Il Copasir ha detto la sua su Immuni, l’app di contact tracing

In una relazione l’organo parlamentare che vigila sulle attività dei servizi segreti ha espresso la sua opinione sull’app che dovrebbe essere disponibile tra due settimane. Il rapporto evidenzia alcuni aspetti critici ma non boccia l’iniziativa

Rischi geopolitici, mancanza di infrastrutture, dubbi sull’erogazione degli aggiornamenti: con una relazione inviata il 14 maggio alla presidenza del Consiglio dei ministri, il Comitato parlamentare per la sicurezza della Repubblica (Copasir) ha detto la sua su Immuni, il sistema di tracciamento dei contagi su cui il governo orienta la risposta alla diffusione del Coronavirus. Nel documento di sedici pagine, che Wired ha ottenuto in anteprima, l’organismo ha espresso tutte le sue perplessità in merito all’app voluta dal ministro per l’Innovazione, Paola Pisano, e che dovrebbero trovare una soluzione entro la data prevista per il lancio del servizio di notifica delle esposizioni, prevista il prossimo 29 maggio. 

Ma il Comitato non boccia l’iniziativa, anzi. Come si legge nel documento, l’organismo “non intende entrare nel merito della scelta del Governo di predisporre uno strumento di tracciamento dei contatti”, al quale è comunque riconosciuto il valore di un consenso internazionale testimoniato dalla quantità di progetti analoghi in numerosi Paesi. Tuttavia, la relazione evidenzia alcuni “aspetti critici” di natura procedurale, tecnica e giuridica, la cui correzione sarebbe necessaria al fine di non pregiudicare il buon esito dell’attività di tracciamento e le libertà personali dei cittadini, che con Immuni affidano la propria privacy alle mani dello Stato. Appena due giorni fa, il 14 maggio, l’ufficio del ministro per l’Innovazione aveva reso disponibile sulla piattaforma Github il documento che descrive il funzionamento di Immuni e i progressi fatti finora.

Il rapporto

Prima tra le considerazioni del Copasir, sulla base delle audizioni e della raccolta di materiale degli scorsi giorni, è quella relativa alla decisione di rinviare “a successivi atti del ministro della salute l’individuazione dei criteri sulla base dei quali verranno stabiliti i dati sanitari e personali da immettere nell’applicazione e le modalità con cui avverrà tale inserimento”, si legge nel documento. Una decisione per la quale il quadro normativo attualmente approvato sarebbe solamente “una cornice del progetto”, del quale devono ancora essere individuati e determinati alcuni dei dettagli più rilevanti.

Tra questi, il ruolo di Immuni nei confronti del Sistema sanitario nazionale. Il Copasir raccomanda infatti che la tecnologia di tracciamento dei contatti svolga una funzione integrativa del tracciamento manuale, in modo che questa non sostituisca l’attività sul territorio del personale medico. Inoltre, il Comitato raccomanda che “l’attuazione della piattaforma avvenga con criteri univoci sul territorio nazionale, evitando la possibilità di interpretazioni restrittive o comunque differenziate da parte delle Regioni ed Enti locali, tali da introdurre ingiustificate limitazioni alla libera circolazione dei cittadini”. 

Il riferimento è al decreto legge approvato alla fine del mese scorso, di cui Wired ha già scritto, nel quale si legge che “il mancato utilizzo dell’applicazione […] non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento”. Una formulazione giudicata insufficiente da parte del Comitato, secondo il quale tale disposizione potrebbe “risultare insufficiente a escludere eventuali provvedimenti più restrittivi, da parte di soggetti istituzionali o da privati, volti a selezionare l’accesso delle persone (a luoghi, zone territoriali, locali pubblici o privati eccetera), sulla base dell’utilizzo o del mancato utilizzo dell’applicazione”. 

Il mantenimento di Immuni

Una delle principali regole informatiche è che un sistema aggiornato è anche più sicuro. Questo deriva dal fatto che ogni aggiornamento, sia per i sistemi operativi che per i singoli software, di norma viene rilasciato per correggere errori o apportare migliorie al sistema, rendendolo più sicuro a nuove vulnerabilità che potrebbero venire scoperte nel tempo. Ma nel caso di Immuni chi rilascerà gli aggiornamenti? 

Secondo quanto previsto dall’ordinanza firmata dal commissario per l’emergenza, Domenico Arcuri, sarà Bending Spoons, la società che sviluppa Immuni, a farsi carico degli aggiornamenti della piattaforma per almeno sei mesi. Una circostanza per la quale il Copasir “esprime preoccupazione”, dal momento che questo determinerebbe una “potenziale dipendenza” dell’app da una società privata, senza che sia chiaro quale sarà il ruolo di PagoPa, società pubblica che ha l’incarico di affiancare Bending Spoons nello sviluppo dell’app di tracciamento. 

Il Copasir ha anche inserito nel documento una ricostruzione della composizione societaria di Bending Spoons, chiarendone le partecipazioni nazionali e internazionali. A tal proposito, si evidenzia nel rapporto, dal 4 luglio del 2019 è presente una quota di minoranza, pari al 5,7 per cento, di proprietà dei gruppi: H14 S.p.A (di proprietà di Luigi, Eleonora e Barbara Berlusconi, ndr) e della NUO Capital, riconducibile alla famiglia Pao Cheng di Hong Kong, e Star Tip S.p.A., veicolo della società di investimento internazionale Tamburi Investment. “Il fondo NUO Capital (New Understanding Opportunities)”, precisa il Comitato, è “riconducibile a Stephen Cheng, noto uomo d’affari cinese”. In proposito, “si ricorda che la legge cinese sulla sicurezza nazionale, obbliga, in via generale, cittadini e organizzazioni a fornire supporto e assistenza alle autorità militari di pubblica sicurezza e alle agenzie di intelligence”.

