News

Immuni, il nostro test: privacy rispettata, ma cosa succede a chi viene “allertato”?

Abbiamo portato l’app anti-Covid in laboratorio. L’applicazione, operativa in tutta Italia, rispetta quanto annunciato nel tracciare i contatti tra utenti: non accede a identità, mail, posizione gps, fotocamera, rubrica, sms e non profila. Il sistema sembra sicuro, ma si sa ancora troppo poco sulle misure sanitarie previste per chi riceverà una notifica di contatto a rischio. Per molti non sarà accessibile per via di limiti tecnici, ma per avere una diffusione di massa è necessario che sia utilizzabile su tutti gli smartphone, chiediamo che anche Apple e Google si attivino in questo senso. Ecco come funziona.

  • di
  • Stefania Villa
15 giugno 2020
  • di
  • Stefania Villa
App Immuni: l'analisi su funzionalità, usabilità e rischi per la privacy

Immuni, l’app di tracciamento anti-Covid scelta per limitare la diffusione dei contagi, dopo vari ritardi e una fase di test in alcune regioni, è ora operativa in tutta Italia.

Il dibattito pubblico, in particolare sui social, spesso si concentra sui timori per il rispetto della privacy da parte di questo sistema, che prevede l’invio di notifiche a chi è stato a contatto con persone positive al coronavirus; d’altronde, sono in gioco i dati personali e sensibili sulla salute degli utenti. Ma c’è davvero da preoccuparsi? Dai nostri test informatici sui flussi di dati raccolti e inviati e dall’analisi dell’informativa sulla privacy non sembra (le prove sono state effettuale il 4 giugno 2020, non considerando quindi eventuali aggiornamenti successivi, sulla versione per Android e nell’ambito delle funzioni legate alla registrazione dei contatti ravvicinati tra telefoni, non dell’invio dei dati da parte di chi risulta positivo, operazione non simulabile. La tutela di privacy e sicurezza dei dati, in ogni funzione dell’app, è stata comunque verificata anche analizzando il codice open source pubblicato alla data del test).

La diffusione massiccia dell’app, fondamentale per la sua efficacia, è però messa a rischio dal fatto che non è installabile su tutti i dispositivi e questo è verosimilmente dovuto all’elevato standard di sicurezza richiesto, non realizzabile tecnicamente sui dispositivi più vecchi. In molti, con telefoni neanche tanto datati, resteranno esclusi da questo sistema che dovrebbe fare dell’inclusività la sua forza (anche se sempre considerando che la tecnologia ha dei limiti e potrebbe anche generare falsi allarmi).

Ma, soprattutto, al momento delle nostre analisi erano ancora tante le domande senza risposta su come verrà gestito un utente che riceve una notifica di contatto a rischio; le informazioni su questo latitano, sia nell’app che sul sito di Immuni per l’utente, ma anche dalla documentazione più tecnica non è stato facile capire cosa succede di preciso a chi verrà allertato.

Sicurezza e privacy del tracciamento: risultati positivi

Quanto a privacy, sulla documentazione di Immuni si legge: “L'app non raccoglie e non è in grado di ottenere alcun dato identificativo dell'utente, quali nome, cognome, data di nascita, indirizzo, numero di telefono o indirizzo email. Immuni riesce quindi a determinare che un contatto fra due utenti è avvenuto, ma non chi siano effettivamente i due utenti o dove si siano incontrati”.

Questo anche perché renderebbe anonimi i dati e perché funziona tramite Bluetooth Low Energy e quindi non dovrebbe geolocalizzare la posizione, ma registrare soltanto la vicinanza con altri telefoni (si legge nella documentazione “l’app associa a ogni dispositivo un codice casuale, che non contiene in informazioni identificative dell’utente e del suo dispositivo”).

Per vedere con i nostri occhi tutto ciò che viene annunciato, abbiamo testato l’applicazione in un laboratorio informatico, usando dei software che sono in grado di capire quali dati raccoglie l’app, a quali server li invia, se in modo criptato o meno (ricordiamo che non si è potuto testare il comportamento dell’app in caso di “positività” al Covid, in quanto ovviamente si tratta di un’informazione che non può essere simulata). Il laboratorio oltre a eseguire il test, ha anche esaminato il codice dell'app messo a disposizione.

I risultati ci dicono che, al momento e almeno nella funzione di tracciamento dei contatti tra utenti, Immuni rispetta i livelli di sicurezza e tutela della privacy previsti e annunciati, rispettando anche le linee guida europee sulle app anti Covid-19. Ecco i risultati nel dettaglio.

