Circolano voci che per chi non scaricherà la app Immuni potrebbero aumentare le limitazioni, ma la realtà è che prima bisognerà essere rassicurati riguardo la tutela dei dati personali e proprio in materia di privacy è stato un weekend ricco di tensioni e colpi di scena a Bruxelles.
Un protocollo standard infatti, validato da giuristi, crittografi, matematici e informatici, conforme al GDPR dell’Unione europea, esiste già ed ha un nome: DP-3T. Porta la firma di un gruppo di sette, tra cui uno dei guru del Diritto Digitale, Michael Veale.
Ma proprio questo 16 aprile, mentre il governo italiano, per mano del commissario speciale Domenico Arcuri, si apprestava a firmare celermente l’ordinanza per contrattualizzare con la società Bending Spoons S.p.A., titolare di questa applicazione, accadeva che il DP-3T veniva rimosso dal sito dell’organizzazione Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT, con sede in Svizzera), di cui la sopra citata realtà milanese fa parte e che per questa credenziale era stata data per vincente del fulmineo bando nazionale di fine marzo.
Ci vuole un po’ di concentrazione, ora. Ma la questione dell’Immuni la merita tutta.
Anche l’intero team del DP-3T infatti aveva aderito, i primi di aprile, all’allora neo-nato consorzio PEPP-PT, che era sorto per riunire le menti e offrire piena attuazione delle normative della legge sulla privacy ma quest’intento è sembrato barcollare tanto che una serie di autorità ed istituzioni hanno cominciato a dare forfait.
Il protocollo standard DP-3T è di dominio pubblico insieme alle sue specifiche tecniche, facilmente scaricabile da chiunque sul web a questo link, e il suo funzionamento viene persino spiegato in una sintetica veste grafica disponibile in più lingue. Tale il presupposto del suo rigore in materia di privacy: “La natura globale di questa pandemia comporta il fatto che attraversa confini e giurisdizioni con diversi livelli di garanzia dei diritti fondamentali o in tempi in cui molti governi operano secondo regole di eccezione. E’ così che il team DP-T3 ha presentato un sistema con un forte supporto matematico decentralizzato, rifiutando con forza i progetti centralizzati, con componenti in cui vi è un singolo attore, quali un server o uno stato, perchè questo può imparare molto sugli individui e sulle comunità e perchè se attaccati, compromessi o riprogrammati, possono arrecare gravi danni”.
Ma ecco il colpo di scena: i leader del PEPP-PT invece non intendono porre ostacoli all’uso di una modalità centralizzata: “Sosteniamo approcci centralizzati e decentralizzati e ogni paese sceglie quale sia adatto alla propria legislazione”. Ma tale dichiarazione solleva il disaccordo dei massimi esperti tanto da venire rimossa.
Il PEPP-PT fa un altro tentativo: pubblica il proprio standard alternativo al DP-3T. Ma questo subisce forti critiche perchè lacunoso, non rispecchia appieno il GDPR tanto da essere ritirato. Il danno ormai è fatto e ne derivano conseguenze.
Sabato 18 aprile. Alcuni prestigiosi sponsor si ritirano dal PEPP-PT, ovvero l’ETH Zürich e l’EPFL, sbrigandosi a togliere i propri loghi. Li segue anche l’Helmholtz Center for Information Security (CISPA) che lo comunica anche con un tweet del Professor Cas Cremers. E ai ritiri tedeschi si unisce KU Leuven, potenza della ricerca sulla privacy tecnica belga.
Domenica 19 aprile. La fondazione italiana ISI esce dal PEPP-PT insieme all’epidemiologo Ciro Cattuto che twitta :“PEPP-PT ha svolto un ruolo chiave nel plasmare il discorso pubblico sulla ricerca di contatti. Tuttavia, le ambiguità sulla governance e la comunicazione sollevano preoccupazioni, e @ISI_Fondazione ha deciso di ritirarsi. La crisi sanitaria in corso richiede i più alti standard di apertura e trasparenza”.
Nel giro di pochi giorni la popolarità del PEPP-PT precipita. O meglio rimane elevata sui media tradizionali ma sui socials si scatena la bufera, post e tweets degli esperti in materia si schierano apertamente con l’ashtag DP-3T ribadendo che un protocollo c’è e quindi di utilizzarlo: “Poche settimane fa, Michael Veale, con i suoi colleghi di 7 istituzioni europee ha creato il sistema decentralizzato di tracciamento di prossimità per la conservazione della privacy chiamato DP-3T”.
Tale sistema DP-3T è l’unico che ha tutte le carte in regola per impedire attacchi, mercificazione o appropiazione indesirata di informazioni (per intenderci anche riguardo conti in banca, o documenti personali). Nella sua specifica tecnica fa preciso riferimento ai diversi punti del GDPR tanto che voci dalla comunità scientifica ne auspicano fin da subito un uso globale e che Google e Apple hanno già comunicato la loro intenzioni di adottarlo.
Sul sito del DP-3T si legge: “Un tale design si basa su un forte supporto matematicamente dimostrabile per gli obiettivi di privacy e protezione dei dati, riduce al minimo i dati richiesti a quanto necessario per i compiti previsti e impedisce il function creep, ad esempio per le forze dell’ordine o a fini di intelligence, limitando rigorosamente il modo in cui il sistema può essere riadattato con metodi crittografici”. Inoltre offre garanzia di smantellamento: “Il sistema si smantellerà organicamente dopo la fine dell’epidemia”.
Ma è lo stesso Michael Veale che mette in guardia e rincara la dose con un tweet: “Non ci si può fidare dei governi con i dati dei social network provenienti da Bluetooth”.
Infine se del DP-3T sappiamo già tutto, impedisce che un trojan entri in possesso di dati personali, il suo codice sorgente è open source ed è fruibile a tutti, anche da governi, è giò scaricabile sul web ed è concepito da un team di specialisti di varie nazionalità e super partes, dell’applicazione Immuni sappiamo ancora troppo poco.
Visto che il tracing code Immuni ci dovrebbe accompagnare nell’entrata alla fase 2, ovvero l’agognata ripartenza, l’attesa della pubblicazione delle sue caratteristiche tecniche non dovrebbe farsi attendere e, dato che uno standard esiste già, basterà verificare con le specifche di questo per comprendere se scegliere o meno di scaricarla.
Di certo se Bending Spoons non farà un lavoro a regola d’arte, gli hacker in poco tempo ce lo faranno sapere.
