I cittadini stanno rischiando tanto, non a causa della privacy, a causa della situazione di forte esposizione, di forte rischio che sta ponendo il Coronavirus.

Salve a tutti, siete all'ascolto di INSiDER - Dentro la Tecnologia, un podcast di Digital People e io sono il vostro host, Davide Fasoli.

Oggi approfondiremo dal punto di vista della privacy il tema delle app di tracciamento dei contagi di cui si sta tanto parlando in questi giorni.

Prima di passare alle notizie che più ci hanno colpito questa settimana, vi ricordo che potete ascoltarci in un nuovo episodio ogni sabato mattina su Spotify, Apple Podcast, Google Podcast oppure direttamente sul nostro sito.

Amazon Prime video non è più solo un servizio di streaming, ma da oggi anche di noleggio e di acquisto di film in digitale.

Arriva infatti in Italia il Prime video Store, il negozio virtuale dove reperire i contenuti più recenti, ovvero quelli non ancora disponibili nel catalogo di streaming di Prime video.

Ne avevamo parlato nella puntata Italia Digitale e finalmente è stata rilasciata in una prima versione beta.

La più in questione si chiama IO ed è stata sviluppata da PagoPA SPA in collaborazione con l'Agenzia per l'Italia Digitale.

Lo scopo è quello di unire in un'unica applicazione tutti i servizi pubblici, accedendo con la propria identità digitale, ovvero con Speed.

La propria carta di identità elettronica sarà infatti possibile gestire e interagire con le pubbliche amministrazioni nazionali o locali raccogliendone avvisi, documenti e pagamenti in modo sicuro.

Se per esempio la nostra carta di identità sta per scadere, l'applicazione ci notificherà un messaggio ricordandoci di effettuare il rinnovo.

O ancora tasse, bolli, multe o servizi scolastici possono essere pagati inquadrando un QR code e procedendo quindi alla transazione, che può essere effettuata tramite carta di credito, di debito, PayPal, Satispay, Bancomat e Postepay.

Dall'app sarà poi possibile scegliere quali servizi attivare da un elenco che mostrerà a tutti i comuni aderenti e le pubbliche amministrazioni a livello nazionale.

Come dichiarato dall'azienda, io è user centered.

Ciò significa che l'app è stata realizzata e pensata appositamente per le esigenze dei cittadini, mettendoli al centro del processo di innovazione della pubblica amministrazione.

Così come l'interfaccia è stata progettata seguendo le linee guida proposte dal team digitale per ottenere la massima usabilità e la più semplice esperienza d'uso.

L'applicazione inoltre è open source, dunque aperta agli sviluppatori, che potranno migliorare ulteriormente aggiungendo funzioni e contribuendo al progetto.

Infine, va detto che io è ancora in fase beta, ciò significa che molte delle funzioni promesse non sono ancora disponibili, ma sul sito sarà possibile seguire in dettaglio la road map.

Inoltre, sarà poi compito dei vari comuni adeguarsi per portare i propri servizi sull'app, andando incontro alle esigenze dei propri cittadini e migliorando nel rapporto con le pubbliche amministrazioni.

In questa seconda metà della puntata approfondiremo il tema delle applicazioni di tracciamento dei contagi di cui abbiamo già parlato la scorsa settimana.

In particolare analizzeremo l'argomento dal punto di vista della sicurezza informatica.

Per questo oggi siamo qui con Andrea Rigoni esperto e consulente di Rischi collegati alla Cyber Security che ha affiancato diversi governi in Medio Oriente e in Europa tra cui quello italiano ma anche organizzazioni internazionali come la NATO e le Nazioni Unite.

Benvenuto Andrea.

Grazie Davide e ti ringrazio anche perché trovo questa occasione di confrontarci molto interessante visto il tema.

La prima domanda che vorrei farti riguarda la tutela della privacy riferita alle app di tracciamento e di cui tanto si sta parlando in questi giorni.

Che cosa rischiano veramente i cittadini nell'utilizzo di un app di contact tracing?

I cittadini stanno rischiando tanto, non a causa della privacy, a causa della situazione di forte esposizione, di forte rischio che sta ponendo il coronavirus.

Perché specifico questo, perché tutti i rischi e tutte le contromisure per tentare di mitigare questi rischi portano con sé sempre un prezzo.

