Negli ultimi due anni, il corona virus ha colpito ogni settore produttivo esistente e l’informatica non è stata esente dagli effetti della pandemia, ed anzi, ha giocato un ruolo in prima linea nel tentativo dei paesi europei di contenere la diffusione del virus, attraverso lo sviluppo di app di contact tracking, come l’italiana Immuni, ma non tutte le ciambelle vengono col buco e alcune di queste app si sono rivelate nel corso del 2021, particolarmente problematiche, come nel caso dell’app Luca, sviluppata per conto della Germania in tempi da record, e con forse troppa leggerezza in termini di la tutela della privacy e dei dati personali degli utenti.
La tutela dei dati personali è uno dei temi più importanti di questa epoca, i dati costituiscono una vera e propria miniera d’oro e non sono poche le aziende che hanno costruito la propria fortuna proprio grazie all’analisi dei dati personali, anzi, tutte le grandi società Hi-Tec, dalla Microsoft alla Apple, da Google ad Amazon passando per il metaverso di Meta, fanno largo uso dei dati che riescono ad ottenere sui propri utenti, dai propri utenti, per fornire loro un’esperienza d’uso ideale, questo però comporta non pochi rischi e problemi per la tutela della privacy, che spesso, si trasforma in post virali che viaggiano sui social alla velocità della luce, come il post di cui abbiamo parlato la scorsa settimana riguardante le nuove regole di facebook.
Come anticipato, il tema della tutela dei dati personali è uno dei temi principali di questa epoca ed è stato indicato tra le principali tendenze per il 2022 nell’orbita della sicurezza informatica.
Si chiede sempre più attenzione, soprattutto alle grandi compagnie informatica, sulle modalità di analisi e conservazione dei dati degli utenti, tuttavia, queste stesse indicazioni, non sempre vengono rispettate dagli sviluppatori e non è raro che si verifichino episodi al limite come quello che ha coinvolto l’app Luca.
Il 2022 si è infatti aperto con uno scandalo legato all’utilizzo improprio dell’app tedesca di tracciamento dei contagi da parte di alcuni agenti di polizia che, secondo quanto riportato dai media tedeschi, lo scorso novembre avrebbero presentato istanza per accedere ai dati del sistema di tracciamento ed individuare alcuni potenziali testimoni, durante le indagini avviate al seguito della prematura morte di un uomo.
Ma in che modo la polizia tedesca avrebbe potuto utilizzare i dati dell’app per le proprie indagini?
Come funziona Luca?
Per capirlo bisogna capire come funzionano le app di contact tracking come Luca.
Luca è un app di tracciamento dei contatti, il che significa che ha lo scopo primario di produrre una sorta di mappa virtuale dei contatti che una persona ha con altre persone, in questo modo se una delle persone con cui è entrata in contatto risulta positiva al coronavirus, può essere avvertita per tempo.
Il funzionamento di Luca è per certi versi molto simile a quello di app come l’italiana Immuni, sviluppata per conto del ministero della salute italiana, anche se, presenta alcune differenze, ed una di queste differenze riguarda proprio lo scandalo esploso in germania qualche settimana fa.
Per essere più precisi, il compito di Luca è quello di registrare gli accessi delle persone in determinate strutture, come ad esempio locali ed edifici pubblici, per farlo, l’app utilizza uno scanner di QR Code, che permette quindi di registrare in pochi secondi il proprio accesso alla struttura, nel momento in cui l’app legge il codice, viene inviata una chiave criptata ad un server che quindi registra i dati dello smartphone e dell’utente, in quel luogo.
In questo modo, se in quello stesso edificio, nello stesso arco temporale, dovesse essere registrato un positivo, si verrebbe avvisati immediatamente tramite una notifica a schermo, da parte dell’app Luca.
Differenze tra Luca e Immuni.
