I dati di Immuni “in un sistema decentralizzato”. Ma non è stata scelta dal Governo perché conforme al modello centralizzato?

Modello di raccolta dei dati centralizzato o decentralizzato? Stefano Zanero e Roberto Reale ci spiegano qual è il sistema che garantisce una maggiore privacy a chi scaricherà l’app. Nel frattempo l’associazione ‘Luca Coscioni’ presenta istanza di accesso agli atti relativa al processo di selezione di Immuni.

L’app Immuni è stata scelta dal Governo perché basata su un protocollo di contact tracing che, banalmente, chiamiamo A, ma ora leggendo IlSole24Ore si scopre che seguirà il modello B. È il nuovo colpo di scena della saga Immuni, l’applicazione su cui il Governo punta per la fase 2 ad identificare individui potenzialmente infetti dal Covid-19 prima che emergano sintomi.

Immuni scelta dal Governo “per la conformità al modello europeo delineato dal Consorzio PEPP-PT e per le garanzie che offre per il rispetto della privacy”

Ad oggi sono pochi i motivi per i quali il Governo ha scelto Immuni, l’app proposta dalla società Bending SpoonsDall’ordinanza firmata dal Commissario straordinario per l’emergenza Covid-19, Domenico Arcuri, si legge che Immuni “…è stata ritenuta più idonea per la sua capacità di contribuire tempestivamente all’azione di contrasto del virus, per la conformità al modello europeo delineato dal Consorzio PEPP-PT e per le garanzie che offre per il rispetto della privacy”Bending Spoons aderisce al Consorzio Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT).

Che cos’è il Consorzio PEPP-PT?

È una coalizione europea di ricercatori, che punta a creare un approccio standardizzato per le app di tracciamento basato su Bluetooth, ma sul modello centralizzato (soft) dei dati: ossia il server attribuisce un codice specifico per ogni app scaricata sullo smartphone e mantiene un elenco di questi codici, che non rivelano l’identità degli utenti. Invece il protocollo Decentralised Privacy-Preserving Proximity Tracing (DP-3T) sostiene una raccolta dati decentralizzata attraverso l’app per il tracciamento dei contagiati dal virus, ma non attribuisce a chi scaricherà l’app un codice specifico. In sostanza, la crittografia-generazione delle chiavi avviene direttamente sui dispositivi degli utenti e non sui server.

Leggendo il Sole24Ore si scopre che “L’app Immuni cambia. Seguirà il modello decentralizzato di Apple e Google. Una scelta ormai definitiva. E anche obbligata per tutelare con maggiore forza la privacy e la sicurezza dei dati”.

In attesa di avere una conferma ufficiale da parte del Governo su questa virata improvvisa sul modello di raccolta dei dati decentralizzato, domandiamo:

  • Può essere selezionata un’app perché conforme a un criterio e dopo una settimana si decide di adattarla a un nuovo protocollo? Al DP-3T.
  • Se si possono cambiare le carte in tavola allora avrebbe potuta essere selezionata anche l’app ritenuta seconda (ma c’è una classifica ufficiale?) nella selezione della task force, quella del progetto open source Coronavirus Outbreak Control: tanto il modello di archiviazione dei dati è modificabile in corso d’opera. 

A 5 giorni dall’ordinanza firmata dal Commissario Domenico Arcuri, con cui abbiamo scoperto che Immuni è l’app scelta dal Governo per il contact tracing, sul sito del ministro per l’Innovazione è stato pubblicato un aggiornamento sull’applicazione. Nel documento già si intravede il possibile cambio di rotta del modello da utilizzare per la raccolta dei dati, non più solo quello proposta dal Consorzio PEPP-PT

Il sistema di contact tracing, si legge nel documento, dovrà essere finalizzato tenendo in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (PEPP-PTDP-3TROBERT), e in particolare l’evoluzione del modello annunciato da Apple e Google. Ma perché un’app di Stato deve tenere in considerazione la soluzione delle due Big Tech?

Quali le differenze tra archiviazione dei dati centralizzato e decentralizzato

Stefano Zanero: “la decentralizzazione elimina un punto di fallimento centrale che avrebbe potuto essere oggetto dell’attacco di aggressori informatici”?

“A parità di informazioni raccolte, quindi con la stessa efficacia, la decentralizzazione sostanzialmente riduce a zero le informazioni che possono compromettere l’identità degli utenti, i loro incontri, o che possono consentire di creare elenchi di infettati, salvo che al personale sanitario”, chiarisce a Key4biz Stefano Zanero, professore associato di sicurezza informatica del Politecnico di Milano.

