Cookie free: nessun "biscotto" per spiare i lettori. Sono in corso di eliminazione i link di facebook, che tracciano chi clicca su "mi piace" o "condividi"

Android e iOS, quali garanzie per l'anti-Covid-19?

Privacy e sicurezza - Andrea Gelpi - 14 aprile 2020

Vediamo a grandi linee come funzionerà il servizio e quali sono le garanzie per il completo anonimato di tutte le persone coinvolte.
Il tracciamento sarà realizzato con l'uso della tecnologia Bluetooth, nella versione a bassa potenza che non sfrutta troppo le batterie dei dispositivi e funziona in un raggio di pochi metri. Il punto di partenza è che, quando un dispositivo Bluetooth si collega a un altro, scambia delle informazioni che potranno essere utili per trovare una persona che sia stata a stretto contatto con un'altra risultata positiva al contagio.

Perché il Bluetooth? Non bastano i soliti sistemi di tracciamento come il GPS, le celle telefoniche e il Wi-Fi? 
La risposta è semplice. Questi sistemi hanno una precisione che fa fatica ad andare sotto i cinque metri e nei luoghi chiusi spesso non funzionano. Il Bluetooth invece lavora bene proprio sotto i dieci metri e più si è vicini, meglio è. E' generato dal dispositivo stesso e non da antenne o satelliti a volte molto lontani o assenti del tutto (mancanza di copertura). E' quindi lo strumento giusto per sapere se qualcuno si è avvicinato a qualcun altro a meno di pochi metri.

Questo scambio di dati pone però grossi problemi di sicurezza e riservatezza, proprio perché può rivelare tutte le persone con cui qualcuno è stato in contatto ravvicinato. Tuttavia, da una prima lettura di quanto messo a disposizione, sembra che la cosa sia stata ben studiata. Nel comunicato le due società ricordano più volte che lo sforzo fatto è appunto quello di impedire di risalire a un dispositivo specifico e quindi all'identità di chi lo usa.

In sostanza verranno scambiate solo delle chiavi crittografiche, rigenerate da ciascun dispositivo ogni 15 minuti, per ridurre la possibilità di tracciamento. Si ribadisce che nessun altro dato verrà fatto uscire dal dispositivo. Tutte le operazioni di verifica verranno eseguite solo all'interno del dispositivo dell'utente e non su server di terzi, sempre per garantire maggiori sicurezza e riservatezza.

Più in dettaglio: all'attivazione del servizio ogni dispositivo genera  una chiave casuale che rimane memorizzata al suo interno. Questa chiave viene usata ogni 24 ore per generarne una giornaliera. Quest'ultima serve per generare ogni 15 minuti una terza chiave. E' quest'ultima, e solo questa, che viene scambiata con gli altri dispositivi via bluetooth. La terza chiave viene cambiata spesso per impedire di poter tracciare nel tempo i contatti di un singolo dispositivo.

Le chiavi ricevute vengono memorizzate nel dispositivo e lì rimangono per un certo tempo. Non vengono estratte dal dispositivo e inviate a terzi. Poi vengono cancellate. Nel momento in cui una persona risulta positiva al virus ha la possibilità (ma non è obbligata, si dice che ha la libertà di decidere se farlo o meno) di caricare le sue chiavi giornaliere (e solo quelle) degli ultimi 15 giorni su un server in cloud.
Ogni dispositivo scarica queste chiavi frequentemente e le usa per ricreare e confrontare le chiavi memorizzate nella sua memoria. Se viene trovata una chiave di un utente contagiato, l'utente di quel dispositivo riceve un avviso. In questo modo vengono informati tutti gli utenti che sono entrati in contatto con il contagiato.

Come si vede, ciò che viene scambiato fra i dispositivi e con i server in cloud sono solo chiavi derivate da altre chiavi. In questo modo diventa complicato risalire a quale dispositivo fanno riferimento.
Anche il dispositivo che controlla le chiavi ricevute può solo sapere se, negli ultimi quindici giorni, è stato in contatto con qualcuno che è risultato positivo (ma non può sapere chi).

Per far funzionare questo sistema è necessario creare delle app ad hoc che, si può supporre, invieranno la chiave quando c'è stato un contatto di diversi secondi e riceveranno la segnalazione che si è stati in contatto con una persona ora positiva.
Sembra di capire che il servizio in fase di realizzazione sarà disponibile sotto forma di aggiornamento del sistema operativo dei nostri telefonini, entro poche settimane. Finché gli utenti non avranno aggiornato i loro apparecchi (e molti sono quelli che non lo fanno spesso), il sistema non sarà disponibile. Poi si dovrà installare l'app che governa lo scambio di dati. Tutto su base volontaria.

Dalle informazioni disponibili si capisce che questo sistema viene creato per l'emergenza attuale, ma sarà disponibile per impieghi futuri, che potrebbero essere diversi. Ci potranno essere utilizzi che oggi nemmeno immaginiamo. Ma sembra chiaro che questi utilizzi potrebbero avere ripercussioni sulle libertà e riservatezza delle persone.
Si dovrà quindi sorvegliare che non compaiano in futuro altre app che, oltre ai dati previsti in questa emergenza, prelevino ulteriori informazioni per scopi diversi.

Non è un'eventualità remota, come vediamo ormai da diversi anni, nei quali tecnologie create per altri scopi servono per violare la vita privata di ciascuno di noi.

Vedi anche Contact tracing via Bluetooth, attenzione alla sicurezza