venerdì 10 aprile 2020

Problematiche del tracciamento dei contatti: non dobbiamo scegliere tra privacy e salute

di Enrico Nardelli

(english version here)

Qualche giorno fa ho descritto uno degli approcci basati sulla tecnologia digitale che sta venendo sviluppato per combattere il COVID-19, il DP-3T, sottolineando alcuni elementi che dovrebbero essere migliorati a tutela della privacy. Il gruppo di ricercatori che l'ha elaborato ha rilasciato nuova documentazione e ne darò conto a breve in un successivo post.

Sviluppo invece qui alcune riflessioni più generali sull'impatto delle scelte tecnologiche relative all'uso di soluzioni digitali per la gestione della situazione di emergenza sanitaria e l'eventuale ritorno alla normalità.

La Commissione Europea ha pubblicato una raccomandazione in proposito che, secondo me, non è sufficientemente chiara in termini di requisiti di sicurezza. Viene infatti richiamata la necessità di adeguate misure per garantire la sicurezza dei dati raccolti:
  • (p.6) efficaci misure di sicurezza dei dati e di cybersecurity sono essenziali per proteggere la disponibilità, autenticità, integrità e confidenzialità dei dati. («Effective cybersecurity and data security measures are essential to protect the availability, authenticity integrity and confidentiality of data»);
  • (p.10) efficaci requisiti di cybersecurity per proteggere la disponibilità, autenticità, integrità e confidenzialità dei dati («effective cybersecurity requirements to protect the availability, authenticity integrity, and confidentiality of data»);
ma non si dice niente sulla necessità di garantire la sicurezza "di base" delle tecnologie che verrano usate.

Qual è il punto? È che il tracciamento dei contatti mediante app installate sullo smartphone, per assicurare precisione e privacy, deve essere basato su soluzioni decentralizzate in cui gli smartphone si scambiano localmente delle informazioni opportunamente anonimizzate.

Ma l'uso di questo approccio richiede, per poter essere attuato durante l'attuale emergenza sanitaria, di usare i soli meccanismi per effettuare tali comunicazioni locali che sono installati al momento su pressoché tutti gli smartphone: il WiFi e il Bluetooth.

Quali sono i problemi? Il WiFi viene, da molti anni ormai, usato in modalità "infrastructure" per connetterci localmente a un "hot spot": la sua sicurezza è stata ampiamente testata ed appare tecnologicamente robusta purché, come tutte le soluzioni tecnologiche, non venga vanificata da mancanze umane tipo l'usare una password debole per proteggerne l'accesso. La modalità "ad hoc", con cui invece esso dovrebbe essere usato per far interagire due smartphone in prossimità, è stata utilizzata - e quindi verificata rispetto alla sicurezza - ad un livello enormemente inferiore. Non sembra quindi offrire, in pratica, garanzie - per quando riguarda la robustezza nei confronti di attacchi - significativamente superiori a quelle del Bluetooth.

Il Bluetooth è fortemente vulnerabile, come da molto tempo è noto. Il suo utilizzo in sistemi "locali" quali la casa e l'auto è tollerabile perché è un segnale che negli smartphone (soprattutto quando usato nella versione Low Energy, BLE), diversamente dal WiFi, a distanza di qualche metro è praticamente scomparso. Infatti consuma molto di meno la batteria. [Ringrazio Francesco Palmieri per un'illuminante discussione su questi temi.]

Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. Lo stesso accadrebbe nel mondo digitale, con la differenze che qui tutto accade senza la nostra percezione. I dispositivi di tutti si troverebbero sottoposti a scansioni a tappeto da parte dei "cattivi" che, ormai, non hanno bisogno di essere hacker di professione, dal momento che le cassette degli attrezzi per scardinare le "case digitali" si trovano sul mercato a prezzi abbordabili.