  • Raccolta dei dati: per quanto riguarda il tracciamento dei contatti l’app non richiede alcun permesso sospetto e non accede ad alcun dato personale, né sensibile. Le uniche informazioni che l’app consulta sono se il Bluetooth è attivo o meno (se non lo è, l’app non può funzionare) e la sua connessione a internet. All’utente viene richiesto di inserire manualmente solo la propria provincia di domicilio (per permettere al ministero della Salute di monitorare lo sviluppo dell’epidemia).

    L’app non accede alla posizione gps, né alla rubrica dei contatti, né alle email, né agli sms, né al calendario, né ai settaggi del telefono, né al registro delle chiamare, né ai file salvati, né alla fotocamera, né al microfono, né ai dettagli della propria connessione internet, né a eventuali sensori integrati nel telefono, né ad alcuna informazione che possa rappresentare un rischio per la privacy.

    Il codice dell’app non include alcun tracker
    , cioè alcun sistema di monitoraggio dell’utilizzo che viene normalmente utilizzato da altre app.

    Gli unici dati inviati all’esterno a un server sono regione e provincia
    di provenienza che si inseriscono per attivare l’app, il dato relativo all’attivazione o meno del Bluetooth e il dato relativo all’indirizzo IP della connessione internet (che, stando a quanto indicato nell’informativa sulla privacy, non viene salvato; ma questo non è verificabile per noi). I dati (anonimi, sotto forma di codici) sui contatti ravvicinati e prolungati avuti rimangono negli smartphone, non vengono inviati al server nella fase di tracciamento da noi indagata.
  • Server: l’unico al quale Immuni invia i dati sui contatti avuti (ma in caso di positività e se l’utente vuole) risulta situato in Italia e gestito dalla controllata statale Sogei Società Generale d'Informatica S.p.A., come specificato nella documentazione dell’app. Nessun dato viene inviato a server di terze parti. Tutte le comunicazioni al server esterno sono criptate, cioè rese non collegabili al relativo utente, con protocollo TLS 1.2, considerato uno degli standard più sicuri per la crittografia. Nessun dato viene inviato a server di terze parti.

  • Standard di sicurezza: Immuni utilizza lo standard di sicurezza “certificate pinning” che impedisce l’inserimento, da parte di hacker, di dati falsati nel flusso di comunicazione tra gli smartphone e i server e viceversa. Cioè sostanzialmente c’è la garanzia che nella comunicazione che si instaura tra device e server non ci può essere alcuna intromissione di finti dati da parte di hacker, in quanto il “certificate pinning” è in grado di filtrare i dati in modo che passino solo quelli autentici.

  • I codici identificativi: i cosiddetti rolling proximity identifier che uno smartphone scambia in caso di vicinanza prolungata con un altro smartphone cambiano ogni 12 minuti. Questo è un accorgimento che rende più sicura la privacy perché riduce ulteriormente la possibilità di collegare in qualche modo questi codici ai relativi utenti. Quindi, anche entrando in possesso in qualche modo dei codici che i telefoni si scambiano, non c’è modo di risalire agli utenti a cui appartengono, appunto perché questi codici cambiano continuamente. Gli identificativi, inoltre, vengono generati da Immuni tramite una relativa chiave che, a sua volta, viene cambiata giornalmente e che non viene condivisa all’esterno.

  • Google e Apple non acquisiscono dati: come detto, i dati anonimi relativi ai contatti tra le persone rimangono nei telefoni, quindi non vanno a finire in nessun server nella fase di tracciamento. Inoltre lo scambio di questi dati – che avviene, sì, grazie agli ultimi aggiornamenti di Apple e Google di iOS e Android – avviene in modo criptato, per garantire maggiore sicurezza.

Rimane al momento esclusa l’analisi di cosa succede quando si segnala la propria positività al coronavirus: sulla base dei risultati visti sulla parte di tracciamento, ci possiamo ragionevolmente aspettare che anche in questo caso l’app rispetti quando indicato nella documentazione e che quindi invii al server di Sogei solo la propria chiave anonima di positività (questo passaggio è necessario, come spieghiamo più avanti in “Come funziona?”, perché  così tutti gli smartphone che utilizzano Immuni possono periodicamente consultare queste chiavi sul server e verificare se c’è una corrispondenza tra i codici dei positivi e quelli registrati nel proprio telefono delle persone con cui si è stati a contatto; è in questo caso che parte l’eventuale notifica di contatto a rischio).