E un po come pensare ai farmaci, non esiste il farmaco senza controindicazioni.

Il medico insieme al paziente fanno una valutazione se alla fine è meglio subire i sintomi e gli effetti di una malattia o gli effetti collaterali di un farmaco.

Questo è importante perché serve a porre l'attenzione sulla privacy nel giusto contesto.

Mi piace iniziare anche a parlare di privacy ricordando che è un diritto, un diritto sancito dalla carta costituzionale europea, non va dimenticato che la stessa carta costituzionale sancisce altri diritti, incluso il diritto alla sicurezza.

Quindi sul tema del coronavirus e sull'uso di app di tracciamento si tratta di andare a comprendere quale sia da parte dei cittadini il giusto compromesso tra tutela della privacy e tutela alla propria sicurezza.

C'è da dire che il tema della privacy se da una parte si è evoluto molto anche da un punto di vista di diritto e quindi normativo con l'introduzione della GDPR, dall'altra anche subito una forte evoluzione dal punto di vista della percezione.

Ora non vorrei essere criticato per quello che dico, ma numerosi esperti in queste settimane stanno rispondendo che probabilmente la levata di scudi a totale difesa della privacy è poco bilanciata con già una scelta che tanti cittadini e utenti fanno nel quotidiano nel condividere più o meno, anzi senz'altro volontariamente o più o meno deliberatamente dei propri dati.

Credo che qui l'aspetto fondamentale non sia tanto se vi sia o meno una raccolta di questi dati, ma è assicurare che questi dati vengano utilizzati esclusivamente per il fine del contrasto al covid e che poi una volta cessata la necessità del contrasto al virus questi dati non vengono utilizzati più e non vengono utilizzati per fini diversi.

Assolutamente e a tale proposito il ministero dell'innovazione ha pensato all'utilizzo di un app di tracciamento anche per eventuali situazioni future di emergenza in cui queste tecnologie diciamo così potrebbero essere riutilizzate.

Ma siccome sappiamo che questa emergenza purtroppo non finirà in modo netto, non c'è forse il rischio che questi sistemi di controllo diventino la normalità?

Allora tornando sul punto di prima, la questione è proprio questa, cioè io faccio una raccolta di dati, la mia preoccupazione, la preoccupazione del cittadino, ma la garanzia che va data al cittadino è che questi dati vengano utilizzati effettivamente esclusivamente per quel fine e per il periodo di tempo necessario.

Qui il rischio è che questi dati possano fare parecchio appetito anche per analisi future e che quindi vengano conservati anche per periodi stesi e utilizzati anche a fini diversi seppur sempre fini legati alla ricerca.

Qui tra l'altro la normativa è abbastanza precisa e visto che poi qui si tratta di un equilibrio tra necessità ma anche per accezione dei cittadini i governi devono lavorare bene per non abusare troppo del permesso speciale che potrebbero avere in questo periodo nel fare questo tipo di raccolte di informazioni.

La soluzione migliore è dire io la raccolgo per il tempo minimo necessario, i dati minimi necessari quando cessa il fine questi dati sono in qualche modo distrutti non resi più disponibili.

Sì anche perché i dati verrebbero raccolti solo e soltanto per l'emergenza Covid-19 quindi non avrebbe nessun senso conservarli ulteriormente e visto che abbiamo toccato il tema del salvataggio dei dati sempre in questi giorni si è parlato spesso di sistema centralizzato e sistema decentralizzato il primo è stato scelto dal consorzio europeo e richiede un server centrale che custodisca i dati mentre il secondo scelto da Google e Apple vuole i dati salvati sul proprio dispositivo personale.

A questo punto la domanda che mi pongo è quali sono i vantaggi di un sistema rispetto all'altro e perché secondo te il primo metodo è così criticato dal punto di vista della privacy tanto che lo stesso ministero ha deciso di invertire la rotta seguendo le orme dei due colossi americani?

La gestione centralizzata o distribuita dei dati diventa significativa nella discussione di sicurezza e di protezione della privacy perché effettivamente crea delle differenze un po nel profilo di vulnerabilità complessiva.

È chiaro che un dato distribuito, quindi un dato conservato esclusivamente sulle applicazioni dei cittadini nelle app è un dato apparentemente per certi versi anche sostanzialmente più sicuro a differenza di un dato conservato centralmente che in caso di violazione di quell'archivio centrale esporrebbe i dati non più di un singolo ma di tutta la cittadinanza che sta utilizzando quella applicazione.

