In questi giorni si aspetta una linea guida per la fase 2 italiana dell’emergenza Covid-19, nella quale pare saremo tutti tracciati con l’app Immuni. Molti cittadini hanno paura per il trattamento dei proprio dati, molti hanno paura di attacchi, uso illecito e hanno già deciso che non useranno l’app. Sotto altri punti di vista questo tracciamento è fondamentale per tenere sotto controllo i contagi, conoscere nuovi focolai, intervenire al più presto. Con queste applicazioni è possibile anche conoscere se si è venuti a contatto con qualcuno infetto e molti credono sia fornito il nome. A tal proposito un gruppo di ricercatori su privacy e sicurezza hanno sviluppato un protocollo per il rispetto della privacy: ROBERT.
ROBERT è l’acronimo di ROBust and privacy-presERving proximity Tracing protocol, basato su un’infrastruttura server federata e identificatori anonimi temporanei con forti garanzie di sicurezza e privacy. Il protocollo ROBERT per la prevenzione dei contagi Covid-19 è stato sviluppato da Inria e Fraunhofer AISEC.
La protezione dei dati avviene seguendo le regole del regolamento europeo GDPR. Saranno utilizzati solo i dati utili all’iniziativa PEPP-PT per avvisare gli utenti se sono entrati in contatto con soggetti infetti. Seguendo questo protocollo nessuna app memorizzerà i dati relativi alla geolocalizzazione ma solo i sintomi registrati da nickname (numeri random rappresentati nel progetto con forme geometriche).
Il gruppo di ricerca specifica inoltre che il protocollo è robusto ad attacchi sia al database sia all’utente da autorità centrali, altri utenti e malintenzionati. Nessun utente otterrà quindi informazioni degli utenti, neanche degli utenti con cui si è entrati in contratto. Infine l’autorità centrale non sarà in grado di ricevere nessuna informazione dell’utente diagnosticato o meno.
Nonostante le precauzioni di sicurezza, i ricercatori non negano che possano esserci utenti malintenzionati oppure un’autorità centrale curiosa in grado di incrociare i dati con altre tecnologie per cercare di risalire all’identità.
1. IDENTIFICAZIONE: l’applicazione comunica ai dispositivi vicini via Bluetooth il suo nickname. Una volta finita la fase di esplorazione il dispositivo salva localmente la lista dei nickname trovati.
2. DICHIARAZIONE DI CONTAGIO: nel caso in cui il soggetto scoprisse di essere positivo, può decidere di comunicare la sua positività ai soggetti con cui ha avuto un contatto entro 2 settimane. In quel momento l’applicazione crea un etichetta di rischio sul nickname. Il nome non viene utilizzato.
3. RICHIESTA DELLO STATO: una volta che il soggetto positivo ha deciso di condividere il suo stato, l’autorità sanitaria riceverà la lista salvata in locale dei nickname con i quali c’è stato contatto. Non si conoscono però tutti i soggetti con cui è entrata in contatto la persona ma solo quelli riconosciuti via Bluetooth. Dati due soggetti positivi il server non può però capire se questi siano appartenuti alla stessa lista o meno.
Il successo dell’algoritmo dipende molto dall’uso effettuato. I risultati infatti saranno diversi a seconda dell’uso effettuato dall’autorità sanitaria. Da ciò dipendono soggetti che devono essere testati al più presto e soggetti che devono andare o rimanere in quarantena.
Attualmente i ricercatori stanno studiando un modo per applicare il protocollo ROBERT nella prevenzione dei contagi da Covid-19 anche in soggetti sprovvisti di smartphone.