L’informativa sulla privacy: abbastanza bene

Abbiamo analizzato con i nostri esperti del settore giuridico l’informativa sulla privacy, che durante l’installazione viene chiesto di leggere: fatelo, è importante per capire quali dati personali verranno trattati, con che finalità e per quanto tempo verranno conservati.

L’informativa è piuttosto chiara, alcune lacune le evidenziamo, ma in generale possiamo dire che non ci sono particolari problemi. Ecco alcune informazioni importanti che contiene:

  • il titolare del trattamento dei dati non è una società o un ente privato ma il ministero della Salute: è il dicastero a stabilire “come” e “perché” trattare i nostri dati personali;

  • i dati personali verranno utilizzati al solo fine di allertare gli utenti che hanno avuto un contatto a rischio con altri utenti risultati positivi al virus e tutelarne la salute attraverso le misure di prevenzione (che però, come evidenziamo più avanti, per ora non è chiaro in cosa consistano precisamente) e, in forma anonima e aggregata, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica. È una formulazione un po’ generica e ci aspettiamo maggiori dettagli;

  • a seguire vengono elencate le tipologie dei dati raccolti, le specifiche finalità di trattamento e i tempi di conservazione: ad esempio, a tutti coloro che scaricano la app viene chiesta la provincia di domicilio, che serve al ministero della Salute per monitorare in che aree si sviluppa la pandemia e che verranno conservati fino a fine emergenza e comunque non oltre il 31 dicembre 2020. Poi si entra nel dettaglio delle altre tipologie di dati che verranno richiesti a seconda della situazione.

    La categorizzazione dei dati che verranno trattati, con le rispettive finalità e tempi di conservazione è apprezzabile. Mancano però alcune informazioni importanti, sostanziali, più che formali. Ad esempio, non vengono chiarite le distanze e i tempi di contatto con un positivo per aggiudicarsi una notifica di rischio (la ministra per l’Innovazione Tecnologica Paola Pisano ha dichiarato almeno "15 minuti" a una distanza non superiore ai "due metri", ma sulla documentazione ufficiale non abbiamo trovato queste indicazioni); non viene chiarito quanto tempo prima della comparsa dei sintomi o del tampone dovremo aver avuto contatto con un positivo per essere avvertiti del rischio con la notifica. Considerando la sensibilità dei dati trattati e i diritti in gioco, la trasparenza non è mai troppa: più dettagli vengono resi noti, più efficaci possono essere i controlli e meno spazio si presta a eventuali violazioni.

  • per come è stato strutturato il meccanismo di trasmissione dei dati, la volontarietà, cioè il fatto che l’utente faccia sempre le varie operazioni in modo volontario e consapevole, è assicurata: una volta risultato positivo, la notifica agli altri telefoni, infatti, partirà solo nel caso in cui l’utente confermi tale volontà nell’app stessa (con un tap);

  • in ogni momento, l’utente può far cessare il trattamento disinstallando l’app. Può anche cancellare tutti i codici memorizzati sul proprio dispositivo andando nelle impostazioni dei propri telefoni.
Il Garante: trasparenza su algoritmi e falsi allarmi

Il Garante per la protezione dei dati, che dal principio ha seguito la realizzazione di questa app, ha dato via libera a Immuni.

Nonostante il parere positivo ha richiesto delle misure specifiche in più per rafforzare la sicurezza dei dati degli utenti (chiedendo di adottarle nella fase di sperimentazione).

Tra le altre cose, l’Autorità ha chiesto che gli utenti siano informati adeguatamente sul funzionamento dell’algoritmo utilizzato per la valutazione del rischio di esposizione al contagio (quali tempi e distanze vengono considerati per considerare un contatto a rischio).

Gli utenti dovranno informati del fatto che il sistema potrebbe generare falsi allarmi (il Bluetooth stesso ha delle imprecisioni nella rilevazione della prossimità tra utenti, può avere interferenze in base alla posizione del telefono o agli ostacoli che ci sono tra due dispositivi; oppure pensiamo a persone che ricevono l’alert, ma che quando sono venuti in contatto erano muniti di tutte le misure necessarie ad evitare il contagio, come le mascherine). Per questo dovranno essere adottate tutte le misure tecniche e organizzative disponibili per ridurre al minimo le conseguenze negative derivanti da falsi positivi.  E, in effetti, sul sito di Immuni - riferendosi a distanza e durata di esposizione a utenti potenzialmente contagiosi - si specifica che. “Si tratta di un numero limitato di informazioni, peraltro mai perfette, in quanto il segnale Bluetooth Low Energy è influenzato da vari fattori di disturbo. Quindi, la valutazione non sarà sempre impeccabile”. Sull’app non si legge ancora nulla in merito.

