SI SCRIVE IMMUNI, SI LEGGE CONTE

IMMUNI “SCELTA” DAI SERVIZI, CONTE HA DATO SPECIFICHE DIRETTIVE AL DIS E AL COMMISSARIO ARCURI. QUANTO AI PROPRIETARI CINESI DELLA SOCIETA’ , SONO TENUTI A COLLABORARE CON I SERVIZI DI PECHINO, PER CUI IL COPASIR CHIEDE CHE NON ABBIANO ACCESSO AI DATI. IL BLUETOOTH E' DI PER SE' A RISCHIO HACKERS (MAGARI PER SCATENARE IL PANICO).

C’è un dato del tutto inedito che emerge dalla Relazione al Parlamento del Copasir (Comitato parlamentare di controllo sui servizi segreti, presieduto da Raffaele Volpi) sulla app IMMUNI .Ed è il ruolo svolto personalmente dal presidente del Consiglio Giuseppe Conte nel processo di scelta e varo del sistema di tracciamento dei contatti attraverso i cellulari per contrastare l’epidemia da Covid 19. Nella Relazione - un documento votato all’unanimità e quindi bipartisan(con la sola astensione della grillina Dieni) che servirà alle Camere per approvare o modificare il sistema - si legge infatti che tutta la procedura per la app nei suoi passaggi più delicati (fast call, individuazione di due App, la decisione di procedere con la sola App Immuni a seguito del parere del DIS, l’organismo di coordinamento dei servizi segreti), ha fatto riferimento direttamente a Conte. Conte in particolare ha dato direttive al DIS sulla sicurezza, che a tutt’oggi non soddisfano il Copasir, che perciò ha chiesto l’audizione del Presidente del Consiglio.

Conte invece nella serata di sabato 16 maggio, in conferenza stampa a Palazzo Chigi ha mostrato di fare grande affidamento sull’utilità della app.E sul suo successo.

Nel dettaglio, la Relazione del Copasir mette in evidenza nella fase successiva alla decisione di scegliere IMMUNI , il DIS, su mandato del Presidente del Consiglio, ha proceduto a definire una griglia tecnica con i criteri ritenuti più idonei per garantire la tutela della sicurezza, sotto il profilo della crittografia e della privacy dei dati.

Ma questo secondo il Copasir non basta ancora. In particolare, è stata sottolineata "l’importanza di valutare il sistema nella sua complessità di sviluppo, non limitandosi al solo aspetto tecnico legato all’App. Ad esempio, è stata segnalata l’esigenza che l’intero sistemo di C.T. (Contact tracing) sia gestito da uno o più soggetti pubblici e che il suo codice sia aperto (open source), che la gestione e la conservazione dei dati avvenga sul territorio nazionale, e che venga individuato un responsabile del progetto con ampia esperienza nel settore dei sistemi informatici complessi, non essendo ad oggi disponibili best practices che garantiscano in assoluto il buon esito del progetto, che dovrebbe assicurare sia l’aspetto della funzionalità, sia quello della sicurezza e della privacy nel trattamento dei dati”.

Infine risulta dall'audizione di domenico Arcuri che è stato sempre Conte ( e non i due ministri della Salute e dell’Innovazione) ad incaricare il Commissario straordinario per l’emergenza Covid 19 a sottoscrivere il contratto con la società proprietaria della app, la Bending spoons, spa.

Quindi il successo o l’insuccesso della app (nel contenere l'epidemia e i rischi di sicurezza) ricadrà direttamente sul Presidente del Consiglio.

L’unico dato nuovo positivo, è che le nuove API (Application Programming Interface) di sistema operativo dei dispositivi mobili create da Apple e Google per (IOS e Android), che sono state progettate ( metà maggio) per l’ architettura delle app di Contact Tracing permetteranno alla app IMMUNI di Bending Spoon di funzionare lasciando i dati dentro i telefonini fino a che non si scatena l’allarme di un contatto “sospetto”. Anche se ancora si tratta però di stabilire criteri precisi, attualmente non individuati nel decreto-legge che ha introdotto la app, per definire quali possano essere considerati «contatti qualificati », cioè quelli che facciano scattare un alert che segnali agli utenti di essere entrati in contatto stretto con un utente risultato positivo al virus, e dunque di essere a potenziale rischio di infezione.

La Francia invece opterà , con tutte le difficoltà del caso, per un sistema centralizzato, con un centro dati (cloud) nazionale.”In Italia non si è scelta la soluzione centralizzata perché, secondo quanto riferito nel corso delle audizioni svolte dal Copasir ,parrebbe non essere disponibile la tecnologia necessaria ad attuare una piattaforma digitale idonea in house”.

