Giovedì, 30 Dicembre 2021 18:14

Diritto alla riservatezza e vaccinazioni. In evidenza

Scritto da

I rischi sulla sicurezza dei dati e l'impenetrabilità delle APP utilizzate.

Salerno, 30 dicembre 2021 - Il diritto alla privatezza dei cittadini è sempre stato contrastato da svariate esigenze pubbliche e private: l’intrusione dei governi nella vita dei cittadini per combattere il terrorismo, e l’uso e abuso dei dati personali degli internauti da parte delle Big Tech a scopi commerciali.

Questa difficile bilancia di interessi contrapposti non ha comunque impedito un effettivo progresso nelle leggi sulla protezione dei dati personali, come la legge Europea GDPR di cui il nostro paese è stato all’avanguardia e l’introduzione di figure istituzionali chiave come quella del nostro Garante della Privacy che hanno svolto un ruolo di salvaguardia del diritto alla riservatezza.

La pandemia in corso ed in particolare la risposta ad essa messa in atto dalle istituzioni ha però posto un accento nuovo e unico nella storia sulla riservatezza dei dati personali dei cittadini, in particolare di quelli sanitari.

È innegabile che un gruppo non trascurabile della società è restio a sottoporsi alla vaccinazione SARS-COV-2, e che dall’altra parte vi è un gruppo contrapposto che considera questo rifiuto non una libera scelta ma un rischio che mette a repentaglio la collettività.

 In un clima infuocato siffatto, la riservatezza sul proprio stato vaccinale può avere ripercussioni importanti sulla propria vita personale e sfociare in mobbing sul luogo di lavoro e finanche alla violenza psicologica in diversi ambienti sociali.

Pertanto, in questo contesto il diritto alla privacy assume anche i connotati della difesa del diritto al lavoro e della dignità umana da salvaguardare.

La certificazione verde, il cosiddetto green pass, è stato proposto come strumento di contenimento della pandemia che garantisca in certa misura la privatezza del proprio stato sanitario. Essenzialmente, l’idea del green pass può essere riassunta nella seguente formula: il verificatore può controllare che il soggetto sottoposto a controllo possiede uno tra tre requisiti (vaccino, tampone o certificato di guarigione) senza rivelare al verificatore quale dei tre si tratti. Non mi pronuncio sul valore epidemiologico del green pass, a riguardo mi limito a segnalare come comitati scientifici e tecnici di altri paesi Europei (e non solo) si siano espressi spesso contro l’estensione del lasciapassare ad ambiti che vadano oltre quello degli spostamenti trans-nazionali, a testimonianza del fatto che non vi sia unanimità scientifica sulla bontà di questa misura.

Per quanto riguarda la privacy, nella mia intervista a Byoblu del 10 Agosto ho descritto ampiamente quali sono i rischi sottesi al sistema delle certificazioni verdi.

Qui voglio evidenziare problematiche importanti che sono state trascurate dal dibattito, le cui mancanze possono avere effetti sulla sicurezza e riservatezza, non solo dei dati sanitari ma altresì sulla riservatezza degli spostamenti dei cittadini.

Prima richiamo quale sia il tallone d’Achille del sistema delle certificazioni verdi.

Il d.l. del 22 aprile 2021 all’articolo 13, comma 1, recita quanto segue:

“La verifica delle certificazioni verdi COVID-19 è effettuata mediante la lettura del codice a barre bidimensionale, utilizzando esclusivamente l’applicazione mobile descritta nell’Allegato B, paragrafo 4 (ossia l’App VerificaC19), che consente unicamente di controllare l’autenticità, la validità e l’integrità della certificazione, e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione.”.

Inoltre, il comma 5 del medesimo articolo continua: “L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma.”.

Il punto dolente è che il green pass soddisferebbe questi requisiti solo e soltanto assumendo che il verificatore sia onesto e usi l’App VerificaC19. In sostanza, un verificatore disonesto interessato per svariati motivi a raccogliere dati riservati dei cittadini, non seguirà di certo le intenzioni del legislatore di usare esclusivamente l’App VerificaC19 ma potrà usare una app differente che invece raccoglie più dati del necessario. Facendo così il verificatore sta violando la legge, ma se è disonesto ne è consapevole e ha interesse a farlo. Realizzare una siffatta app che legga il codice QR, raccolga tuti o alcuni dati privati del cittadino (per esempio se il suo green pass sia relativo a tampone, vaccino o certificato di guarigione) e li salvi per usi malevoli è possibile e facile. Inoltre, tale app può essere perfettamente indistinguibile dalla App ufficiale VerificaC19, ossia può avere una grafica che rende quasi impossibile per il soggetto verificato realizzare che il verificatore stia usando una app malevola.

Che questo problema sussista e vada affrontato lo ha testimoniato la Svizzera che, con l’intento di ovviare a queste debolezze del green pass, ha introdotto il cosiddetto light pass. Un light pass è tale che il codice QR di un vaccinato o di un cittadino sottoposto a tampone sono identici, impedendo quindi ad un verificatore disonesto di ottenere informazioni private sul cittadino sottoposto a controllo. Inoltre, il Garante della Privacy Svizzero ha fortemente consigliato ai cittadini svizzeri di usare il green pass solo per spostamenti fuori dai confini nazionali e di usare il light pass all’interno del proprio paese.

