Il database di Immuni conterrà informazioni di dettaglio che, in assenza di opportune e preventive contromisure, potrebbero essere indebitamente utilizzate per scopi che vanno molto al di là della prevenzione epidemiologica. L'analisi di Corrado Giustozzi, esperto di sicurezza cibernetica del CERT-PA e componente dell'advisory group dell'Agenzia dell'Unione europea per la cybersecurity (Enisa)

Perché in tutto il mondo c’è tanta attenzione, e si manifestano tante perplessità, verso un tipo di applicazione come Immuni che, essendo stata pensata per contribuire a ridurre la diffusione del contagio, dovrebbe essere vista come utile e benvenuta?

Certo, c’è di mezzo la privacy: ma in una situazione di emergenza molte persone sarebbero felici di rinunciare a un po’ della propria privacy in cambio di una maggiore tutela della propria salute.

Molti fautori dei sistemi di contact tracing osservano a tal proposito, e non senza ironia, che la maggior parte delle persone già fornisce volontariamente e senza porsi tanti problemi i propri dati di geolocalizzazione ai social network, al navigatore satellitare o al gestore del proprio cellulare, al fine di ottenere in cambio servizi di scarsa importanza.

Non si capisce dunque perché le stesse persone si mettano a fare tante storie nel momento in cui viene loro chiesto di fornire gli stessi dati allo Stato per debellare una pericolosa epidemia in corso. Le cose però non stanno esattamente così, e la privacy è solo uno degli aspetti coinvolti.

Il rischio maggiore legato all’utilizzo disinvolto dei meccanismi di contact tracing non è infatti quello della perdita di riservatezza dei propri dati di salute, che peraltro non è affatto trascurabile, ma quello di aprire la porta, volontariamente o accidentalmente, alla possibilità che qualcuno possa usare il sistema per intraprendere azioni, assai più subdole e pericolose, finalizzate al controllo sociale, alla discriminazione e al condizionamento dei comportamenti.

Ecco perché nel merito della questione, almeno in Italia, sono voluti entrare non solo il Garante della Privacy ma anche gli apparati preposti alla sicurezza dello Stato, in primis il Copasir ed il Dis.

Gli scenari che si aprono sono molteplici, ma tutti riconducibili a un punto chiave: il database di un’app di contact tracing diffusa ed utilizzata da una fetta consistente della popolazione contiene informazioni di dettaglio che, in assenza di opportune e preventive contromisure, potrebbero essere indebitamente utilizzate per scopi che vanno molto al di là della prevenzione epidemiologica.

In primo luogo potrebbero essere usate per discriminare. In alcuni Paesi asiatici, ad esempio, lo stato di “non positività” fornito dalla app è condizione essenziale per poter accedere ai mezzi pubblici o ad alcuni edifici o zone della città: questa non è ancora discriminazione, anche perché gli utilizzatori sono consenzienti, ma solo andando un po’ oltre si possono presentare casi ben diversi.

Non è difficile ad esempio pensare che un soggetto potrebbe vedersi negare un servizio (un credito, un mutuo, un’assicurazione…), o potrebbe addirittura perdere il lavoro, perché alla app il suo stato risulta “potenzialmente positivo”, e quindi oltretutto in base a una decisione impersonale, puramente algoritmica e basata su assunzioni probabilistiche.

Ma le informazioni di prossimità raccolte ed incrociate dicono anche con certezza con chi ognuno ha avuto contatti non casuali, e quindi intenzionali: potendole associare ad altre informazioni specifiche, esse potrebbero potenzialmente consentire di tracciare altri tipi di attività e ricostruire catene di contatti con una precisione e un’accuratezza non consentita da alcun altro sistema di controllo, pedinamento e sorveglianza esistenti. Un regime politico poco democratico potrebbe ad esempio usare queste informazioni per perseguire dissidenti politici o altri soggetti “scomodi”.

È anche possibile pensare a scenari ancora peggiori, di tipo offensivo, e riguardanti pertanto la stessa sicurezza nazionale.

Ad esempio, cosa succederebbe se un soggetto ostile (un’organizzazione attivista o terrorista, un Paese avversario) riuscisse ad inoculare nel sistema false informazioni riguardanti lo stato di positività o non positività dei soggetti coinvolti?

È evidente che un’azione di sabotaggio del genere potrebbe creare notevoli turbamenti sociali, sia che venissero creati falsi positivi (migliaia di soggetti effettivamente non positivi verrebbero confinati a casa senza motivo, indebolendo la già provata economia e deprimendo ulteriormente il morale della popolazione) sia che venissero creati falsi negativi (migliaia di persone effettivamente positive continuerebbero ad andare tranquillamente in giro propagando a dismisura l’infezione), o entrambe le cose assieme.

Ecco quindi perché è necessario che tutte le componenti tecnologiche del sistema, in primis la app da distribuire ai cittadini, siano sviluppate adottando i più rigorosi criteri di sicurezza; che il loro codice sia aperto ed ispezionabile; e che tutto il sistema venga sottoposto a test specifici per verificarne la robustezza.

Ed è anche importante che tutto venga sviluppato e gestito direttamente, o almeno sotto il controllo, di una organizzazione istituzionale, e non semplicemente acquisito da un fornitore esterno qualunque, magari con gara al massimo ribasso: ciò al fine di evitare ogni possibilità che eventuali poteri ostili interferiscano con lo sviluppo del sistema o con la successiva erogazione del servizio, introducendovi modifiche deliberatamente finalizzate ad alterarne il funzionamento o accedere ai dati.

L’obiettivo ottimale è naturalmente che tutto il sistema risulti protetto anche contro il suo stesso gestore. Perché ci fidiamo tutti dell’attuale sistema di governo, ma nessuno può sapere che intenzioni avrà chi salirà al potere in futuro.

Condividi tramite