In quest’ultimo periodo si parla sempre di più delle applicazioni di contact tracing, in quanto il modello centralizzato usato da queste app viene ritenuto al quanto pericoloso dagli esperti della privacy.
Durante le scorse settimane, s’è sviluppato a livello internazionale un dibattito proprio sul grado di tutela della privacy nelle varie applicazioni di contact tracing. Tutto ciò mentre in Italia è stata lanciata la nuova app Immuni, sulla quale si sono abbattute diverse polemiche.
Sono stati in molti a chiedersi quale sia stato il protocollo più sicuro tra quelli che sono stati avanzati per rendere sicure anche le applicazioni di contact tracing. Discussione che ha portato alla creazione di maggiore confusione rispetto alle applicazioni di contact tracing e al modello centralizzato.
Nel corso delle settimane passate in tutto il mondo c’è stata la presentazione di vari protocolli che possano tutelare maggiormente la privacy nell’ambito del contract tracing. La maggior parte di questi protocolli prevede naturalmente il download e l’installazione dell’applicazione sullo smartphone. L’app si connette in modo periodico ad un server che è gestito successivamente da un’autorità centrale, con il quale si scambiano alcuni dati.
Tra i principali protocolli di cui si sta valutando l’uso ci sono:
Per stabilire il grado di protezione delle applicazioni di contact tracing si richiedono delle competenze al quanto tecniche, non vige un accordo unanime infatti, nemmeno tra coloro che lavorano nel settore. In ogni fase dell’uso di tali applicazioni sono coinvolti diversi soggetti tra i quali: l’utente che usa l’applicazione, i contatti nelle vicinanze, il gestore della rete, l’autorità centrale a cui è connesso il relativo dispositivo.
In modo ipotetico, dal punto di vista tecnico, questi attori possono agire in modo errato, ovvero potrebbero compromettere la privacy oppure la sicurezza dell’utente, o altri requisiti compresi quelli che coinvolgono l’integrità dei dati che vengono raccolti. In gergo tecnico, insieme agli altri attori, le vulnerabilità e i rischi finali caratterizzano uno scenario che può compromettere il protocollo. In questo caso, gli utenti che agiscono in modo errato prendono il nome di avversari e ogni threat model presenta degli attacchi che gli avversari potrebbero cercare d’attuare.
Detto ciò, dunque qual è il protocollo migliore per la privacy? Lo scorso, 21 aprile, l’European Data Protection Board ha pubblicato le linee guida dedicate al contact tracing. Il documento ha dichiarato che sia le applicazioni con sistema centralizzato sia decentralizzato sono praticabili, a condizioni che siano adottate delle misure di sicurezza idonee dove vengono descritti i vantaggi e gli svantaggi di ognuna.
Sei interessato alla privacy? Continua a seguire il nostro blog! Se invece sei interessato a diventare un esperto del settore scopri il corso di Musa Formazione in Data Protection Officer.
La valutazione dei protocolli e modelli per le applicazioni di contact tracing
Nel corso delle settimane passate in tutto il mondo c’è stata la presentazione di vari protocolli che possano tutelare maggiormente la privacy nell’ambito del contract tracing. La maggior parte di questi protocolli prevede naturalmente il download e l’installazione dell’applicazione sullo smartphone. L’app si connette in modo periodico ad un server che è gestito successivamente da un’autorità centrale, con il quale si scambiano alcuni dati.
Tra i principali protocolli di cui si sta valutando l’uso ci sono:
- Il DP-3T: questo protocollo è stato sviluppato inizialmente da un gruppo di ricercatori dell’EPFL di Losanna in collaborazione con altri ricercatori di università europee e istituti. Il protocollo che viene sviluppato dal team prevede un’applicazione open source, che possa essere definito decentralizzato in quanto il server ottiene una quantità di dati molto limitata.
- ROBERT: il protocollo Robert è stato sviluppato invece dalla Inria che rappresenta essenzialmente la proposta ufficiale del PEPP-PT a cui si conforma anche l’applicazione Immuni. Secondo i documenti che sono forniti dagli sviluppatori, questo protocollo di tipo decentralizzato prevede che l’autorità centrale processi un maggior numero di dati e gestisca il processo per la notifica degli utenti che sono a rischio.
- Protocollo Google e Apple: mentre ROBERT e DP-3T sono di fatto dei prototipi di applicazioni, il protocollo messo a disposizione da Apple e da Google consiste invece in un insieme di API, Application Programming Interface, ovvero un insieme di funzionalità che vengono messe a disposizione degli sviluppatori di applicazioni, vincolandole a Apple o a Google. Questo protocollo è decentralizzato e considerato più sicuro.
Perché le app di contact tracing e privacy hanno una relazione complessa?
Per stabilire il grado di protezione delle applicazioni di contact tracing si richiedono delle competenze al quanto tecniche, non vige un accordo unanime infatti, nemmeno tra coloro che lavorano nel settore. In ogni fase dell’uso di tali applicazioni sono coinvolti diversi soggetti tra i quali: l’utente che usa l’applicazione, i contatti nelle vicinanze, il gestore della rete, l’autorità centrale a cui è connesso il relativo dispositivo.
In modo ipotetico, dal punto di vista tecnico, questi attori possono agire in modo errato, ovvero potrebbero compromettere la privacy oppure la sicurezza dell’utente, o altri requisiti compresi quelli che coinvolgono l’integrità dei dati che vengono raccolti. In gergo tecnico, insieme agli altri attori, le vulnerabilità e i rischi finali caratterizzano uno scenario che può compromettere il protocollo. In questo caso, gli utenti che agiscono in modo errato prendono il nome di avversari e ogni threat model presenta degli attacchi che gli avversari potrebbero cercare d’attuare.
Detto ciò, dunque qual è il protocollo migliore per la privacy? Lo scorso, 21 aprile, l’European Data Protection Board ha pubblicato le linee guida dedicate al contact tracing. Il documento ha dichiarato che sia le applicazioni con sistema centralizzato sia decentralizzato sono praticabili, a condizioni che siano adottate delle misure di sicurezza idonee dove vengono descritti i vantaggi e gli svantaggi di ognuna.
Sei interessato alla privacy? Continua a seguire il nostro blog! Se invece sei interessato a diventare un esperto del settore scopri il corso di Musa Formazione in Data Protection Officer. 