Gli utenti - richiede ancora il Garante - dovranno avere inoltre la possibilità di disattivare temporaneamente l’app attraverso una funzione facilmente accessibile nella schermata principale senza necessariamente disinstallarla.

Altro tema delicato è quello degli indirizzi IP che i cellulari utilizzano per connettersi a internet (l’app deve utilizzarli per far comunicare i dispositivi con il server): è uno dei dati più delicati trattati, perché riconducibile al dispositivo dell’utente e quindi potenzialmente utile a una sua identificazione. Il Garante sottolinea che la conservazione del dato dovrà essere commisurata ai tempi strettamente necessari per il rilevamento di anomalie e di attacchi. Rispetto a questo, l’informativa sulla privacy dice che l’indirizzo IP non verrà proprio conservato nel sistema di allerta Covid-19.

Particolare attenzione dovrà inoltre essere dedicata all’informativa e al messaggio di allerta, tenendo conto che la app può essere scaricata da minorenni (da 14 anni in su). 

Troppe domande senza risposta per gli utenti: cosa succede agli “allertati”? Come si determina la notifica?

Lo avevamo scritto tempo fa, quando Immuni è stata scelta, inviando anche una lettera al Governo, in cui chiedevamo informazioni chiare sulle misure sanitarie complementari previste per l’utente che riceve l’alert e sui criteri utilizzati per l’invio delle notifiche (distanza e durata del contatto con una persona positiva).

Il tracing (tracciamento dei contagi) è una delle tre “T” necessarie in questa fase insieme a test e treatment (cioè diagnosi e assistenza ai malati e una comunicazione chiara e precisa è fondamentale per costruire la fiducia della popolazione nell'app, affinché venga scaricata da più persone possibile e risulti quindi pienamente efficace.

Ma ancora troppe questioni di carattere pratico, al momento della nostra analisi (4 giugno 2020), sono senza risposta.

Il sito di Immuni dice: “Sulla base dello storico della tua esposizione a utenti potenzialmente contagiosi, Immuni elabora alcune raccomandazioni su come è necessario comportarsi”.

La stessa app, se da un lato spiega molto semplicemente il meccanismo di funzionamento, d’altro canto non dà informazioni su cosa si dovrà fare in caso di alert. C’è scritto solo, in questo caso, che si dovranno “seguire tutte le raccomandazioni di Immuni”.

Quali saranno queste raccomandazioni? Da quanto si intende, potranno includere l’autoisolamento e il dover contattare il proprio medico di medicina generale. E poi?L’utente, in base alle informazioni che ora gli vengono fornite, si trova di fronte una serie di incognite.

  • Isolamento: se a un “allertato” l’app ha consigliato l’autoisolamento volontario, qual è l’iter? Quanto durerà l’autoisolamento? Il tempo di autoisolamento sarà determinato dall’app che fornirà ad ogni utente un’informazione tagliata su misura (sulla base dei tempi di contatto e di quando tempo prima è avvenuto il contatto) o sarà un’indicazione standard? E, non potendo recarsi sul posto di lavoro, come si potrà giustificare al datore di lavoro? Il medico di base sarà autorizzato a mettere in malattia l’assistito? E cosa succede a una persona che non segue le indicazioni date dall’app? Ci sono risvolti o responsabilità giuridiche? Cosa accade ai conviventi di una persona allarmata dalla app immuni? Verranno anche loro spinti all’autoisolamento fiduciario?
  • Misure sanitarie: quali sono le “attenzioni mediche” di cui parla il sito di Immuni per chi riceve una notifica di contatto a rischio? Si verrà sottoposti a tampone diagnostico? Se sì, in quali tempi? E dopo quanto tempo verrà effettuato il tampone per dichiarare chiuso l’autoisolamento?

  • Medici di base: come saranno coinvolti? Quale sarà il loro ruolo visto che ci si dovrà rivolgere a loro in caso di notifica? Il loro ruolo sarà omogeneo in tutte le regioni? Gli utenti “notificati” dalla app sono obbligati a segnalare al medico il fatto che hanno ricevuto la notifica di “contatto stretto”? Ci sono conseguenze sul piano giuridico per chi non lo fa (specie se poi infetta qualcuno a sua volta)? Il medico che verrà contattato dall’assistito “notificato” avrà e, se si, quale tipo di discrezionalità nel porre o meno l’assistito in quarantena? Il medico potrà quindi ordinare un tampone per ogni assistito allarmato al fine di chiarire il bisogno della quarantena o per porre fine ai 14 giorni di quarantena prima del reingresso in comunità? Le regioni, responsabili del tracciamento, avranno un comportamento omogeno nel prendersi cura dei contatti stretti notificati dalle app, o avremo regioni che testano subito i notificati informandoli e altre che li ignorano, non potendo testare tutti?

