Osservazioni sull’App di tracciamento “Immuni Bending Spoons”
Il commissario straordinario per l’emergenza sanitaria Domenico Arcuri ha firmato l’ordinanza con cui dispone la stipula del contratto di cessione gratuita della licenza d’uso sul software e di appalto di servizio gratuito con la società Bending Spoons, la quale si occuperà anche degli aggiornamenti necessari nel corso dei mesi.
CONSIDERANDO
che l’app viene rilasciata in formato eseguibile sui vari store, e non si può sapere cosa fa veramente l’app senza avere il codice sorgente, a chi vengono inviati i dati e chi può accedere a tali dati,
Il FerDevTeam, il team degli studenti dell’IISS Epifanio Ferdinando di Mesagne, che si occupa di creare e testare le diverse piattaforme della scuola, e sono makers di diverse app create per la scuola,
e la redazione di emergenzaclimatica.it, portale realizzato in Alternanza Scuola Lavoro con il Cedeuam di UniSalento coordinato dal Prof. Michele Carducci, ordinario di Diritto Costituzionale Comparato e Diritto del Clima presso l’Università di Lecce,
fanno le seguenti osservazioni riguardo all’app approvata dal Governo:
1. su che server sono inviati i dati raccolti dall’app? Pubblico o privato, gestito da chi?
2. chi è proprietario di quel database server? Dove è ubicato fisicamente, in quale nazione e in che giurisdizione giuridica ricade?
3. chi ha accesso a quel database? E con quali privilegi? Quale Ministero?
4. Siccome raccoglie dati molto sensibili sulla salute e anche per la privacy dei cittadini, anche se su base volontaria, dato che è raccomandato dal nostro Governo, in quali casi possono essere usati tali dati? Solo per scopi sanitari e da chi?
Esempio: uno positivo covid, i suoi dati sanitari possono arrivare a una società di assicurazioni, che ne valuta il rischio in caso di richiesta di polizza di assicurazione sulla vita o a una banca in caso di istruzione di accesso a un mutuo pluriennale?
5. Tutela privacy: l’app dovrebbe rintracciare anche contatti e assembramenti con persone vicine: ma solo con chi ha installato l’app o con tutti?
6. I dati dell’app vengono inviati al database via JSon: ma vengono inviati solo al server indicato (se è stato indicato) o anche ad altre fonti nascoste nel codice?
7. La volontarietà dell’app poi, sacrosanta, ma la rende abbastanza inefficace e praticamente inutile….
8. Non si sa poi se tutti i dati, sia quelli trasmessi via Bluetooth che quelli mandati al server siano criptati e con che chiave di sicurezza, per evitare lo sniffing dei dati durante le connessioni.
Noi del FerdevTeam chiediamo al Ministero di farsi consegnare il codice sorgente dell’app per sapere davvero quali dati vengano presi dai cellulari dei cittadini e a chi vengono distribuiti.
Nella speranza di aver dato un contributo utile alla valutazione dell’app,
Gli studenti del FerDevTeam
IISS Epifanio Ferdinando – Mesagne
www.iissferdinando.it/alternanza
Gli studenti della redazione di