L’argomento di cui, a mio avviso, si è parlato poco è che i verificatori potrebbero essere perfettamente onesti ed in buona fede ma inconsapevolmente vittime di attacchi informatici. Infatti, degli hacker potrebbero aver provveduto ad istallare sui telefoni dei verificatori una versione malevola dell’App VerificaC19, o più generalmente un malware, al fine di raccogliere i dati sensibili dei cittadini oggetto di verifica e inviarli agli hacker o addirittura pubblicarli su Internet.

Come i recenti fatti di cronaca accaduti nella Regione Lazio ci testimoniano, violare sistemi informatici protetti da professionisti della sicurezza, non è per niente impossibile. E lo è ancor meno manomettere dispositivi di verificatori che spesso sono semplici telefoni antiquati lasciati a volte (si pensi a bar e ristoranti) incustoditi e verso cui non è stata fatta nessuna campagna informativa atta a metterli a conoscenza di tali pericoli. Una attività commerciale si potrebbe trovare nella spiacevole situazione di raccogliere, a propria insaputa, dati sensibili di cittadini a vantaggio di un hacker che potrebbe aver predisposto un malware che renda pubblici tali dati, con ripercussioni devastanti non solo sulla privacy dei cittadini coinvolti ma anche sulla reputazione della stessa attività commerciale.

Si noti che l’effetto di un siffatto malware va al di là della violazione dei dati sanitari dei cittadini presi individualmente. Dai dati ottenuti da un ipotetico malware, infatti, si potrebbe evincere se e quando due cittadini sono stati presenti nello stesso luogo e quindi si sono incontrati. Malintenzionati potrebbero essere interessati ad eseguire questi attacchi ai fini della vendita dei dati così ottenuti a terzi.

Fino ad oggi, quantità enormi di dati confidenziali e sanitari di cittadini erano state gestite esclusivamente da enti e servizi specializzati amministrati da professionisti della sicurezza. È la prima volta che migliaia di migliaia di attività commerciali debbono gestire una mole enorme di dati confidenziali di cittadini senza alcuna preparazione in ambito di sicurezza informatica e, soprattutto, senza nemmeno che esse siano state messe a conoscenza dei potenziali rischi che incorrono nell’eventualità che i propri dispositivi siano stati manomessi da malintenzionati o infettati da malware.

Contro questi pericoli non è stata fatta nessuna campagna mediatica di informazione. Informare e mettere a conoscenza dei potenziali rischi non è un atto di critica verso le istituzioni o “terrorismo psicologico”, ma è bensì prevenzione.

E la prevenzione non può essere scissa dalla trasparenza. Non vi può essere prevenzione efficace di un rischio senza trasparenza verso i cittadini del funzionamento del sistema che può generare il rischio. Una debole trasparenza può avere conseguenti notevoli anche sulla privacy. Si pensi a cosa è accaduto nel mondo della scuola a seguito della introduzione della cosiddetta piattaforma della scuola, presentata come un sistema per facilitare ai presidi il controllo dei green pass e al contempo garantire la privacy del personale scolastico.

Ai primi di settembre, migliaia di insegnanti si sono visti segnalare un “cartellino rosso” dal proprio preside nonostante non stessero eludendo in alcun modo le normative sul green pass. Succedeva, e probabilmente sta tutt’oggi accadendo, che molti insegnanti fossero in regolare servizio ma nelle proprie case poiché’ senza alcun carico didattico in quei giorni. In quel caso, i non vaccinati tra loro non erano tenuti a possedere alcun green pass valido, essendo il possesso del green pass necessario solo quando presenti fisicamente nel perimetro della scuola. Purtroppo, la piattaforma pare non aver contezza di questo stato (ossia del fatto che l’insegnante sia fisicamente a scuola o meno) e quindi i presidi e i loro delegati hanno potuto e possono visualizzare i green pass degli impiegati scolastici anche quando in teoria non dovrebbero. In tal caso il danno per gli insegnati è evidente: il loro stato di non vaccinati è divulgato, e per impedire ciò dovrebbero sottoporsi a tamponi anche quando non strettamente necessario (si pensi alle DAD per esempio).

Trasparenza, privacy e sicurezza informatica dovrebbero viaggiare sullo stesso binario. Purtroppo, da parte del governo vi è una accelerazione sull’estensione del sistema green pass senza una opportuna comunicazione. Recentemente, è stata introdotta in sordina un nuovo sistema di controllo delle certificazioni verdi all’interno della piattaforma NoiPA appartenente al M.E.F. che, similmente a quella per la scuola, permetterebbe il controllo delle certificazioni verdi a milioni di dipendenti pubblici.

Per questo, chiediamo ancora una volta al governo trasparenza e una effettiva campagna di informazione sul funzionamento di questi nuovi sistemi per impedire che si ripropongano i problemi e gli abusi già menzionati nel settore scuola.

Vincenzo Iovino

(Università degli Studi di Salerno)