Abbiamo letto molti pareri di esperti e consultato professionisti del campo della Sicurezza IT (in particolare, Maurizio Lucchini ha esaminato il codice open source dell’app Immuni su Android e l’ha analizzato riga per riga) per arrivare alle nostre conclusioni, con ragionevole certezza, anche a prova di paranoici.
ScenariDigitali.info sostiene che si può scaricare l’app Immuni e tenere il Bluetooth sempre acceso, per non interrompere la catena necessaria al contact-tracing, e che è possibile esercitare il proprio dovere civico di cittadini al tempo del Covid-19 senza mettere a repentaglio la sicurezza IT.
La querelle GPS e Bluetooth spiegata a non tecnici, in 2 twit:
sei vegano, vai alla tavola calda, l’unico piatto disponibile (gli altri hanno carne) è un’insalata con assieme pomodori e mozzarella.
ordini quella e, da buon vegano, non mangi la mozzarella.
1/2
— Stefano Quintarelli (@quinta) June 5, 2020
Conosciamo tutti le problematiche relative al Bluetooth, ma la scelta effettuata dal team di Bending Spoons è effettivamente la meno invasiva sul fronte privacy di quanto si tema. Un po’ più delicato il discorso sulla tecnologia Bluetooth (un autentico gruviera), ma con le dovute accortezze si può usare l’app di contact-tracing italiana senza timore.
Un utente può tenere il Bluetooth attivo, magari verificando i dispositivi a cui è connesso prima di effettuare operazioni delicate. Ma è uno scrupolo in più. In fondo, come per le regole sanitarie in vigore, basta mantenere le distanze fisiche: ad oltre 2-3 metri di distanza dagli sconosciuti, l’utente medio può ritenersi sufficientemente tutelato, sia da punto di vista sanitario che sotto il profilo della cyber-sicurezza dei propri device. Comunque è buona regola sempre fare e-commerce e home banking solo da connessione sicura (non da WiFi pubblico, ma da hotspot protetto dalla privacy o usando i dati) e magari, ancora meglio, effettuare le operazioni delicate fra le proprie mura di casa, lontano da dispositivi di sconosciuti. Altra buona regola è mantenere sempre aggiornato il sistema operativo (OS) del proprio dispositivo: avere device con OS vecchi rappresenta sempre un grave rischio, a prescindere dal download dell’app in questione.
Ora affrontiamo il caso dell’utente che gestisce milioni di euro o che sia effettivamente paranoico. Può comunque esercitare il suo dovere civico, tirando fuori dal cassetto un vecchio smartphone (dall’iPhone 6S in poi, aggiornato con iOS 13 per quanto riguarda i dispositivi Apple – il 6S è comunque in commercio anche ricondizionato a meno di 200 euro – o dispositivi Android, dalla versione 6 in su) oppure acquistandone uno nuovo dedicato solo a Immuni. (Più complessa è la questione riguardante Huawei e Honor, a causa dell’impossibilità di accedere al Google Play Store).
Chi teme cyber-attacchi, può disinstallare tutte le app dal vecchio device, scaricaresolo l’app Immuni e disattivare l’uso di dati e l’accesso WiFi, mantenendo acceso solo il Bluetooth. Analogamente per chi compra un nuovo device, dedicato solo ad Immuni.
In questo modo, lo smartphone sicuro, col Bluetooth spento, può essere usato per le attività quotidiane. Invece, il secondo smartphone con Sim nominale ad hoc rimane dedicato solo a Immuni (con Bluetooth sempre acceso). E anche il paranoico è servito: può esercitare il senso civico in totale sicurezza, due device per due funzioni. In fondo, è un buon compromesso anche per chi teme cyber-attacchi (improbabili, ma pur sempre possibili) senza spese eccessive e per il tempo della pandemia. Del resto, è come indossare la mascherina o usare il gel: 33 mila morti ci impongono misure di sicurezza e un po’ di senso civico in più. Senza troppi sacrifici, ma con le dovute accortezze, a seconda del proprio grado di paranoia o alle proprie esigenze di cyber-sicurezza.
E poi ricordiamoci: per accedere all’home banking, MAI usare connessioni insicure: con o senza Bluetooth acceso, per usare le app è doveroso connettersi al WiFi casalingo (protetto da password) o accedere con i propri dati. Mai dal WiFi pubblico o non sicuro.
L’importante è che, a fine pandemia, tutti i dati (anonimi) raccolti, vengano cancellati come promesso e che il Covid-19 non diventi una scusa per il tecno-controllo. Ma, al momento, questo pericolo sembra scongiurato. E l’approccio open source è sinonimo di trasparenza.
Attualmente il vero richio è che l’app Immuni non si integri con il sistema Regionale di contact tracing e possa diventare un appesantimento tecnico/amministrativo per le strutture sanitarie, senza peraltro raggiungere il suo obiettivo di contribuire al contenimento della pandemia in atto. Ma questo è più un problema di Back End.
