"Il Comitato ritiene di segnalare alcuni aspetti critici, che dovrebbero essere corretti, per evitare che l’efficacia della iniziativa risulti ridotta, e, soprattutto, che si possano determinare rischi connessi sia alla trasmissione dei dati dei cittadini, in ordine al rispetto della privacy e alla sicurezza dei dati personali, sia in particolare alla stessa gestione complessiva, dal punto di vista epidemiologico, dell’emergenza sanitaria". Lo sottolinea il Copasir nella relazione sui "profili di sicurezza del sistema di allerta Covid-19', la App che si sta mettendo appunto. La relazione, approvata dal Comitato nella seduta del 13 maggio scorso e sulla quale il M5s si era astenuto, è stata resa pubblica visto che ne è stata deliberata la presentazione al parlamento.
Il Comitato premette anche che "non intende entrare nel merito della scelta del Governo di predisporre uno strumento di tracciamento dei contatti sociali per prevenire i rischi derivanti dal contagio Covid-19. Scelta che del resto altri Paesi hanno effettuato, o sono in procinto di effettuare, nel quadro delle iniziative volte al contenimento dell’epidemia". La norma "prevede che il tracciamento riguarderà solo le persone risultate positive al Covid-19, ma, a tale riguardo, il Comitato ritiene che l’unico dato da dover immettere nella App dovrebbe essere un codice anonimo risultante dall’effettuazione di un tampone, escludendo quindi altre procedure che al momento non abbiano evidenza scientifica".
Non può essere poi "sottovalutato il rischio tecnologico, anch’esso difficilmente mitigabile, almeno nel breve periodo, consistente in possibili attacchi di tipo informatico da parte di hacker o altri soggetti o in possibili truffe ai danni degli utilizzatori della App". "La tecnologia Bluetooth risulta infatti particolarmente vulnerabile a intrusioni i cui effetti, in questo contesto, potrebbero essere tali da diffondere allarme ingiustificato nella popolazione, ad esempio mediante l’invio di messaggi falsi o fraintendibili, relativi, inter alia, allo stato di salute o al possibile contagio dei destinatari - continua il Copasir - In ogni caso, il fatto che il sistema non preveda la geolocalizzazione, elemento su cui il Comitato concorda, se da un lato tutela la privacy , dall’altro esclude che si possa procedere a individuare, e quindi a sanificare, determinati ambienti o zone potenzialmente infette".
Si possono "evidenziare rischi non trascurabili sul piano geopolitico, che secondo quanto emerso dalle audizioni sarebbero non mitigabili. Infatti, la definizione dettata da privati dell’architettura dell’intero sistema informatico, inclusa la App, nonché la necessità di ricorrere a soggetti privati non nazionali, per quanto da considerare affidabili, per il Cdn destinato a contenere i dati raccolti, potrebbero prestarsi a manipolazioni dei dati stessi, per finalità di diversa natura: politica, militare, sanitaria o commerciale". "Si sottolinea inoltre come la possibile alterazione dei dati potrebbe far sovrastimare o sottostimare l’entità stessa dell’epidemia - avverte il Copasir - Va inoltre evidenziato come, qualora ciò dovesse essere confermato, la soluzione di trasmettere i dati dei cittadini italiani alla Content Delivery Network pare contrastare con il contenuto dell’articolo 6, comma 5, del decreto-legge n. 28 del 30 aprile 2020, in cui si esplicita in maniera chiara che la piattaforma, di titolarità pubblica, è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla società di cui all’articolo 83, comma 15, del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133".
"Peraltro, appare quanto mai opportuno porre all’attenzione anche che, alla luce del comma 3 dell’articolo del citato decreto-legge, i dati raccolti attraverso l’applicazione non potranno essere trattati per finalità diverse da quella di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica", osserva il Copasir.
"Per quanto appena evidenziato - prosegue il Comitato - un simile 'transito di dati', anche se fosse temporaneo e avvenisse esclusivamente per mezzo di sistemi informatici presenti sul territorio nazionale, dovrebbe obbligatoriamente essere non solo chiarito ed esplicitato, ma anche e soprattutto regolamentato con estrema attenzione sotto il punto di vista giuridico, al fine di adempiere a quanto previsto dalla normativa europea e nazionale in materia di trattamento di dati personali".
"In tal senso, potrebbe essere opportuno verificare che nessun attore nazionale e soprattutto internazionale, ivi compresa la società aggiudicataria dello sviluppo della App, possa in qualsivoglia modo accedere direttamente o incidentalmente ai dati raccolti, anche nel caso in cui questo soggetto abbia dato un qualsiasi apporto – anche tecnologico – per la realizzazione o per l’efficacia del sistema nazionale di allerta Covid-19 - osserva il Comitato - Ciò al fine di impedire che simili informazioni – rilevanti sia sul piano della qualità sia della quantità e soprattutto della capillarità – possano più o meno direttamente entrare nel possesso di attori europei e internazionali, sia pubblici sia privati, a vario titolo interessati".