Questo è in parte vero anche per quanto riguarda i sistemi distribuiti perché poi se c'è una vulnerabilità è vero che li devo violare uno a uno ma non la vieta che questa violazione possa essere in qualche modo automatizzata quindi per questo sarei cauto nel dire a tagliare con l'acetta.

Certo un sistema centralizzato è anche come percezione più esposto.

Dall'altra parte il sistema centralizzato ha una serie di vantaggi, permette tutta una serie di elaborazioni in più oltre ad avere dalla propria un tema di performance, sono dei motivi per cui alcuni governi stanno andando verso questa strada e ne abbiamo perché ci sono alcuni governi che hanno optato recentemente il governo britannico ha dichiaratamente adottato una soluzione che prevede una centralizzazione dei dati mentre altri stanno andando sulla soluzione decentralizzata o con meccanismi propri come è stato fatto per esempio in Italia oppure facendo leva sull'architettura e sulle API messe a disposizione per esempio da Google e da Apple.

A priori qui c'è un tema evidentemente di come al solito di bilanciamento, maggiore sicurezza, si porta dietro ad oggi una minore flessibilità, un maggiore costo e viceversa.

Quello che a mio avviso l'errore in cui non bisogna cadere è centralizzato uguale dati in chiaro, archivi rubabili, etc.

Si può lavorare con una centralizzazione dei dati in modo sicuro, però questo evidentemente rende le architetture più complesse, però non cadrei ecco nel tranello di fare dei giudizi di massima.

Riassumendo entrambi i sistemi hanno i propri vantaggi e i propri svantaggi, ma quello che è certo è che non esiste un sistema totalmente sicuro o un sistema totalmente insicuro.

A fronte di quanto detto finora, in quale secondo te è il sistema preferibile in questo determinato contesto?

Una risposta univoca a questa domanda non ce l'ho, perché dipende molto, come spiegavo prima, dalle scelte che vengono fatte nel complessivo.

dipende da quali dati si vanno a raccogliere, se sono dati totalmente anonimi, se sono dati in pseudonimi, per cui in teoria un rischio poi di risalire a delle cosiddette personal identifiable information c'è.

Non ho una preferenza in assoluto, quindi bisogna fare una valutazione di opportunità tra i benefici dell'una e dell'altra.

Per chiudere, la privacy non è un valore assoluto né da un punto di vista teorico né nella percezione dei cittadini.

Cioè anche gli stessi cittadini abbiamo visto quando percepiscono di avere un vantaggio, non si fanno tanti problemi a condividere volontariamente e consapevolmente le loro informazioni.

Quindi il tema qui non è tanto c'è un problema legato a dati personali, ma è capire bene qual è l'uso e le protezioni che vengono date.

Ricordandoci che qui non stiamo parlando tra l'altro di un vezzo o di un'applicazione a scopi di divertimento o altro, stiamo parlando di una situazione di estremo rischio per la cittadinanza il cui impatto in questo momento è enorme sull'economia, sulla vita sociale delle persone, per cui questo non vuol dire ignorare i temi della privacy, vuol dire pensare a tutta una serie di aspetti nel contesto generale, valutando anche che in questo momento c'è una percezione diversa da parte dei cittadini su questa tipologia di aspetti.

Va bene, grazie Andrea per il tuo intervento, alla prossima.

Grazie ancora di avermi invitato a partecipare.

E così si conclude questa puntata di INSiDER - Dentro la Tecnologia.

Con questa puntata siamo arrivati a quota sei mesi di pubblicazione settimanale del podcast.

Questo non sarebbe mai stato possibile per me solo se non avessi avuto l'indispensabile partecipazione di Matteo Gallo e di Luca Martinelli.

Io ringrazio appunto la redazione che ogni sabato mattina ci permette di pubblicare un nuovo episodio.

Per qualsiasi tipo di domanda o suggerimento scriveteci a redazione@dentrolatecnologia.it, oppure inviateci un messaggio vocale sulla nostra chat di Telegram, tutti i contatti sono su dentrolatecnologia.it.

Se trovate interessante il podcast condividetelo che per noi è un ottimo modo per crescere e non dimenticate di farci pubblicità.

Noi ci sentiamo la settimana prossima.