ROMA – Rischi di infondato allarmismo, falsi positivi, limitazioni inopportune della libertà di movimento (un possibile nuovo lockdown), violazioni della privacy e data breach: “su Immuni ci sono una serie di considerazioni che non si stanno facendo mentre si invita la popolazione in maniera spensierata ad utilizzare questo applicativo che è ancora insicuro”. Il presidente di ANORC Professioni ed esperto di Diritto dell’Informatica, avvocato Andrea Lisi, il giorno successivo alla richiesta di due deputati Fdi di un’interrogazione parlamentare al ministro Roberto Speranza in merito all’inadempienza alle 12 prescrizioni vincolanti del Garante della Privacy, torna a descrivere, parlando con la Dire, gli scenari che un utilizzo esteso dell’app Immuni potrebbe produrre.
“Effettivamente- spiega Lisi- con quel provvedimento del primo giugno il Garante autorizzava l’utilizzo dell’app, ma in una fase sperimentale, quindi soltanto in alcune regioni, e purché si superassero determinati problemi. Il Garante addirittura in 12 punti aveva evidenziato delle problematiche serie nell’utilizzo dell’app: da dati inesatti a problemi di sicurezza, alla configurazione dei ruoli. Anche il Garante ha sottolineato che non si comprendeva bene il ruolo di Bending Spoons nell’utilizzo dell’app e il ruolo di Google e Apple. C’erano molti lati oscuri che aveva sottolineato, concedendo 30 giorni al ministero della Salute perché risolvesse queste problematiche e lanciasse eventualmente l’app sul territorio nazionale. Questi 30 giorni sono passati e il ministero della Salute e il governo continuano a pubblicizzare l’app senza rispondere e senza confermare che quelle serie problematiche siano state risolte. La mia sensazione è che oggi siamo in una sorta di laboratorio di ricerca, in cui si tenta di capire se questa app funziona oppure no e le cavie siamo noi cittadini che veniamo invitati-in maniera forse esagerata- ad utilizzare un applicativo che è ancora in fase sperimentale”.
– Uno dei rischi è quello di ricevere degli alert basati su informazioni imprecise?
“Il Garante tra i vari doveri di trasparenza che dovrebbero essere garantiti in questa fase sperimentale dell’app- risponde Lisi- aveva sottolineato proprio il rischio di non informare correttamente i cittadini sugli alert ricevuti. Il problema grosso è che questi alert oggi secondo anche circolari del ministero della Salute dovrebbero comportare di chiudersi in casa e chiedere un tampone (e sappiamo tutti dei limiti che ci sono oggi per ottenerlo). Il dato inesatto è generato dal fatto che stiamo utilizzando una tecnologia che non è perfetta, forse potrebbe essere perfettibile, cioè il Bluetooth, non in grado di tracciare con esattezza la distanza specifica di 2 metri che ci deve essere tra le persone. Potrebbe indicare che c’è una vicinanza con un positivo, ma potrebbe trattarsi di un soggetto che sta dietro una parete o a 10 metri di distanza, magari con la mascherina. Quindi questa tecnologia regala dati potenzialmente inesatti, tantissimi, perché non fa differenze. E tutti questi dati inesatti genereranno degli alert nel momento in cui una sola persona dichiara di essere positiva. Tutto questo andrebbe controllato. Oggi non è gestito né gestibile e il rischio grosso è che se tutti utilizzeranno questa app si arriverà inevitabilmente a un altro lockdown”.
– C’è anche perplessità riguardo al flusso e alla conservazione dei dati personali?
“Io mi rifaccio sempre al brillante e approfondito parere del Garante sulla conservazione di questi dati, in merito a tempistiche e livelli di approfondimento. Si tratta di dati soltanto parzialmente pseudonimizzati e, in alcuni casi, grazie all’utilizzo dell’intelligenza artificiale da parte di soggetti il cui ruolo non è chiaro-lo dice espressamente il Garante- potrebbero essere associati ad altri dati e rivelare l’identità del soggetto. Specialmente in zone dove la densità della popolazione non è elevata. Tutte queste sono paure non espresse da complottisti, ma da esperti della protezione dei dati, che hanno analizzato la Privacy impact assessment presentata dal Ministero della Sanità. La stessa ‘Pia’ andrebbe rivista in seguito ai bug rilevati in questo periodo: vari esperti hanno rilevato degli errori di configurazione dell’app e quindi degli scenari possibili di data breach con un utilizzo criminale dei dati. Ci sono un insieme di considerazioni che non si stanno facendo mentre si invita la popolazione in maniera spensierata ad utilizzare questo applicativo che è ancora insicuro”.
– Un altro aspetto recentemente emerso è che l’app Immuni può essere considerata un dispositivo medicale. In tal caso cosa cambierebbe?
“Ci sono norme che prevedono per questo tipo di software la configurazione come dispositivi medici. La conseguenza è che devono essere certificati secondo gli standard europei e ricevere il marchio CE. Questo l’app Immuni non l’ha fatto e il paradosso è che proprio chi deve sorvegliare, ossia il ministero della Salute, sia sopra il Garante privacy e la normativa comunitaria perché dovrebbe controllare se stesso. Mi domando: l’app Immuni è un giochino perché l’ha confezionata a Bending Spoons -che confeziona app ludiche- oppure è un dispositivo medico? Se lo è, deve essere gestita con attenzione soprattutto per quanto riguarda la protezione dei dati personali. E spero che il Garante intervenga oggi chiedendo il perché entro trenta giorni non abbia ricevuto risposte sul suo provvedimento e dall’altra parte il ministero della Salute deve chiarire perché l’app Immuni non è considerata un dispositivo medico. Se invece è un giochino allora lo scarichi chi non è impegnato sul lavoro. A mio avviso, il Garante deve far sentire autorevolmente la sua voce e pretendere chiarimenti. E senz’altro il Ministero della Sanità effettuare doverose verifiche sulla natura, sull’utilità e sulla sicurezza di questa soluzione”. AGENZIA DIRE