Stefano Mele, socio di Carnelutti Studio Legale Associato, è tra i massimi esperti internazionali di cybersecurity e di intelligence.
In questi giorni ha dichiarato al Sole 24 Ore che, al fine di evitare accessi indesiderati, sarà necessario conservare i dati dei cittadini – e i loro backup – in sistemi informatici gestiti direttamente ed esclusivamente dal nostro Governo e all’interno del territorio italiano. Se l’app Immuni sarà adottata per il controllo della fase 2 della pandemia, essa dovrà avere una gestione tutta governativa.
Noi di bonculture abbiamo avuto la possibilità di contattarlo ed intervistarlo.
Avvocato Mele, quali sono le sue considerazioni sull’app Immuni? Ha avuto modo di visionarla?
È un’applicazione che è stata creata da un soggetto esterno al governo, la società italiana Bending Spoons, per tracciare i contatti dei cittadini italiani che avverranno durante la fase 2 e anche successivamente, dato che l’emergenza sanitaria del Covid-19, probabilmente, ci accompagnerà ancora per molti mesi. Nonostante l’assoluta rilevanza di questa applicazione, pochissime persone l’hanno visionata e questo elemento rappresenta senz’altro un primo elemento di criticità. Infatti, allo stato attuale non conosciamo ancora i criteri che hanno guidato il Ministero dell’Innovazione Tecnologica a prediligere questo progetto tra i 318 pervenuti. Peraltro, la task force di esperti chiamata a valutarla, l’unica che materialmente conosce questa app e il servizio che le sarà affiancato, incredibilmente non aveva al suo interno neanche un esperto di cybersecurity. Una professionalità, a mio avviso, fondamentale quanto si valuta un progetto così delicato che poggia su tecnologie così invasive. Come dicevo, chi sta all’esterno, invece, ha avuto la possibilità di attingere a pochissime informazioni, molto frammentate e soprattutto scarsamente rilevanti. Informazioni, quelle sull’app e sul progetto, di cui necessiteremmo per comprendere a pieno una questione così delicata come questa: un app che (teoricamente) verrà installata sui cellulari di tutti i cittadini italiani, che traccerà tutti i nostri contatti e che inevitabilmente impatterà fortemente sul diritto alla privacy di chi è stato contagiato e di chi è entrato in contatto con loro. Ci saremmo aspettati maggiore trasparenza, ma spero ancora che non sia stata detta l’ultima parola.
Da alcune dichiarazioni rese dal Ministro Speranza, si evince che questa app dovrebbe essere utile esclusivamente alla sanità territoriale per il controllo dei dati e che quindi il cittadino italiano, a differenza delle app utilizzate in Cina e in altre nazioni, non saprà mai chi sul suo territorio è stato contagiato.
Mi auguro che sia così: gli esperti esterni stanno cercando di sensibilizzare il nostro Governo per fare il meglio nell’interesse di tutti. In tempi di gravi crisi come quella che stiamo purtroppo vivendo, i diritti fondamentali – come lo è quello alla privacy e alla protezione dei dati personali – posso (e anzi devono, se necessario) essere compressi. Non di certo, però, essere completamente cancellati, come sembrano invocare alcuni politici e alcuni noti personaggi televisivi. Pertanto, ancora una volta, mi aspetto e auspico che sia esclusivamente così, ovvero che i dati dei cittadini vengano resi noti soltanto a chi è deputato effettivamente a gestire questa emergenza sanitaria. E sul tema i Decreti del Governo sono chiari: Protezione Civile e Ministero della Salute.
Potrebbero però essere coinvolti anche i sindaci. Potrebbero essere tante le persone a conoscenza di questi dati.
Se la scelta sarà fatta oculatamente, io non credo che saranno tante. E’ vero che una folta rete di soggetti dovranno inevitabilmente lavorare a supporto del Ministro della Salute, ivi compresi coloro che operano nelle articolazioni locali, ma auspico anche in questo che la selezione sia tarata sulle effettive necessità.
Ritiene che questo aspetto possa essere pericoloso per l’ordine pubblico?
Non è una questione di pericolosità. E’ una questione di seguire le norme e, ancor prima, il buon senso. Stiamo parlando dei dati relativi allo stato di salute di una moltitudine di soggetti, arricchiti dai loro dati personali e dai dati relativi alle interrelazioni sociali. Credo che chiedere che vengano gestiti con attenzione e che vengano protetti sia davvero il minimo. Infatti, di fondamentale importanza è anche il tema della sicurezza cibernetica, delle misure tecniche e organizzative che saranno messe a protezione per evitare che qualche malintenzionato possa accedere a queste informazioni, rubarle, pubblicarle, utilizzarle per scopi commerciali e così via.
Sempre il Ministro Speranza ha evidenziato che in questi mesi la sanità territoriale ha dovuto fidarsi dei resoconti dei contagiati e dei loro racconti sulla loro rete di contatti da mettere poi in quarantena. La app aiuterà le Asl in questa ricostruzione, ma allo stesso tempo le chiedo: se la app non servirà ad una salute pubblica collettiva ed allargata è davvero indispensabile secondo lei?