Una volta entrati, il problema non sarebbe più tanto quello relativo ai dati dell'app di tracciamento dei contatti ma quello, più grave, di avere un intruso ostile all'interno di ciò che è ormai strettamente integrato nella nostra esistenza, lo smartphone, depositario di tutti i nostri segreti, personali e professionali.

Non mi pare di aver visto nelle discussioni in corso un'analisi di questi aspetti. Si assume che le soluzioni digitali siano comunque utili. Ma come ha osservato il Garante della Privacy nell'audizione dell'8 aprile presso la Camera dei Deputati a proposito delle applicazioni per il tracciamento dei contatti: «In primo luogo, la valutazione dell’efficacia attesa dalla misura non può prescindere da un’analisi inerente le azioni complementari e, dunque, la fase - che dovrebbe ragionevolmente conseguirne - dell’accertamento sanitario dei soggetti individuati, tramite data tracing, quali potenziali contagiati.
    Si possono raccogliere, infatti, tutti i dati possibili sui potenziali portatori (sani o meno che siano), ma se poi non si hanno le risorse (e persino i reagenti!) per accertarne l’effettiva positività, non si va molto lontano
(Il grassetto è mio).

Sarebbe quindi auspicabile che questi aspetti di sicurezza relativi a Bluetooth (o a qualunque altra tecnologia sulla quale si vogliano basare le soluzioni) siano esplicitamente analizzati nelle valutazioni di opportunità sull'utilizzo di un sistema di tracciamento digitale dei contatti. Lo stesso Garante della Privacy ha osservato è «problematica l'imposizione di un obbligo generalizzato di uso di tali sistemi» e vanno quindi usati «sistemi fondati sulla volontaria adesione dei singoli». Ha aggiunto che «l’efficacia diagnostica di tale soluzione dipende, in ogni caso, dal grado di adesione che essa incontra tra i cittadini» e che «la percentuale minima per l’efficacia è stimata nell’ordine del 60%» Per il nostro Paese (ma in generale, penso, per ogni paese europeo) sarà quindi necessaria «un’adeguata sensibilizzazione sull’opportunità di ricorrere a tale tecnica».

A me sembra lampante che in presenza dei problemi di sicurezza che ho sopra discusso sarà difficile convincere molte persone.

Le numerose prese di posizioni che vi sono state nei giorni passati a livello internazionale da parte delle associazioni di difesa dei diritti civili sull'utilizzo delle tecnologie digitale per la gestione di questa emergenza sanitaria hanno TUTTE sottolineato l'importanza di effettuare un'accurata valutazione costi-benefici complessiva della loro adozione. Ecco un elenco non esaustivo di tali documenti:

Spero davvero che i governi democratici si rendano conto che dover scegliere tra la privacy e la salute, come ha scritto Yuval Noah Harai, è una questione mal posta.

1 commento:

  1. Aggiungo un commento elaborato in risposta ad un'osservazione di Stefano Quintarelli (che ringrazio).

    Appoggiare, per questa situazione di emergenza sanitaria, una soluzione di massa (che ha comunque bisogno per funzionare di tutta di una serie di misure di contorno - come hanno osservato lo stesso Garante e le varie organizzazioni internazionali citate alla fine del mio post) su una tecnologia che ha dimostrato nel corso degli anni di non avere le spalle robuste rispetto alla sicurezza mi sembra una scelta che, anche se "tecnicamente" interessante, sia da rigettare dal punto di vista sociale e politico.

    Per quanto riguarda Bluetooth quella descritta qua
    https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/ è una vulnerabilità che permette ad un attaccante di entrare, installare malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC address per ottenere l'accesso al dispositivo

    Certo, è stata sistemata con una release di Android di Febbraio 2020, ma vogliamo davvero poggiare la privacy dei cittadini sulla certezza (!?) che abbiano tutti aggiornato il proprio smartphone?

    RispondiElimina

Sono pubblicati solo i commenti che rispettano le norme di legge, le regole della buona educazione e sono attinenti agli argomenti trattati: siamo aperti alla discussione, non alla polemica.