  • Casi a rischio: come saranno definiti? Per quanto tempo e a quale distanza dovrà avvenire il contatto perché si generi una notifica? La ministra per l’Innovazione Tecnologica Paola Pisano ha detto che i contatti tra due cellulari sono significativi ai fini di Immuni se c'è stata una durata di almeno "15 minuti" a una distanza non superiore di "due metri”, ma nulla viene detto in merito nell’app e nella sua documentazione ufficiale rivolta agli utenti. Inoltre, quanti giorni pre-insorgenza dei sintomi saranno tenuti in considerazione per far partire una notifica di rischio?

    Si fa riferimento a un algoritmo che, in base alla durata e alla distanza stimata del contatto, e sulla base dei criteri stabiliti dal ministero della Salute, deciderà se inviare una notifica, ma la comunità scientifica e gli utenti non avrebbero diritto di sapere perché di preciso arriva questa notifica? Non aiuterebbe a rendere più consapevoli dell’allerta che si sta ricevendo, senza il rischio di allarmi eccessivi o sottovalutati? E poi: a quanto pare sembra che ci saranno varie categorie di rischio in base alla distanza e al tempo dell’interazione: come verranno gestiti questi differenti livelli di allarme?

  • Troppi allarmi: da quanto pubblicato, sembra che Immuni non assicuri che contatti frequenti con la stessa persona, in giorni diversi, non generino più allarmi. Questo vuol dire che è possibile che si ricevano più notifiche legate a una sola persona infetta? Non si rischia, in questo caso, di ricevere troppe notifiche allarmanti e generare così l’ansia immotivata delle persone?

L’altro dubbio che sorge, leggendo la documentazione, è: è possibile che il contatto prolungato, per più ore e nella stessa giornata, con una persona che si scopre poi positiva generi più notifiche di allerta? Pensiamo a un collega che si incontra tutti i giorni, per tanto tempo, ad esempio: significherebbe ricevere molte allerta senza poter capire che tutto dipende da quel singolo contatto.

Rapidità di reazione: questo è un sistema che richiede una grande rapidità in tutti i singoli passaggi per essere davvero efficace. Deve passare molto poco tempo tra il paziente che dichiara di avere i sintomi, il medico che richiede il tampone, l’esecuzione del tampone, la comunicazione del risultato e quindi l’assenso del paziente all’invio delle notifiche. Altrimenti si rischia che le persone che nei giorni precedenti sono stati a contatto con l’utente positivo, nel frattempo, contagino a loro volta; e questo vanificherebbe lo scopo stesso dell’app. Siamo pronti a garantire questa celerità? In quali tempi avverranno questi passaggi?

Le domande che ci siamo posti e che si potrebbero porre gli utenti, a cui non c’è ancora risposta nell’app o sul sito di Immuni, possono avere in parte risposta “ufficiale” solo consultando una circolare ministeriale del 29 maggio, che fornisce spiegazioni in merito a “Ricerca e gestione dei contatti di casi COVID-19 (Contact tracing) ed App Immuni”.

Stando alla circolare ministeriale, chi ha ricevuto una notifica da Immuni risulterebbe un “contatto stretto”, proprio perché ha avuto un contatto prolungato per più di 15 minuti a meno di 2 metri di distanza con un soggetto positivo al Covid (questo è proprio uno dei criteri ministeriali per stabilire quando si può parlare di contatto stretto).  

Ricevuta la notifica (il cui testo dovrebbe essere unico su tutto il territorio nazionale) la persona deve quindi contattare il medico di base/pediatra informandolo di “aver ricevuto una notifica di contatto stretto di COVID-19 da Immuni”. E sempre secondo la circolare, il medico di medicina generale o il pediatra faranno “una prima valutazione dell’effettiva esposizione al rischio del soggetto”.

Cosa questo significhi e quale sia l’iter che attende la persona che ha ricevuto una notifica, la circolare non lo precisa, ma lo dà a intendere.