Ha toccato un punto nevralgico. Infatti, a mio personalissimo avviso, dalla fase 2 in poi, l’app non serve più. A prova di ciò, evidenzio che nelle altre nazioni l’app è stata utilizzata in una fase differente, ossia nella prima fase, quella prima del picco. Quindi, è stata giustamente utilizzata per evitare il diffondersi dei contagi, per accorciare il tempo di arrivo al picco e per evitare la chiusura della nazione. Tra l’altro, anche in questi Paesi e in questa fase l’app si è dimostrata uno strumento poco utile. Se ciò è vero, in questa seconda fase io credo che l’app sia uno strumento addirittura sproporzionato rispetto all’obiettivo che si è posto il governo. Tuttavia, se il Governo deciderà che questa è la sua “strategia” futura, non possiamo fare altro che accettare questa strada, ma quello che sicuramente possiamo e dobbiamo fare è chiedere con forza quella rete protettiva fatta di diritti certi e riconosciuti, misure di sicurezza stringenti, controllo ferreo su chi riceve le informazioni, quali riceve e che cosa ne fa.
Chi si può infiltrare nell’app?
L’applicazione al momento utilizza una tecnologia, che si chiama Bluetooth, che si caratterizza per essere particolarmente debole sotto il profilo della sicurezza delle informazioni. La preoccupazione dei tecnici, allora, è che questa app, dialogando con una tecnologia/protocollo di comunicazione insicuro, possa essere facilmente violata. Da qui ogni comportamento è possibile per l’attaccante: si può facilmente infettare il telefono, si possono sottrarre i dati, manipolarli, anche quelli relativi ai contatti o quelli che indicano se si è stati contagiati oppure no, creando delle statistiche non veritiere e dei falsi positivi.
Nella prima fase moltissimi sindaci pugliesi hanno scritto al presidente e assessore alla Sanità Michele Emiliano per indurlo a comunicare i nomi dei contagiati e dei quarantenati.
Per dare un giudizio preciso dovrei sapere per quali finalità siano stati richiesti questi dati personali. Un’eventuale loro richiesta temeraria, infatti, mi potrebbe portare a dire che questi sindaci non hanno idea delle leggi che regolamentano la privacy e la protezione dei dati personali.
L’App Immuni non potrebbe far sì che aumentino queste loro richieste?
L’app potrebbe sicuramente avere quest’ulteriore effetto, ma non è assolutamente detto che in tutti i casi gli amministratori locali abbiano la necessità di conoscere i dati identificativi e personali delle persone contagiate.
Anche se però sembra ci siano delle esigenze sulla raccolta dei rifiuti dei contagiati.
Ovviamente, se ci dovessero essere delle specifiche esigenze che giustifichino questo trattamento di dati personali, le si potranno valutare caso per caso. Spesso, infatti, la finalità si può raggiungere anche attraverso i dati anonimi. Se ciò è possibile, allora la normativa ci dice che non devono essere utilizzati i dati identificativi delle persone fisiche. Ribadisco un concetto che reputo fondamentale: la privacy e la protezione dei dati personali è un diritto fondamentale previsto nell’articolo 8 della Carta di Nizza, ovvero è un diritto posto a fondamento dell’Unione Europea. E, badi, i diritti fondamentali sono di pari dignità tra di loro, anche se la nostra percezione è differente.
A questo punto la app della Cina è qualcosa di aberrante secondo lei?
Certo e non può che essere così, se letta con gli occhi occidentali. Infatti, stiamo parlando di una nazione caratterizzata da tradizioni culturali e giuridiche completamente differenti rispetto alle nostre. Abbiamo differenti visioni all’interno dell’Unione europea, figuriamoci con la Cina. Tra l’altro parliamo di una nazione che ha abituato i suoi cittadini al controllo e alla sorveglianza tecnologica in maniera capillare. In Cina essere spiati è la normalità e lo è da molti anni. Purtroppo, i cittadini cinesi sono ormai abituati a tali pratiche.
Avvocato, lei allora consiglierebbe di scaricare Immuni?
Al momento non posso dare un giudizio specifico che sia basato su dati effettivi. Mi riservo di tirare le somme e fare questa valutazione nel momento in cui il governo e chi sta gestendo questo progetto rilesceranno pubblicamente tutte le informazioni. Quando avrò le informazioni sul perché è stato scelto questo fornitore, su come è stata fatta l’applicazione, su quali misure di sicurezza cibernetica sono state implementate nella app e nei sistemi che riceveranno i miei darti, allora mi riserverò di dare un giudizio. Tuttavia, la sensazione che al momento ho è che ci si stia muovendo “a tentoni”. Quindi, se le cose continueranno ad essere così e soprattutto continueranno a mancare le informazioni più elementari utili a soddisfare quel principio di trasparenza che dovrebbe essere la base dell’agire del Governo, soprattutto su un progetto così delicato per tutti i cittadini italiani, onestamente non la installerò.
È