Alla vigilia di un nuovo lockdown, l’Italia si scopre impreparata ad affrontare la seconda ondata della pandemia da Covid-19. Che fine ha fatto l’app di contact tracing voluta dal Governo e che avrebbe dovuto aiutarci a monitorare la diffusione del virus? A cinque mesi dalla sua adozione è stata scaricata da quasi 10 milioni di italiani, ma ha effettivamente funzionato?

Queste – e molte altre – domande sono al centro dell’inchiesta condotta nell’ultima puntata di Report del 9 novembre. In verità, una parte delle risposte è stata fornita dallo stesso MID (Ministero dell’Innovazione Tecnologica) già prima della messa in onda.

LEGGI qui le risposte del Ministero

La scoperta dei ricercatori del Trinity college di Dublino

Una domanda  in particolare fa riferimento ad uno studio condotto dai ricercatori del Trinity college di Dublino a proposito del funzionamento dell’infrastruttura tecnologica costruita da Google ed Apple, che permette alle App di tracciamento l’invio delle notifiche di esposizione.
Da questo studio è emerso che le app sviluppate sulla base delle API di Google – tra cui anche Immuni – inviano dati personali anche sensibili ai server di Google sulla base del funzionamento del Google Play Services, un componente fondamentale per tutti i telefoni Android.

Report ha confezionato un extra del servizio, dedicato proprio ai risultati emersi dallo studio, riportando la testimonianza di Stephen Farrel, ricercatore informatico del Trinity College di Dublino, insieme a quella dell’Avv. Andrea Lisi, presidente di ANORC Professioni, che ha sollevato la questione in diverse occasioni precedenti, interfacciandosi anche direttamente con lo stesso MID.

Vi presentiamo l’estratto dell’intervista:

Testimonianza di Stephen Farrel, ricercatore informatico del Trinity College di Dublino

Il sistema di notifiche di esposizione di Google è stato implementato dentro il Google Play services, un componente essenziale nei telefoni Android che permette l’aggiornamento delle App. A nostro avviso è piuttosto ostile nei confronti della privacy: ogni 6 ore si collega ai server di Google e invia dati come il nr. di telefono, il nr. seriale della sim, il codice IMEI del telefono e altre informazioni ricavate dalla posizione e dal wifi.

Ogni 6 ore?

Non solo, ogni 20 minuti c’è un altro interscambio con Google, di nuovo vengono trasmessi tutti questi dati in modo invasivo.

Che tipo di dati vengono raccolti?

Non siamo riusciti ad analizzare tutto il traffico tra Google e il Google Play services, perché non è un sistema open source. Abbiamo notato che vengono trasferiti dei codici legati al nostro cellulare e all’utilizzo che ne facciamo, che non sono anonimi e durano nel tempo.

Sembra un paradosso: i governi hanno imposto delle limitazioni alle singole app nazionali per preservare la privacy e poi lasciano a Google la possibilità di raccogliere tutti questi dati sensibili?

Lo è, ma voglio essere comprensivo: a marzo eravamo nel pieno di una pandemia globale e tutti avevano fretta di trovare una soluzione tecnologica. I colleghi che hanno lavorato allo sviluppo di queste App erano tutti sotto pressione.

Testimonianza dell’Avv. Andrea Lisi, presidente di ANORC Professioni

Era quello che mancava ai grandi player: stiamo passando alla fase 2 e probabilmente non ci sarà neanche più bisogno di Immuni e delle altre app di tracing a livello internazionale, perché faranno tutto Google e Apple.

Che controllo potremo avere su un app gestita da due compagnie private, americane?

Il problema è proprio questo: capire se altri soggetti possano sfruttare quelle informazioni che ci riguardano, perché anche il dato pseudoanonimizzato può portare ad identificare determinati soggetti che appartengono a piccole comunità.
E a chi fanno gola questi dati? A società farmaceutiche, assicurazioni, datori di lavoro, poiché si tratta di dati sanitari che riguardano intere fette di popolazione, in base ai quali è possibile fare delle scelte commerciali.