Compliance

App Immuni, come funziona, quale sistema utilizza in conformità al principio della privacy by design

La caratteristica fondante del modello elaborato da Google e Apple consiste nel prevedere che i dati sugli spostamenti e incontri fra i soggetti, utili ad avvisare chi si è trovato vicino a qualcuno poi rivelatosi positivo, siano gestiti direttamente dai cellulari dei cittadini

14 Mag 2020

Marco Martorana

avvocato

Apple e Google, le due maggiori potenze aziendali a livello globale del mondo high tech, hanno comunicato la loro unione nella collaborazione volta alla creazione dell’interfaccia della app per il contact tracing, la cui finalità, come noto, consiste nel tentativo di contenere il rischio di contagio da Covid-19. In generale, la scelta di appoggiarsi a detta interfaccia sarà rimessa alla decisione dei vari governi nazionali. Per quanto concerne il nostro Paese, l’idea iniziale in merito è stata mutata a favore del modello decentralizzato elaborato proprio da Apple e Google, tale da garantire maggior tutela sotto il profilo della privacy. L’interfaccia è in corso di elaborazione e, pertanto, suscettibile di ulteriori variazioni volte a migliorare la tutela sul trattamento dei dati degli utenti. A tal riguardo, recentemente, Apple e Google hanno introdotto una serie di modifiche che rendono il funzionamento interno del sistema non solo anonimo, ma anche cifrato, rendendo così impossibile risalire all’identità dei soggetti titolari dei cellulari su cui l’app di tracciamento sarà scaricata.

Le caratteristiche principali della app italiana Immuni basata sul modello decentralizzato

Innanzitutto, preme evidenziare come lo scopo della app di contact tracing sia quello di ricostruire i contatti e gli incontri di chi, successivamente, viene a conoscere di aver contratto il virus. In particolare, è oramai certo che la app prospettata dal nostro Governo funzionerà tramite un protocollo decentralizzato e non più, come inizialmente prospettato, con un sistema centralizzato. Il motivo di tale mutamento trova spiegazione nella maggior tutela sul piano della privacy. La app in esame non prevede l’impiego delle tecnologie gps o di geolocalizzazione, bensì, esclusivamente della tecnologia bluetooth. Con ogni probabilità sarà su base volontaria, vale a dire, rimessa alla libera scelta del cittadino, lasciando quindi l’efficacia della sua applicazione alla maggior percentuale di cittadini che ne faranno uso. Inoltre, occorre aggiungere che l’applicazione, così come ideata, non prevede l’accesso alla rubrica dei contatti del telefono e non richiede la comunicazione del proprio numero di cellulare, cosicché, si esclude che il cittadino possa essere allertato tramite messaggio. Quella sommariamente qui descritta si ritiene sia l’impostazione effettiva della app anche in base alle ultime indiscrezioni trapelate; tuttavia, come detto, il dibattito sulla questione è acceso sia a livello nazionale che a livello europeo.

L’elaborazione della app di contact tracing nel rispetto del principio by design di cui al GDPR

In Italia, come anticipato, inizialmente si è parlato di app di contact tracing con sistema centralizzato ma successivamente si è optato poi per un protocollo decentralizzato. Quasi si è detto non poteva essere altrimenti in virtù del modello predisposto da Apple e Google il cui funzionamento è di tipo decentralizzato. Preme evidenziare ancora una volta come la scelta tra l’uno e l’altro sistema di gestione dei dati attiene in maniera esclusiva a motivi connessi alla tutela della privacy, tanto da divenire oggetto di discussione non solo nazionale ma anche a livello europeo. Il nostro Governo, lo ribadiamo, ha optato per il modello decentralizzato, voluto da Google e Apple le quali lo metteranno a disposizione alle singole nazioni verso la metà di maggio. In sostanza, la caratteristica precipua e fondante del modello elaborato da Google e Apple consiste nel prevedere che i dati sugli spostamenti e incontri fra i soggetti, utili ad avvisare chi si è trovato vicino a qualcuno poi rivelatosi positivo, siano gestiti direttamente dai cellulari dei cittadini. Come si è potuto comprendere “La memorizzazione dei dati deve essere completamente decentralizzata. I dati, opportunamente protetti con sistemi di anonimizzazione o di pseudonimizzazione, devono essere conservati localmente sui dispositivi, dove deve avvenire anche il calcolo del rischio di infezione. Se sarà necessario l’utilizzo di server centrali, dovranno essere trasmesse a tali server soltanto chiavi anonime e temporanee corrispondenti agli utenti infetti, in mondo che non sia consentito di risalire all’identità delle persone”.