“Inoltre”, conclude Zanero, la decentralizzazione “elimina un punto di fallimento centrale che avrebbe potuto essere oggetto dell’attacco di aggressori informatici. Un sistema distribuito è molto meno attraente dal punto di vista di un aggressore.”*

Roberto Reale: “Nel modello decentralizzato nessuno conosce i contatti di tutti gli utenti”

“Non è tanto questione di sicurezza, ma di privacy”, spiega a Key4biz Roberto Reale, ICT & EU project manager, “nel modello decentralizzato nessuno conosce i contatti di tutti gli utenti, ma ciascun utente conosce i propri. Quando X risulta positivo, un suo identificativo anonimo, DP-3T lo chiama EphID, viene reso pubblico (molto probabilmente previo consenso): così tutti gli utenti possono, in modo automatico, verificare se sono stati in contatto con X, senza chiaramente sapere chi sia X”.

Significa che anche il modello decentralizzato prevede un server, ma si limita ad inviare a tutti gli smartphone del sistema l’elenco dei contatti dell’identificativo anonimo di X. Poi saranno automaticamente i device a confrontare questo elenco dei contatti anonimi e se un codice corrisponde con il proprio, allora è direttamente l’app a notificarlo alla persona e non il server, come, invece, è previsto nel modello centralizzato. Quindi è solo la persona a cui arriva l’alert a sapere di avere avuto un contatto con un soggetto positivo al Covid-19, senza conoscere la sua identità. Tutto questo processo avviene dirattemente sullo smartphone di chi scaricherà l’app.

A Reale abbiamo anche chiesto con la decentralizzazione della raccolta dei dati come cambia la costruzione del grafo sociale.

“Per quanto riguarda il grafo sociale”, ha risposto, “nel caso decentralizzato ovviamente il grafo è limitato a un solo grado di separazione rispetto al positivo, ad X. Per avere un grafo più profondo, magari con gradiente di rischio decrescente, ci sarebbe bisogno che un Y entrato in contatto con X a sua volta pubblichi il suo identificativo in modo che un Z entrato in contatto solo con Y ma non con X sia allertato, e così via”.

Secondo altri esperti, anche nel modello decentralizzato, c’è potenzialmente qualcuno che può conoscere i contatti di tutti. Anche per questo è importante conoscere il codice sorgente dell’app.

Centralizzato o decentralizzato? Lo deciderà il Parlamento

L’ultima parola spetta al Parlamento, che, molto probabilmente, con un decreto-legge ad hoc darà il via all’app per il contact tracing e dovrà anche decidere se utilizzerà un sistema decentralizzato oppure centralizzato (soft) per la gestione dei dati con un cloud di una società pubblica ed italiana. Ma quest’ultimo modello non piace ad Apple e Google.

L’Ass. Coscioni presenta istanza di accesso agli atti relativa al processo di selezione dell’app

Nel frattempo l’avvocato Filomena Gallo, segretario nazionale dell’associazione Luca Coscioni, ha trasmesso al ministero per l’Innovazione tecnologica e la Digitalizzazione, una richiesta formale di accesso agli atti relativa al processo di selezione della app sul tracciamento dei contatti nella quale sono segnalate le tre esigenze specifiche sulle quali il ministro deve fare chiarezza.

  1. Criteri di valutazione e relativi punteggi (min/max) utilizzati dal “Gruppo di lavoro data-driven per l’emergenza COVID-19” nell’ambito dell’analisi delle proposte formulate dai partecipanti alla fast call for contribution;
  2. Numero di proposte pervenute ed indicazione dei relativi proponenti;
  3. Punteggio assegnato alla proposta selezionata e alle altre proposte presentate eammesse a valutazione.

“La richiesta – continua l’associazione Luca Coscioni – è frutto della raccolta di problematicità emerse durante le assemblee pubbliche organizzate nelle settimane scorse dall’Associazione a cui hanno partecipato giuristi e informatici, i quali hanno evidenziato problematiche legate alle modalità di promozione della diffusione della app, raccoglimento, mantenimento e gestione dei dati oltre che licenze d’uso e tipologia di software utilizzato dalla app e coordinamento con la possibilità di fare test”.

Pubblicato su Key4biz
Coautori Luigi Garofalo
Pagina archiviata Internet Archive