per aprirsi al sistema centralizzato, ne ha determinato l’esclusione dal consorzio PEPP-PT. All’interno di questo consorzio, l’approccio di totale sicurezza era promosso dal DP-3T che, con l’uscita di Apple / Google, è scomparso clamorosamente dal sito PEPP-PT come partnership (Wired ne ha ricostruito una storia che non ho ancora verificato). Di sicuro DP-3T non è  più un riferimento del PEPP-PT e, ricordando che questo è il riferimento italiano, ci domandiamo cosa rimane dei criteri di sicurezza e privacy .In conclusione, il dl ed il Governo da un lato affermano l’adozione della soluzione decentralizzata, dall’altro lo negano de facto dichiarando:La pseudonimizzazione: dove sono conservati i dati identificativi?Dove sono anche conservati i dati raccolti?5.   Durata della conservazioneI dati saranno conservati «per il periodo strettamente necessario al trattamento e sarà il Ministro della Salute a stabilirne la durata, quando i dati saranno cancellati automaticamente» (punto e).Il comma 6, invece, dice che il sistema sarà «spento alla data di cessazione dello stato di emergenza» (31 luglio 2020) e «comunque non oltre il 31 dicembre 2020». Allo spegnimento i dati «devono essere cancellati o resi definitivamente anonimi».Sembra di capire che la raccolta dei dati cesserà, in ogni caso, entro il 31 dicembre 2020, la loro conservazione non andrà oltre questa data a meno di essere resi “definitivamente anonimi”. Il Ministero della Salute, però, deve quantificare il tempo necessario al trattamento prima di cancellare automaticamente i dati.Non risultano chiari alcuni aspetti:Quali dati usa il Ministero della Salute? Se usa li stessi dell’app allora non può decidere la data di cancellazione soggetta alla fine dell’emergenza o della dead line del 31 dicembre 2020. Solo se usasse dati differenti (copie? Ulteriori dati?) allora potrebbe decidere fin quando usarli indipendentemente dalla cancellazione. Ultimo caso, solo gli stessi dati ma anonimizzati così da permetterne l’uso anche post cancellazione. In questo caso, che senso a cancellarli a fine trattamento?Perché i dati non sono anonimizzati subito anziché aspettare la fine? Se non era possibile anonimizzarli in fase di raccolta, come è possibile farlo dopo (vedi sopra)?6.   Elaborazione dei datiAbbiamo già detto dei dubbi sulla “misure di assistenza sanitaria” (vedi sopra).Il comma 3, in riferimento ai dati raccolti, autorizza l’«utilizzo in forma aggregata o comunque anonima, per i soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica». Tralascio le conseguenze del fatto che era già stato detto che la forma “anonima” non sarà sempre possibile (vedi sopra) e mi limito alla “forma aggregata”.Nel momento in cui i dati vengono caricati su un server, ad esempio per aggiornare le liste dei positivi o per copiare le liste dei contatti stretti a rischio, si apre una criticità per la sicurezza e per la privacy a causa dei log files (il diario delle attività dei server), degli IP address e dei MAC address (identificativi come Codice Fiscale o Partita IVA), tipo di query (consultazioni o segnalazioni). La forma aggregata include questi dati che, con chiavi random, possono portare a l’identificazione dell’utente. Questo si evita solo con un sistema decentrato, che l’Italia non ha adottato, o con la completa anonimizzazione dei dati trattati anziché con la pseudonimizzazione.7.   Riuso del softwareLa Ministro Pisano, in audizione, ha detto che il software sarà open source ed il codice rilasciato insieme all’applicazione. Open Source significa che tutti potranno accedere ai sorgenti dell’app e, ad esempio, farne una nuova versione. Questa operazione, benché di trasparenza lodevole, è sempre vincolata alla scelta del produttore di cosa voglia condividere.Il riuso è la pratica stabilita per la Pubblica Amministrazione per mettere in comune il software utilizzato. È possibile, quindi, che l’app sia utilizzata da altre Istituzioni per usi diversi da quelli stabiliti originariamente e senza le garanzie di sicurezza e privacy oggi reclamate.In ultimo una curiosità. Sembra che il contratto con Bending Spoons preveda 10.000 ore di sviluppo e manutenzione. Come saranno utilizzate ed a quale scopo se sono coinvolte Sogei e PagoPa?8.   Conclusione e PropostaL’utilizzo di un’app per controllare il disagio è necessaria, ma non può essere la scusa per promuovere azioni più o meno lecite in modo così subdolo.Non sarebbe stato più semplice e trasparente dichiarare subito le intenzione di tracciamento e elaborazione? Anzi, dovevamo coinvolgere Google e stringere una partnership, considerando che gli abbiamo già data il consenso a geolocalizzarci (sia attraverso Google Maps sia attraverso Android) e per il trattamento dei dati personali, (guardate i dati di geolocalizzazione, ad esempio).Speriamo che alla fine, almeno funzioni bene. Condividi: