Con la pubblicazione dei dettagli tecnici, molti dei dubbi sull'app Immuni sembrano chiariti. Molti, non tutti. Perché se è vero che anche tra le voci più critiche c'è chi ha abbassato i toni, riconoscendo al ministero dell'Innovazione sufficiente trasparenza in questa fase, restano le perplessità del Comitato parlamentare per la sicurezza della Repubblica (Copasir) che nella sua relazione ha evidenziato dubbi di natura procedurale e giuridica.
Cosa è cambiato? Giovedì Luca Ferrari, uno dei fondatori di Bending Spoons, la società scelta dal ministero per la creazione dell'app di Contact tracing, ha pubblicato su Github le specifiche tecniche dell'applicazione. Tutte quelle disponibili al momento, prima cioè che Google e Apple si decidano a pubblicare il software d'aggiornamento degli smartphone che consentirà a dispositivi con sistemi operativi diversi di comunicare tramite Bluetooth.
L'approccio 'open' deciso dal ministero dell'Innovazione
La scelta di pubblicare tutto su Github è di per sè un fatto importante. Github è una piattaforma ,un po' social, un po' cassetto pubblico di progetti, in cui gli sviluppatori di tutto il mondo possono confrontarsi sui documenti, suggerire integrazioni, modifiche, in modalità open source, in modo quindi aperto e condiviso.
Aver pubblicato i documenti su Github per gli sviluppatori è in qualche modo garanzia che il governo, la task force e la stessa Bending Spoons, hanno adottato un approccio aperto, 'open', mettendo a disposizione della comunità degli sviluppatori il progetto Immuni, che potranno dare i propri suggerimenti alla società e al ministero.
In secondo luogo dal documento si evince che il modello di Immuni sarà quello decentralizzato: ovvero, i codici numerici che gli smartphone si scambieranno, verranno archiviati sui dispositivi stessi e non in un server centrale. Quindi tutti i dati rimarranno cifrati nel dispositivo, che registrerà gli incontri della durata minima di cinque minuti e fino a un massimo di mezz'ora. Inoltre i dati rimarranno sullo smartphone per un massimo di 14 giorni e l'app non sarà in grado di determinare se ci sono stati più contatti tra le stesse persone nell'arco di tempo stabilito.
Dal ministero fanno sapere che la scelta opensource è "coerente con una logica di codice aperto, trasparente e collaborativo", quella adottata dal dicastero guidato da Paola Pisano in questa fase. E la comunità degli sviluppatori sembra apprezzare la scelta. "La pubblicazione di questi documenti è molto più del minimo sindacale richiesto dagli sviluppatori", commenta ad AGI Matteo Flora, esperto di sicurezza informatica e amministratore delegato di The Fool. "Manca ancora buona parte dei documenti che riguardano la sicurezza, ma aver adottato un approccio open è la cosa migliore da fare quando si deve gestire un progetto così complesso".
Cosa non è ancora pubblico. I dubbi del Copasir
Manca anche la pubblicazione del codice dell'applicazione, che sarà aperto come il resto dei dettagli tecnici alle indicazioni della comunità degli sviluppatori. Tutto comunque dovrebbe essere pronto per il 29 maggio. L'Italia è al lavoro con il resto degli stati europei per fare in modo che le app nazionali dialoghino tra loro, una delle condizioni considerate necessarie per riaprire le frontiere anche in vista della stagione turistica. Qui si apre un'altra partita perchè non tutti gli stati adotteranno il modello decentralizzato indicato da Apple e Google, scelto dal governo italiano.
Ma la partita politica su Immuni è tutt'altro che conclusa. Ieri il Copasir ha approvato all'unanimità un documento in cui si evidenziano diversi aspetti critici dell'applicazione. A partire proprio dalla sicurezza, perché, si legge nella relazione, non è da sottovalutare "il rischio tecnologico, anch'esso difficilmente mitigabile, almeno nel breve periodo, consistente in possibili attacchi di tipo informatico da parte di hacker o altri soggetti o in possibili truffe ai danni degli utilizzatori della app.
La tecnologia Bluetooth risulta infatti particolarmente vulnerabile a intrusioni i cui effetti, in questo contesto, potrebbero essere tali da diffondere allarme ingiustificato nella popolazione, ad esempio mediante l'invio di messaggi falsi o fraintendibili, relativi, inter alia, allo stato di salute o al possibile contagio dei destinatari".
Il comitato ha chiesto inoltre chiarimenti sulla procedura che seguirà l'accertamento del contagio, che ci sia un'unica soluzione nazionale che escluda possibili interpretazioni restrittive su base regionale tali da limitare lo spostamento dei cittadini e che l'adesione sia strettamente su base volontaria. Il Copasir nella relazione ha evidenziato inoltre "rischi non trascurabili sul piano geopolitico", dovuti alla possibilità che i dati raccolti possano finire nelle mani di soggetti privati non nazionali.
Preoccupazioni sono state espresse anche "per il fatto che dopo l'entrata in esercizio della App Immuni, che dovrà comunque essere preceduta da fasi di test, la Bending Spoons, secondo quanto previsto dal contratto, continuerà la sua attività di aggiornamento dell'applicazione per un periodo di sei mesi, determinando quindi una potenziale dipendenza del sistema posto in essere da tale sviluppo tecnologico, affidato anche in questo caso a una società privata". Il ministero dovrà tenere conto delle raccomandazioni del comitato nelle prossime fasi di sviluppo dell'app, la cui pubblicazione è prevista tra poco più di due settimane.