“Sarà necessario accertarsi che nessun attore, nazionale o internazionale, possa avere alcun tipo di accesso ai dati raccolti”, ha commentato a Wired Stefano Mele, avvocato e presidente della Commissione sicurezza cibernetica del Comitato atlantico italiano. “Questo naturalmente vale anche per quelle società che dovessero aver partecipato alla realizzazione dell’infrastruttura: si tratta di dati rilevanti, capillari e di qualità, che potrebbero attrarre l’interesse di attori pubblici che privati e che per questo devono essere tutelati con il massimo sforzo”.

Il nodo europeo

Dopo settimane di assenza dal dibattito pubblico, riemerge nel documento del Copasir il consorzio Pepp-Pt, che dall’inizio di aprile aveva coordinato gli sforzi europei di tracciamento, prima di venire soppiantato dall’intervento di Apple e Google. Non è chiaro dunque come mai nella relazione del Copasir si legga “Inoltre, la soluzione Immuni utilizza la tecnologia della tracciabilità sviluppata dal Consorzio Progetto Europeo Pepp-Pt, che in assenza di geolocalizzazione memorizzerebbe il codice identificativo anonimo dei cellulari di tutte le persone con cui si interagisce e che risulterebbe poter fornire maggiori garanzie di anonimizzazione dei dati personali”. L’informazione è stata poi confermata dall’amministratore delegato di Bending Spoons, Luca Ferrari: i rapporti con la cordata europea si sarebbero interrotti proprio dopo che i due colossi tecnologici statunitensi avevano trovato un modo di far funzionare i rispettivi sistemi bluetooth in modo reciproco, risolvendo il problema di compatibilità dei sistemi che fin dall’inizio ha rischiato di far deragliare qualsiasi iniziativa di tracciamento dei contagi. 

Il nodo nella rete

Il Copasir esprime anche perplessità sugli aspetti più tecnici della piattaforma, forte dei pareri tecnici del Computer security incident response team (Csirt) dei servizi segreti nazionali del Dis. Tra queste, il riferimento al Content Delivery Network (Cdn, rete di distribuzione dei contenuti), che è l’infrastruttura decentralizzata che dovrà consentire a Immuni di far arrivare una notifica a chiunque sia stato esposto al potenziale contagio di un cittadino risultato positivo al tampone. In un sistema centralizzato ciascuna app farebbe pervenire le informazioni che raccoglie a un unico server centrale, che avrebbe una funzione simile a quella dei satelliti nel permettere la redistribuzione delle informazioni a tutti gli altri dispositivi, dopo averle raccolte su un archivio centrale. 

Questa era la soluzione preferita proprio dal consorzio europeo Pepp-Pt, che su questa architettura aveva puntato i suoi sforzi. Ma l’Italia ha infine scelto diversamente, optando appunto per la soluzione decentralizzata. Promossa dalla cordata Apple-Google e preferita anche dagli esperti di sicurezza informatica e privacy, questa tipologia di infrastruttura permette che tutti i dati rimangano all’interno del dispositivo dell’utente, per poi essere condivisi direttamente con gli altri dispositivi attraverso una rete. 

Tuttavia, nelle valutazioni tecniche del Copasir si legge che la tecnologia necessaria per la realizzazione di della Content delivery network “non è al momento disponibile presso aziende italiane”, ragione per la quale “dovrà essere acquisita ricorrendo a società estere, ancora da individuare”. Infine, nelle conclusioni, il comitato specifica che la soluzione di trasmettere i dati dei cittadini italiani alla Content Delivery Network sarebbe in contrasto con le norme che obbligano la piattaforma a essere realizzata “esclusivamente con infrastrutture localizzate sul territorio nazionale”. 

Uno scenario che, precisa il Comitato, potrebbe evidenziare “rischi non trascurabili sul piano geopolitico”, dal momento che la rete prevista per la trasmissione dei dati di Immuni potrebbe “prestarsi a manipolazioni dei dati stessi, per finalità di diversa natura: politica, militare, sanitaria o commerciale”. Il rischio evidenziato nel documento è che una possibile alterazione dei dati “potrebbe far sovrastimare o sottostimare l’entità stessa dell’epidemia”.

Senza sottovalutare il rischio tecnologico, anch’esso “difficilmente mitigabile” che può derivare da possibili attacchi informatici “da parte di hacker o altri soggetti o in possibili truffe ai danni degli utilizzatori della App”, precisa il Comitato: “La tecnologia Bluetooth risulta infatti particolarmente vulnerabile a intrusioni i cui effetti, in questo contesto, potrebbero essere tali da diffondere allarme ingiustificato nella popolazione, ad esempio mediante l’invio di messaggi falsi o fraintendibili, relativi, inter alia, allo stato di salute o al possibile contagio dei destinatari”.

Paese che vai, tracciamento che trovi

In conclusione delle sedici pagine di documento, il Copasir esprime un parere particolarmente negativo anche sulle iniziative intraprese per rendere i sistemi di tracciamento nazionali interoperabili tra loro, giudicate apparentemente “non praticabili” in quanto prive di una linea comune a livello europeo che sia in grado di garantire lo spostamento dei cittadini anche sotto un regime di controllo dei contagi. Un aspetto che “appare decisivo per la piena funzionalità del sistema, soprattutto in un Paese a vocazione turistica come il nostro, che dovrebbe assicurare la libera circolazione delle persone all’interno dell’Unione europea”.