Se stiamo a quanto accade dopo l’indagine condotta dalle Asl quando ricostruisce i contatti di un caso certo, allora ci aspettiamo che anche per il “contatto stretto” rilevato dall’app (cioè per chi ha ricevuto una notifica) scatterà:

  • l’isolamento al domicilio per 14 giorni successivi all’ultima esposizione, cioè la quarantena. E se vale quello che vale per i contatti stretti identificati dal contact tracing tradizionale effettuato dalle Asl, quest’ultima dovrebbe giustificare l’assenza dal lavoro dell’assistito perché in quarantena precauzionale, specificando inizio e termine;
  • la sorveglianza attiva da parte delle Asl del rispetto delle disposizioni date, specialmente il rispetto del divieto assoluto di mobilità dalla propria abitazione/dimora e di contatti sociali.

Il tampone dovrebbe essere quindi eseguito solo se sviluppano sintomi o al termine dei 14 giorni di quarantena prima del ritorno in comunità, stando a quanto prevede il percorso tradizionale. Sempre che non sviluppi i sintomi, per cui parte l’iter consueto per i casi sospetti o accertati di Covid-19. E per i familiari non c’è certezza di esecuzione di tampone, poiché questo dipende dalla disponibilità di risorse finanziare da parte della Regione.

Tutte queste informazioni, però, nell’app non sono presenti: è quindi giusto porsi questi quesiti fino a quando non ci sarà un’informativa chiara, ufficiale e comprensiva di tutti gli oneri per l’utente e per la pubblica amministrazione.

La speranza è che queste lacune vengano colmate al più presto, in modo da alimentare la consapevolezza e la fiducia degli utenti. Solo così l’app potrà essere scaricata da molte persone e quindi essere davvero efficace, evitando di sprecare un’occasione che potrebbe essere importante per la salute collettiva (nella nostra indagine statistica dello scorso aprile, una buona parte della popolazione si diceva ben predisposta a una app legata al coronavirus o che, come fa Immuni, inviasse notifiche in caso di contatti con persone positive allo scopo di controllare la diffusione del contagio).

Come funziona?

L’obiettivo dell’applicazione, scaricabile sia per gli smartphone Android che iOS (ma con molte limitazioni quanto a sistemi operativi e modelli: ne parliamo a seguire), è quello di contribuire al controllo della diffusione del contagio inviando una notifica a chi ha avuto contatti “a rischio” con persone positive al Covid-19

L’app, che non è obbligatoria, dopo una prima fase di test avviata l’8 giugno 2020 in quattro Regioni (Liguria, Puglia, Abruzzo, Marche), è diventata completamente operativa dal 15 giugno in tutta Italia, sia nel tracciamento dei contatti che nel collegamento con i servizi sanitari.

L’app è molto semplice da utilizzare e funziona tramite Bluetooth Low Energy, che ha il pregio di consumare poca batteria: non geolocalizza la posizione quindi (come confermano i nostri test), ma registra soltanto la vicinanza con altri telefoni, rendendo anonimi i dati.

Ecco come funziona nel dettaglio secondo quanto specificato nella documentazione ufficiale:

  • l’app associa a ogni dispositivo un codice casuale, che non contiene informazioni identificative dell’utente e del suo dispositivo, come conferma anche il nostro test. Questo codice cambia diverse volte ogni ora allo scopo di tutelare la privacy degli utenti;
  • quando l’utente A entra in contatto con l’utente B (a una certa distanza e per un certo tempo, non specificati nella documentazione ufficiale, ma si parla di un minimo di 2 metri e almeno 15 minuti), i dispositivi si scambiano i rispettivi codici tramite il Bluetooth. L’app riesce così a tenere traccia dei contatti avvenuti, registrando i codici degli altri dispositivi nel telefono (non registra identità degli utenti o luogo di incontro, ma solo l’avvenuto contatto tra due dispositivi);
  • chi risulta positivo al Covid-19 sceglie se condividere su un server i propri codici casuali trasmessi nei 14 giorni precedenti, in modo che gli altri telefoni possano consultarli per vedere se li hanno registrati. In questo modo potranno capire se c’è stato un contatto a rischio con il proprietario di quel telefono e in questo caso ricevere una notifica di allerta.

    Ecco come dovrebbe funzionare, nel dettaglio, questo passaggio: il Dipartimento di Prevenzione dell’ASL competente contatta chi è risultato positivo al tampone per raccogliere le necessarie informazioni e verifica anche se la persona ha installato Immuni.

    Se sì, l’operatore sanitario gli chiederà di aprire l’app e di utilizzare la funzione di generazione del codice OTP. L’utente comunica i 10 caratteri che gli compariranno nell’app all’operatore sanitario, che li inserisce nel sistema del ministero della Salute insieme alla data di inizio dei sintomi o, nel caso l’utente sia asintomatico, la data di prelievo del tampone.