Non è neppure chiaro attualmente - sostiene il documento - “quali misure siano previste in caso di immissione di dati inesatti, sia per errori umani sia a seguito di attacchi informatici, oppure di vere e proprie emergenze, quali ad esempio la perdita dei dati (Disaster recovery)”.

Insomma si potrebbe anche dare il caso che hackers possano “scatenare il panico “, ma non sappiamo cosa sia previsto in un caso del genere.

Dalla Relazione apprendiamo che la scelta di sviluppare il progetto esecutivo per una sola App (e il fatto che tale scelta sia ricaduta su Immuni) è stata adottata dal Ministro per l’innovazione tecnologica e dal Ministro della salute, avendo anche ascoltato il parere tecnico del DIS diretto dal generale Vecchione, in rappresentanza del comparto intelligence , che ha considerato, viste le strette tempistiche imposte, “troppo dispersivo procedere con un test parallelo su entrambe le applicazioni., prescelte dalla task forse tecnica .La decisione di sviluppare la App Immuni è stata assunta, secondo quanto riferito dal Ministro per l’innovazione tecnologica, in considerazione del maggiore stato di avanzamento e della possibilità di renderla quindi operativa in tempi più rapidi".

Invece - annota il Copasir - "nessuna considerazione era stata fatta invece sui proprietari della società Bending spoon ", nonostante questo sia considerato molto rilevante dal Copasir.

Dalla documentazione acquisita risulta infatti che la società Bending Spoons S.p.A. è stata fondata nel 2013 da quattro cittadini italiani (Luca Ferrari, Francesco Patarnella, Matteo Danieli, Luca Querella) e da Tomasz Greber, di origine polacca.L’analisi della compagine sociale ha consentito di rilevare che i quattro fondatori italiani detengono circa l’80 per cento dell’azienda, mentre il socio Greber possiede una partecipazione del 4 per cento.

Da meno di un anno, dal 4 luglio del 2019, è presente anche una quota di minoranza, pari al 5,7per cento, di proprietà dei gruppi: H14 S.p.A., NUO Capital, riconducibile alla famiglia Pao Cheng di Hong Kong, e Star Tip S.p.A., veicolo della società di investimento internazionale Tamburi Investment. Il fondo NUOCapital (New Understanding Opportunities), sopra citato, riconducibile a Stephen Cheng, noto uomo d’affari cinese, è stato fondato nel 2016.

“In proposito - sostiene il Copasir - si ricorda che la legge cinese sulla sicurezza nazionale, obbliga, in via generale, cittadini e organizzazioni a fornire supporto e assistenza alle autorità militari di pubblica sicurezza e alle agenzie di intelligence”.

Per questo motivo il Copasir sollecita il Parlamento a prevedere che i proprietari della app non possano venire in alcun modo a conoscenza dei dati raccolti.

“Sulla base di quanto sopra esposto,- afferma il documento - si possono evidenziare rischi non trascurabili sul piano geopolitico, che secondo quanto emerso dalle audizioni sarebbero non mitigabili”. Infatti, la definizione dettata

da privati dell’architettura dell’intero sistema informatico, inclusa la App, nonché la necessità di ricorrere a soggetti privati non nazionali, per quanto da considerare affidabili, per il CDN destinato a contenere i dati raccolti, “potrebbero prestarsi a manipolazioni dei dati stessi, per finalità di diversa natura: politica, militare, sanitaria o commerciale”.

In più - e sinceramente non è poca cosa - “ si sottolinea come la possibile alterazione dei dati potrebbe far sovrastimare o sottostimare l’entità stessa dell’epidemia”. Né può essere sottovalutato il rischio tecnologico,” anch’esso difficilmente mitigabile, almeno nel breve periodo, consistente in possibili attacchi di tipo informatico da parte di hacker o altri soggetti o in possibili truffe ai danni degli utilizzatori della App”. Forse scaramanticamente, fino ad oggi, "Hack the future", "hackerare il futuro", è l'header del profilo twitter di Bending Spoons.

La tecnologia Bluetooth “risulta infatti particolarmente vulnerabile a intrusioni i cui effetti, in questo contesto, potrebbero essere tali da diffondere allarme ingiustificato nella popolazione, ad esempio mediante l’invio di messaggi falsi o fraintendibili, relativi, inter alia, allo stato di salute o al possibile contagio dei destinatari.”