Le caratteristiche che contraddistinguono il sistema centralizzato e decentralizzato

Il modello decentralizzato è stato progettato da DP-3T, ossia, un gruppo di ricercatori europei, e preso come fonte d’ispirazione per il protocollo nato dalla collaborazione tra Apple e Google. Il funzionamento del protocollo decentralizzato è il seguente: il cellulare di un soggetto, fornito della app compatibile con questo protocollo (come potrà essere la app italiana c.d. Immuni), attraverso il Bluetooth trasmette ad altri cellulari, nelle vicinanze e muniti della stessa app, i codici identificativi anonimi casuali, prodotti da una chiave che sta sul dispositivo, e che si modificano ad intervalli di tempo. Tali cellulari archiviano al loro interno i codici del soggetto per un determinato arco di tempo e, a loro volta, diffondono i loro. La fattispecie che poi si attende è la seguente: il soggetto che ha l’app sul proprio cellulare contrae il virus e viene dotato di un codice di sblocco. Questo codice verrà usato per trasferire a un server i codici identificativi trasmessi in giro nei giorni precedenti dal soggetto, i quali, attraverso il server, saranno diramati a tutti i dispositivi con le app. Se c’è un abbinamento, se uno di quei codici è nel dispositivo di un altro utente, l’app lo avvisa. Quanto poi alle modalità inerenti a detta comunicazione, dipenderà tutto da cosa prevede la singola app nazionale. Ma certamente nel sistema decentralizzato, è l’utente che deve responsabilizzarsi, attivandosi autonomamente.

Invece, la caratteristica principale del protocollo centralizzato è che i codici sono generati direttamente dal server e non dal cellulare dell’utente. Il server invia un identificativo di lungo termine e una chiave ai cellulari, i quali poi li trasmettono in giro. Quando qualcuno contrae il virus trasmette al server gli identificativi che ha incontrato. A quel punto il server usa la sua chiave per decifrare gli identificativi anonimi abbinandoli agli identificativi di lungo termine e usandoli per inviare notifiche agli utenti.

Gli aggiornamenti tecnici introdotti: il sistema di “notifica dell’esposizione”

Proprio negli ultimi giorni Apple e Google hanno fornito alcuni aggiornamenti tecnici, ossia, innovazioni, al loro sistema di monitoraggio delle persone, frutto della loro collaborazione. Innanzitutto, la prima modifica che viene in considerazione riguarda proprio la denominazione del sistema mutata in “notifica di esposizione” (exposure notification).

