Contact Tracing: come l’app Immuni protegge la privacy e quali sono i suoi limiti.

di Corrado Aaron Visaggio

L’italia ha scelto la sua app di contact tracing per ricostruire la lista delle persone che sono entrate in contatto con una persona positiva al Coronavirus: l’App Immuni.

L’App Immuni è stata al centro di approfondite e, io credo giuste, analisi da parte della comunità scientifica e di esperti di privacy e security, relativamente a due temi: la privacy dei cittadini e l’effettivo funzionamento dell’app.

Vediamo a che punto siamo e quali sono i problemi ancora aperti.

Il primo enorme problema che è stato sollevato riguarda la centralizzazione del dato. Inzialmente, i dati sul tracciamento dei contatti sarebbero stati tutti archiviati all’interno di un server centrale, con la ovvia conseguenza che chiunque avesse accesso a questo server (quindi anche un bad actor), avrebbe potuto ricavare informazioni sensibili sulle persone registrate in quei log (per lo meno chi è positivo e chi è entrato in contatto con chi).

300 scienziati da tutto il Mondo hanno fatto notare la questione, chiedendo ai Paesi intenzionati ad adottare un’app di tracciabilità dei contatti, di convergere verso il modello decentralizzato proposto con il protocollo DP-3T. Questo protocollo, ideato da un gruppo di studiosi Europei di privacy, prevede un sistema a tagliandi.

Il sistema a tagliandi funziona in questo modo. Se A incontra B e C, l’App sullo smartphone di A produrrà due tagliandi, uno per B e uno per C, dove c’è un identificativo numerico che si riferisce ad A. La stessa cosa succederà sugli smartphone di B e C. Per cui, lo smartphone di A conterrà la lista dei tagliandi di B, C e di tutti coloro che A ha incontrato. Analogamente, gli smartphone di B e C conterranno i tagliandi di coloro che B e C hanno incontrato.

Se A dovesse risultare contagiato dal coronavirus, l’autorità sanitaria estrarrebbe i tagliandi dei contatti di A dallo smartphone di A e invierebbe questa lista a tutti gli smartphone, chiedendo chi corrisponde ai tagliandi nella lista. Risponderanno solo gli smartphone che corrisponderanno a quei tagliandi.

Questo è un sistema che si basa sull’uso di pseudonimi, cioè di codici alfanumerici al posto delle identità delle persone e che saranno svelati solo all’autorità sanitaria e solo nel caso in cui dovesse risultare il rischio di un contagio. Quale è il vantaggio? Che se un bad actor dovesse venire in possesso dello smartphone di un cittadino, potrebbe ottenere, al massimo, una lista di tagliandi che, essendo dei codici, non rivelano nulla dell’identità delle persone.

Il funzionamento non si baserebbe sul GPS, che sarebbe lesivo della privacy in quanto rivelerebbe la posizione del cittadino e quindi anche altre informazioni sensibili, come spiegato qui. La App Immuni utilizzerebbe il bluetooth, che consente a due smartphone che si dovessero incontrare al di sotto dei 10 m, di riconoscersi e quindi di registrare il contatto.

E qui veniamo ai problemi.

Innanzitutto nè i dispositivi IOS nè gli Android sono attualmente predisposti per questo uso del bluetooth. Infatti, gli I-phone non mantengono il segnale bluetooth in blackground, mentre gli Android non reggono più contatti contemporaneamente, al di sopra di un certo numero.

Pare che Apple e Google abbiano garantito di risolvere questi problemi e rilasceranno al più presto una nuova versione del sistema operativo che consente questo utilizzo del bluetooth.

Ma, c’è un ma. Infatti, sia Apple che Google si sono accordati per rilasciare una loro app di tracciabilità che, si immagina, riuscirà non solo a sfruttare appieno le funzionalità dei due sistemi operativi, ma, probabilmente, anche tutte le altre funzionalità ed informazioni che i due giganti hanno sui loro utenti, per rendere più accurata la tracciabilità.

I problemi non sono finiti qui. L’app si basa sul funzionamento corretto e continuo del bluetooth, ma: un utente potrebbe dimenticare di accenderlo, potrebbe non funzionare bene perchè il bluetooth chip è danneggiato, oppure semplicemente il segnale potrebbe essere disturbato.

Inoltre, la decentralizzazione è un sistema che risolve ottimamente il problema della privacy. Ma se i dati di contatto su uno smartphone sono danneggiati o inaccessibili ( lo smartphone è vittima di un ransomware, si smarrisce o si rompe), questi dovranno essere ricavati dagli altri smartphone, con un aggravio computazionale (si immagina) -ci vuole una funzionalità di recovery, insomma-.

Un bad actor, ancora, potrebbe inquinare le liste di contatti, arricchendole di falsi contatti, in gergo bogus.

O, ancora, con un distrurbatore di segnale, evitare il funzionamento corretto del bluetooth in una certa area.

L’App Immuni pare che sarà rilasciata come open source e questo è un segnale di grande trasparenza, dato che così possiamo leggere tutti chiaramente cosa ne fa l’app dei nostri dati. Ma questo non ci dà nessuna garanzia su come i dati saranno protetti sui server nei quali essi finiranno. Ci auguriamo che i processi con cui vengono protetti, gestiti ed acceduti, siano rigorosi ed impediscano data breaches che avrebbero conseguenze gravi per la privacy dei cittadini.

L’App Immuni, comunque, non è l’unica ad adottare questo meccanismo per tracciare i contatti: per esempio Covid Watch, un progetto della Stanford University, ma anche il progetto CoEpi fanno qualcosa di molto simile. E’ il caso, però, di citare il progetto del MIT, SafePath, che invece applica una logica completamente diversa, basata su uno scambio di percorsi cifrati. Se due persone hanno dei segmenti di percorso comune, vuol dire che si sono incontrati: la cifratura garantisce che nessuno possa accedere al percorso fatto da uno smartphone, mentre l’app produce, come unica informazione, la coppia di persone che è entrata in contatto.

La questione, come si vede, non è affatto semplice.

 

 

Leave a Reply