Parliamo della mitica app/2

Alcune precisazioni sulla mitica app per fare maggiore chiarezza.

la sicurezza informatica

Una cosa di cui mi son reso conto partecipando a gruppi di lavoro multidisciplinari è che ogni esperto conosce bene gli aspetti della propria materia ma che non conosce bene gli aspetti delle altre. Un ingegnere civile conosce come progettare una casa, conosce poco di come progettare un database od una applicazione per il lavoro condiviso, parimenti un informatico non è capace di calcolare le strutture di una casa ed è meglio che non ci metta il becco.

L’informatico vede aspetti e criticità che l’ingegnere non vede. Idem per la app, il pericolo non è tanto che lo stato sappia dove vado e quale sia il mio stato di salute, lo può sapere facilmente, rapidamente e a mia insaputa senza che io installi alcuna app. I pericoli sono altri, pericoli che chi ha dovuto trattare la sicurezza informatica o il problema della gestione di dati personali o sensibili è consapevole e che l’uomo della strada ignora. Ad esempio chi conosce cosa sia un attacco “a dizionario” per forzare codici identificativi resi pseudoanonimi? Ecco. Per il GDPR quando rilasci dati pseudoanonimizzati devi evitare che possano essere deanonimizzati ad esempio mediante un attacco a dizionario. Si tratta di un argomento specialistico che, ovviamente, l’uomo della strada ignora beatamente.

Due esempi di rischi di sicurezza informatica legati alla app, che non sono “l’appuntato Esposito sa dove vado a fare la spesa”:

  1. violazione della privacy, non da parte dello stato ma da parte di altre persone: cosa succede se qualcuno scopre come estrarre i dati di contatto dal mio cellulare, se il mio datore di lavoro scopre che ho visto, nell’ultima settimana, dei sindacalisti? Che sono andato da tre medici diversi? Quanto son sicuri i dati nel cellulare rispetto ad attacchi a “dizionario”?
  2. Sicurezza dei protocolli di trasmissione dati: quanto è robusta la app rispetto ad attacchi di tipo “uomo in mezzo”? quanto è robusta rispetto a tentativi maliziosi di lanciare falsi allarmi?
    Provate ad immaginare l’effetto di un falso allarme lanciato a diecimila o centomila persone concentrate in un area geografica ristretta. Blocchi, letteralmente, una regione o una provincia per una settimana minimo.

Quindi la questione non è tanto, lo stato sa dove vado e con chi parlo ma: e se lo scopre il mio capo? e se qualche achero cattivo fa scherzetti?

La storia: “non do i miei dati al governo”, che poi li ha già, è solo un colossale uomo di paglia.

la pessima comunicazione

Come al solito c’è stata una ridda di voci contraddittorie: la app sarà facoltativa, la app sarà facoltativa ma se non la installate non potete uscire, registrerà solo gli spostamenti, no registrerà anche i dati sanitari.

L’impressione è che non abbiano le idee chiare su nulla e che sparino cose a casaccio per vedere l’effetto che fa. Conseguenza, umoristica di ciò, son i pasdaran di giuseppi costretti a cambiare bandiera con la stessa velocità di giuseppi.

Alla fine ci son stati, giusti, chiarimenti del ministero per l’innovazione: Un aggiornamento sull’applicazione di contact tracing digitale per l’emergenza coronavirus, brevemente: vengono recepite tutte le eccezioni sollevate dagli esperti di sicurezza e dagli esperti di informatica giuridica, con buona pace di chi stava già a lagnarsi nei social dei no-trax.

la logica dell’emergenza

Quello dei dati sanitari ha fatto accendere un campanello di allarme in molti, a cosa servono nella app? La risposta che siamo in emergenza non serve. In emergenza puoi derogare ad alcune regole ma la deroga deve essere finalizzata alla cessazione dell’emergenza e proporzionata. Facendo un esempio: i vigili del fuoco sono autorizzati a buttar giù la porta di casa mia per spegnere un incendio in cucina, non sono autorizzati però a portarsi via il televisore del salotto. Il fatto che ci sia un emergenza non giustifica affatto che il mio televisore abbia preso il volo.

Idem per la app, deve essere finalizzata al contenimento del Covid e deve trattare i dati minimi per far ciò. Non è giusto usarla come pretesto per altri fini. La app deve tracciare i miei contatti, perché dovrei caricare anche i dati sanitari, dati poi a disposizione del mio medico di famiglia? Perché? Punti poco chiari che non favoriscono la fiducia della app. Ed il ricorrere al: siamo in emergenza, fa calare la fiducia ancora  di più.

il blastator blastato

Quando vai a blastare i medici da bar sport buon senso è evitare di entrare a gamba tesa in materie cui non si è esperto pensando di “imparare” agli esperti la loro materia. Si finisce solo a far la figura dell’avvocato o dell’hacker da bar sport.

5 pensieri su “Parliamo della mitica app/2

  1. A proposito di fiducia… mia moglie ieri sera: haha, una app per il tracciamento fatta dallo stato italiano, figurati se io scarico una app per il tracciamento fatta dallo stato italiano!

    Non è che c’è il timore delle cattive intenzioni: c’è il timore dell’incompetenza. Le cattive intenzioni sono quelle delle terze parti che potrebbero infilarsi laddove l’app mostra delle falle.

    "Mi piace"

    • Ma come? Non le hai fatto vedere il blindatissimo sito dell’inps orgoglio dell’italica conoscenza dell’arte computatoria? L’unico sito che fa vedere più cose di pornoperno (pornhub) per convincerla?

      "Mi piace"

  2. come ho spesso ribadito, non ho nessun particolare problema a dare le mie informazioni “personali” al governo (che, a rigore, dovrebbe già averle). ma ho qualche riserva all’idea che le suddette finiscano accessibili a cani&porci.

    "Mi piace"

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.