    A questo punto l'utente potrà decidere se far partire le notifiche a chi ha avuto un contatto a rischio con lui. Lo potrà fare confermandolo sull’app con un tap: in questo modo le sue chiavi crittografiche (anonime) verranno inviate al server di Sogei (società informatica controllata dallo Stato). Da queste chiavi crittografiche verranno poi tratti i codici casuali prodotti dal suo telefono nei 14 giorni precedenti: solo così questi codici saranno messi a disposizione per la consultazione da parte di tutti i dispositivi che hanno installato Immuni.

  • Ogni dispositivo con Immuni, infatti, controlla quotidianamente i codici presenti sul server e li confronta con quelli salvati sul dispositivo.
  • Se viene individuata una corrispondenza (tra codici registrati nel telefono in seguito a un contatto e codici caricati sul server in seguito a una positività) l’app esegue sul dispositivo un algoritmo che, in base alla durata e alla distanza stimata del contatto e sulla base dei criteri stabiliti dal ministero della Salute (non specificati), decide se visualizzare una notifica sul dispositivo dell’utente esposto al rischio di contagio, avvertendolo dell’avvenuto contatto, comunicando la data dello stesso e invitandolo a contattare il proprio medico di medicina generale o il pediatra di libera scelta.
Come è fatta?

L’app Immuni include varie sezioni, ma in generale è piuttosto semplice per il modo in cui si presenta all’utente; ecco alcune immagini utili per capire come è fatta (schermate disponibili sul sito di Immuni al 15 giugno 2020).

Benvenuto: alcune delle schermate che compaiono appena si scarica l’app; si spiega quali sono gli intenti e il funzionamento dell’applicazione, con i relativi link di approfondimento.

App Immuni benvenuto

Permessi: dopo aver richiesto regione e provincia di residenza, l‘app chiede di abilitare le notifiche di esposizione al Covid-19 e di attivare il Bluetooth..

App Immuni permessi

Notifica di contatto a rischio: un esempio dell’allerta che arriva quando l’app rileva un contatto a rischio avuto nei giorni precedenti con una persona positiva al Covid-19; vengono date anche alcune indicazioni da seguire.

App Immuni notifica

La comunicazione di positività: se una persona che ha scaricato Immuni riceve notizia di positività al Covid-19 dopo il tampone, potrà aprire queste schermate in basso con l’assistenza di un operatore sanitario. La comunicazione (volontaria) di questi codici all’operatore permetterà di condividere i propri codici casuali nel sistema; in questo modo sarà possibile l’invio delle notifiche di allerta alle persone con cui l’utente positivo ha avuto contatti prolungati e ravvicinati nei giorni precedenti. La comunicazione della provincia servirà al ministero della Salute per tenere monitorata la diffusione dell’epidemia sul territorio. Il tutto avviene in modo anonimo.

App Immuni caricamento dati

Dove vengono conservati i dati?

Verranno utilizzati due “luoghi”: i server gestiti da Sogei, società informatica controllata dallo Stato, dove dovrebbero essere caricati i codici anonimi di chi risulta positivo al Covid-19, se quest’ultimo decide di farlo; e poi i dispositivi degli utenti stessi che scaricano l’app, dove vengono conservati (lo confermano anche i nostri test) i codici anonimi che gli smartphone si scambiano quando sono vicini, secondo le interfacce di programmazione Apple-Google.

Per quanto tempo verranno conservati i dati?
I tempi di conservazione variano a seconda del tipo di dato trattato, come indicato nell’informativa privacy della app. In ogni caso, come stabilisce anche la normativa che regola questa applicazione, il trattamento di dati personali sarà interrotto alla fine dello stato di emergenza e comunque non oltre il 31 dicembre 2020. Entro la stessa data, inoltre, tutti i dati personali trattati dovranno essere cancellati o resi definitivamente anonimi.
Per quali dispositivi è disponibile?

L’approccio decentralizzato scelto per ragioni di sicurezza (che prevede che alcuni dati vengano conservati sul dispositivo, come descritto in “Dove vengono conservati i dati?”), comporta delle limitazioni tecniche, per cui non si può scaricare Immuni su tutti gli smartphone. Questo dipende dal fatto che l’app si fonda su un “codice” (un API) appositamente creato da Google e Apple, ma disponibile per il download solo per alcuni dispositivi (questo API è necessario per far funzionare l’approccio decentrato e per la comunicazione tra i diversi sistemi operativi dei telefoni, Android e iOS).

