Immuni doveva esserci per la fine di aprile, non ci sarà prima della fine di maggio. E sono già in molti a sostenere che avere un sistema di exposure notification disponibile tardi e poco usato sia peggio che non averlo affatto. L'analisi di Corrado Giustozzi, esperto di sicurezza cibernetica del CERT-PA e componente dell'advisory group dell'Agenzia dell'Unione europea per la cybersecurity (Enisa)

L’Italia è prigioniera della “vicenda Immuni”, che sta sempre più assumendo le forme grottesche di un romanzo d’appendice.

Selezionata con un procedimento d’urgenza dai contorni poco chiari, oggetto proprio in questi giorni di verifica da parte del Copasir, la app Immuni doveva essere disponibile già dalla fine di aprile in modo da essere testata e operativa prima della fine del lockdown e dell’inizio della cosiddetta Fase 2. Tuttavia non è ancora stata rilasciata, per via di una serie di problemi e ostacoli tra cui quelli sotto elencati, e a quanto pare non lo sarà prima di fine maggio.

Un primo problema è costituito dal fatto che non sia ancora stato definitivamente chiarito a quale protocollo implementativo l’app farà riferimento.

All’inizio la scelta era ricaduta su PEPP-PT ma poi, in seguito sia a conflitti interni al consorzio promotore di tale standard sia alla risoluzione del 17 aprile con cui il Parlamento europeo richiedeva che i sistemi di contact tracing fossero impostati su modelli decentralizzati, si era iniziato a lavorare ad una sua conversione in corsa verso DP-3P.

Ora tuttavia, con l’ingresso in campo del “terzo incomodo” Apple-Google, sembra che l’unica scelta sensata sia adottare il loro modello di Exposure Notification, ma non è chiaro se effettivamente Immuni lo adotterà e quando.

Un altro intoppo sulla strada dello sviluppo dell’app è stato costituito dalle proposte, e successivi ripensamenti, avanzate soprattutto dai politici in merito ad eventuali funzionalità aggiuntive da inserirvi: si è parlato ad esempio della gestione di un completo diario clinico del paziente, o del collegamento al Fascicolo Sanitario Nazionale. Perfino il modello di distribuzione e utilizzo previsto, se obbligatorio o facoltativo, è stato più volte rimesso in discussione.

Tutti questi profondi ripensamenti architetturali sono ovviamente assai problematici da affrontare in corso d’opera, e mettono a repentaglio non solo l’efficacia e la tempistica dello sviluppo ma anche le stesse caratteristiche finali del prodotto, ivi compresi i cruciali aspetti di sicurezza.

In tutto ciò, oltretutto, mancano ancora le definizioni da parte del Governo della strategia nazionale a supporto e dell’ecosistema nel quale l’app dovrà agire, ivi comprese le modalità di interazione fra tutte le parti coinvolte.

Il rischio ad oggi è quindi che l’app italiana di exposure notification, ammesso che possa essere correttamente sviluppata e adeguatamente securizzata nel poco tempo previsto, si renderà  effettivamente disponibile quando oramai sarà troppo tardi perché possa risultare davvero efficace; soprattutto se il suo uso non verrà incoraggiato dal Governo mediante un’adeguata azione informativa, e non sarà supportato da una campagna sistematica di screening generalizzato della popolazione mediante tamponi.

E infatti sono già in molti a sostenere che avere un sistema di exposure notification disponibile tardi e poco usato sia peggio che non averlo affatto.

Condividi tramite