Come abbiamo già detto, lo scopo di Luca e Immuni è molto simile, ma le due app operano in modo completamente diverso, a differenza di Luca, l’app Immuni non è progettata per inviare nessun tipo di dati ad un server, e questo può essere verificato analizzando il codice dell’app archiviato nel file APK, attraverso l’utilizzo di software come Java Decompiler.
Altra importante differenza tra Immuni e Luca è che Immuni per funzionare non necessita di uno scanner QR, ma utilizza una serie di sensori tra cui Bluetooth e ricevitore GPS.
Questi due sensori sono fondamentali per il funzionamento dell’app e permettono al software di collocare nello spazio il device e, soprattutto, di entrare in contatto con altri device nelle vicinanze.
Grazie alla tecnologia Bluetooth infatti è possibile scambiare chiavi cifrate che solo un altro dispositivo con installata l’app immuni può ricevere e decifrare, in questo modo, ogni dispositivo conosce la propria posizione e un codice, ricevuto da altre app, che gli dicono se è stato a contatto o meno con persone positive al coronavirus.
Il tutto avviene in maniera cifrata, così che l’utente possa sapere se è stato a contatto con positivi, ma non è possibile, tramite l’app, conoscere l’identità del positivo.
Come abbiamo visto, il funzionamento di Luca segue una logica completamente diversa, basata non su una sorta di identificazione a due fattori, ma attraverso l’archiviazione e analisi di dati stivati in database, che, a quanto si è scoperto di recente, sono consultabili dalle autorità, e questo apre alla possibilità di usi illeciti e illegittimi di quei dati.
Lo scandalo
Il 2022 si è aperto con uno scandalo che vede protagonista proprio l’app Luca e le autorità tedesche, nello specifico, alcuni agenti di polizia della città di Magonza che, lo scorso novembre, durante le indagini sulla morte prematura di un uomo dopo la sua uscita da un locale, hanno fatto ricorso ai dati di Luca per rintracciare alcuni possibili testimoni.
Durante l’ultimo semi lockdown tedesco, che ha visto coinvolta per lo più la popolazione tedesca non vaccinata, la germania ha fatto largo uso di app come Luca che hanno semplificato enormemente la burocrazia e il tracciamento dei contagi.
Nello specifico, i gestori di locali, e la direzione di uffici e strutture aperte al pubblico, erano tenute ad esporre un QR Code, che deve essere scansionato, dopo l’esibizione del green pass, al momento dell’accesso e dell’uscita dalla struttura.
In questo modo, il sistema di tracciamento di Luca poteva sapere per quanto tempo una persona si trovava in una stanza e se in quell’arco temporale erano presenti dei positivi nella stanza e in quel caso, notificare l’avvenuto contatto.
Per poter fare ciò, l’app non solo doveva inviare e trasmettere dati ad un server, ma, i suddetti dati, devono essere archiviati per un periodo di tempo, di almeno una settimana, in appositi database.
Così, quando lo scorso novembre gli agenti hanno iniziato ad indagare sul decesso avvenuto a Magonza, hanno fatto richiesta alle autorità sanitarie locali dei dati del sistema Luca, riuscendo così a collocare l’uomo all’interno di un locale poco prima del decesso e riuscendo anche ad identificare 21 potenziali testimoni, presenti nello stesso momento nell’edificio.
Arriviamo così ai primi di gennaio 2022, quando questa notizia è stata divulgata dai media con conseguente scandalo, per l’utilizzo illegittimo dei dati.
Secondo fonti ufficiali, non c’è un reale rischio per la privacy dei cittadini tedeschi, poiché l’unico modo in cui è possibile accedere effettivamente i dati è in seguito all’autorizzazione da parte delle autorità giudiziarie e sanitarie locali. Queste rassicurazioni tuttavia non sono servite a placare gli animi di chi si sente “monitorato costantemente” dal governo tedesco, e richiede che la propria privacy venga rispettata e che l’app per il tracciamento dei contagi operi nel rispetto delle rigide leggi tedesche in materia di privacy e tutela dei dati personali.
COMMENTI