Il punto, però, è che - affinché questa applicazione sia davvero efficace - è necessario che vi sia una sua diffusione di massa, per questo l’app va resa disponibile su più smartphone possibili e per questo Altroconsumo si aspetta un impegno e un ruolo attivo anche da parte di Apple e Google.

Al momento sono questi i telefoni che possono e non possono scaricare l’app.

  • Android: è necessario aver installato sullo smartphone la versione di Android 6.0 (“Marshmallow”) o successive. Android 6 è stato rilasciato nell’ottobre 2015 e gli smartphone usciti prima potrebbero non essere aggiornati con questa versione del sistema operativo. In particolare quasi tutti gli smartphone del 2013 e precedenti potrebbero essere esclusi.

Un’altra piccola limitazione per quanto riguarda Android, è che il sistema (API) che fa funzionare Immuni non è integrato direttamente in Android, bensì nell’applicazione di sistema “Google Play Services” (preinstallata di default in tutti gli smartphone Android), che deve essere aggiornata all’ultima versione disponibile (20.18.13 o superiore): normalmente avviene in automatico, ma potrebbero esserci dei casi in cui non funziona proprio per questo mancato aggiornamento.

Per farci un’idea di quanti telefoni hanno una versione del sistema operativo antecedente alla 6 e che quindi non potrebbero scaricare Immuni, a inizio 2020 nel mondo, risultavano circa l’11% del totale (dati StatCounter).

Inizialmente gli smartphone Huawei e Honor non consentivano il download dell’app. Ora il problema risulta risolto, anche se solo in parte: a quanto pare infatti, ancora non tutti i telefoni di questi due brand supportano Immuni.

  • iOS: è necessario aggiornare il sistema operativo iOS alla versione 13.5. Per poterlo fare, bisogna avere almeno un iPhone 6s (del 2015) o successivo; ecco quali sono i modelli su cui è possibile scaricare Immuni: iPhone 11, 11 Pro, 11 Pro Max, Xr, Xs, Xs Max, X, SE (2nd generation), 8, 8 Plus, 7, 7 Plus, 6s, 6s Plus, SE (1st generation). Gli Apple precedenti all’iPhone 6s, quindi usciti prima del 2015, non potranno scaricare l’applicazione.

Volendo avere un’idea di quanti potrebbero essere i telefoni esclusi da Immuni: gli iPhone in circolazione con versione del sistema operativo installata antecedente alla 13 risultano essere, sempre a livello mondiale, circa il 30% del totale (fonte: Apple App Store).

Per quanto riguarda le dimensioni del download, Immuni è piuttosto leggera: circa 30 MB per iOS e circa 10 MB per Android, quindi non dovrebbe essere un problema avere lo spazio necessario per installarla nello smartphone.

Come verificare se lo smartphone è aggiornato per scaricare Immuni?

Per poter scaricare Immuni il sistema operativo del telefono deve essere aggiornato almeno alle versioni minime necessarie per il funzionamento dell’app:

  • se avete uno smartphone Android, aprite l’app “Impostazioni”, andate su “Sistema” - “Avanzate” - “Aggiornamento di sistema” o “Info telefono” (questi nomi potrebbero variare leggermente a seconda della versione di Android e del brand del vostro smartphone). In questa schermata potete verificare se la versione di Android installata è almeno la 6 (necessaria per Immuni), sia verificare se sono presenti aggiornamenti da scaricare.

    Se, nonostante abbiate Android 6 o successivi, non riuscite a scaricare Immuni, il motivo potrebbe essere che il vostro smartphone non dispone della tecnologia Bluetooth Low Energy, oppure che non supporta l’ultima versione di Google Play Services (potete verificarlo accedendo a questa app dal menu “App” delle impostazioni del vostro smartphone), oppure che il vostro smartphone è un Huawei (vedi il paragrafo “Per quali dispositivi è disponibile?”).
  • se avete un iPhone, aprite l’app “Impostazioni”, andate su “Generali” e poi “Info”: verificate che la versione di iOS che avete sul vostro iPhone sia almeno la 13.5 necessaria per il funzionamento di Immuni, oppure toccate “aggiornamento software”.

Ti invitiamo a registrarti gratuitamente al sito di Altroconsumo e ad accedere a molti servizi pensati in esclusiva per i nostri FAN. Potrai consultare alcuni dei risultati dei nostri test su prodotti e servizi, partecipare alle nostre community, inviare un reclamo verso aziende e fornitori di servizi, aderire alle nostre azioni di classe, gestire tutto questo dalla tua area personale del sito. Clicca qui.