In secondo luogo, vediamo come le due note aziende abbiamo modificato la versione delle API (Application programming interface), ossia dell’interfaccia del protocollo creato, su cui le varie app nazionali come detto dovranno appoggiarsi. Tali specifiche innovazioni sono il frutto non solo della collaborazione bilaterale intercorsa fra Apple e Google, ma anche della interazione tra queste due grandi aziende e i singoli governi, autorità sanitarie e centri di ricerca che si occupano dello sviluppo delle app per il tracciamento. Preme evidenziare come le stesse sia innovazioni improntate sempre più al rispetto dell’importante principio della privacy by design di cui all’art. 25 del GDPR.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Sempre in tale ottica, nella versione definitiva delle API, ad esempio, i dati trasmessi tramite Bluetooth saranno criptati, in modo da escludere anche solo la possibilità di risalire all’identità del soggetto proprietario del singolo dispositivo. In base alla stessa logica, le chiavi di tracciamento sono inoltre generate in maniera totalmente casuale limitando così la possibilità di una ricostruzione dell’origine degli identificativi. Inoltre, viene modificato anche l’algoritmo crittografico utilizzato, cosicché AES, prenderà il posto di HMAC. Infatti, molti dispositivi possono far girare l’algoritmo AES a livello hardware anziché software, con un notevole risparmio di energia in modo che il sistema di contact tracing di Apple e Google venga supportato in termini di durata della batteria dei cellulari. Varia, infine, la modalità in cui sarà memorizzata la “vicinanza” ad un soggetto che ha contratto il virus. I tempi di vicinanza saranno distinti in periodi di 5 minuti ciascuno e non verrà in alcun modo registrato un contatto superiore alla mezz’ora.

Il panorama europeo: gli opposti orientamenti sul tipo di protocollo da utilizzare a livello nazionale da parte degli Stati membri

Abbiamo visto come l’Italia, e aggiungiamo da ultimo la Germania, abbiano in sostanza fatto un passo in dietro e dunque ripensato al modello da utilizzare per quanto attiene la app di contact tracing, optando per una soluzione decentralizzata sulla scia del protocollo nato dalla collaborazione tra Apple e Google, basato appunto su di un sistema di tipo decentralizzato. Così, del pari, si sono mossi anche Paesi come come Austria, Svizzera ed Estonia.

Invece, in Francia, ma anche nel Regno Unito, si registra un orientamento di segno opposto. Detti Paesi hanno infatti adottato un sistema di tipo centralizzato.

In particolare, la app di contact traning francese si prevede possa funzionare nel seguente modo. Nell’ipotesi in cui l’utente risulti positivo al virus, la app trasmette al server la lista dei codici di identificazione temporanei dei soggetti incrociati nell’ultimo periodo di tempo (circa due settimane). In tal modo, nel server si troverà pertanto una lista di soggetti di cui si è registrata la “vicinanza” al virus. Gli identificativi stanno sul server perché è il server che li ha generati inizialmente e inviati ai dispositivi. Dunque il server centrale ha un archivio con tutti gli identificativi associati agli utenti della app. Il server, infine, effettuerà la valutazione in merito ai soggetti da avvisare.

Conclusioni

Alla luce della disamina delle caratteristiche principali dei due sistemi, sembrerebbe corretta la conclusione secondo cui il protocollo centralizzato sia l’opzione fatta propria da quei governi che desiderano il predominio sul controllo autonomo dei dati e che si mostrano favorevoli all’accentramento dei dati stessi su un server. Il sistema predetto non privilegia assolutamente la tutela della privacy, tanto che gli utenti, da un lato, dovranno credere a quanto riferito da coloro che saranno a capo dei server, dall’altro, verranno esposti al pericolo di eventuali attacchi esterni sui propri dati conservati sul server.

Come sopra descritto, nel sistema decentralizzato, scelto anche dal Governo italiano, sulle orme dell’interfaccia nata dalla collaborazione tra Apple e Google, protagonista principale non sarà il server, come nel sistema centralizzato, bensì il cellulare degli utenti da cui partiranno i codici identificativi. Attraverso una apposita procedura i cellulari potranno conoscere i codici dei telefoni delle persone che nel frattempo hanno scoperto di essere contagiate. Se uno di quei numeri corrisponde ad uno dei codici che il soggetto ha sul proprio dispositivo, allora significa che vi è stato un contatto o esposizione a rischio contagio. A questo punto riceviamo un messaggio e sarà rimessa alla responsabilizzazione di ogni cittadino attivarsi seguendo in via precauzionale le regole dell’isolamento.

M
Marco Martorana
avvocato
Argomenti trattati

Approfondimenti

C
coronavirus
G
GDPR
S
sicurezza

Articolo 1 di 5