Immuni, tutto quello che c’è da sapere tra funzionalità, sicurezza e rispetto della privacy

Immuni è ufficialmente disponibile su App Store, ma l'app è davvero sicura? Come saranno trattati i nostri dati? E la privacy?

Magari sarà arrivata con ritardo rispetto alle previsioni e all’emergenza pandemia in Italia, ma l’app Immuni rimane uno strumento importantissimo per monitorare i contatti COVID-19 nei prossimi mesi. Come funziona davvero questa app?

immuni

Come posso scaricare l’app?

Immuni è disponibile gratuitamente su App Store nella categoria Medicina. Malgrado l’app sia stata sviluppata dalla software house italiana Bending Spoons dopo aver vinto una selezione indetta dal governo italiano, ovviamente sullo store compare a nome del Ministero della Salute.

L’app pesa 37 MB e richiede iOS 13.5 o versioni successive. Questo significa che può essere installata su iPhone 6s e modelli successivi: iPhone 11, 11 Pro, 11 Pro Max, Xr, Xs, Xs Max, X, SE (2020), 8, 8 Plus, 7, 7 Plus, 6s, 6s Plus, SE (prima generazione). Senza uno smartphone compatibile, per il momento l’app non è utilizzabile. Immuni è disponibile anche su Google Play Store per smartphone Android, dove sappiamo che i download hanno superato quota 50.000 in poche ore.

Il servizio sarà attivo a partire dall’8 giugno in Abruzzo, Liguria, Marche e Puglia per una prima fase di test. Solo in queste regioni l’app sarà collegata anche al Sistema sanitario nazionale per segnalare i contatti avvenuti con i pazienti positivi. Successivamente, il sistema di tracciamento sarà attivato in tutta Italia. Ovviamente, questo non impedisce agli utenti delle altre regioni di scaricare e attivare già da ora l’app, senza però accesso ai vari servizi.

Ricordiamo che il codice è open source e disponibile su GitHub. La licenza è la GNU Affero General Public License version 3.

Per quanto riguarda il ritardo, non va dimenticato che Apple e Google hanno rilasciato le API solo a fine maggio e che Immuni è una delle prime app al mondo a integrarle.

A cosa serve Immuni?

L’obiettivo dell’app è quello di aiutare a contenere i contagi di COVID-19 in Italia, grazie alle cosiddette notifiche di esposizione. In modo sicuro e nel rispetto della privacy (ne parleremo nel dettaglio dopo), l’app monitora le persone con cui entriamo in contatto e ci informa nel caso una di queste risulti positiva a COVID-19.

Immuni si propone  quindi di avvertire il prima possibile gli utenti potenzialmente contagiati, anche quando sono asintomatici. In questo modo, gli utenti avvisati possono poi isolarsi per evitare il rischio di contagiare altre persone.

Sono obbligato a scaricare l’app?

Assolutamente no. Pur essendo un’app “governativa” che ha un obiettivo importante come quello di tracciare i contatti COVID-19, l’utilizzo di Immuni è assolutamente volontario. Ovviamente, più persone utilizzano l’app e più questo sistema è in grado di contenere la diffusione del virus.

Al primo accesso, dovremo inserire la nostra provincia di domicilio; questo è l’unico dato che dovremo fornire all’app, che rimarrà comunque anonimo. Vanno poi accettati i termini e condizioni, inoltre il servizio potrà essere usato solo dagli utenti che hanno più di 14 anni.

Come funziona Immuni

Al primo lancio, Immuni mostra una serie di schermate che spiegano nel dettaglio come funziona il tracciamento dei contatti. Una volta installata, l’app associa un codice casuale a ogni smartphone e tale codice non solo viene cambiato diverse volte al giorno, ma è assolutamente anonimo, non raccoglie alcuna informazione personale e rimane salvato in locale.

Tramite connessione Bluetooth Low Energy, gli smartphone che si incontrano durante il giorno si scambiano anche i rispettivi codici casuali, in modo che Immuni riesca a tenere traccia dei contatti avvenuti e possa avvisarci nel caso in cui uno di questi utenti risulti poi positivo al virus. In quel caso, Immuni ti avviserà con una notifica, fornendoti tutte le informazioni su come proteggere al meglio la tua salute e quella dei tuoi familiari.

Il sistema può essere usato insieme all’RSSI (“Indicazione della potenza del segnale ricevuto“) per stimare con maggiore precisione la distanza tra due telefoni al momento del contatto

Sfruttando il sistema di codici casuali, l’app non conosce mai la nostra identità. Inoltre, Immuni integra le API di Apple e Google che consentono di utilizzare il Bluetooth LE anche in background (con app chiusa) e non necessitano dell’utilizzo del GPS. Tradotto, l’app non conoscerà mai la nostra posizione.

Queste API assicurano quindi maggiore sicurezza:

  • L’intero sistema è opt-in e volontario
  • Solo le app realizzate dalle autorità sanitarie potranno sfruttare tutte le funzioni di queste API
  • I dati dei contatti vengono archiviati ed elaborati solo sul dispositivo dell’utente
  • I dati vengono inviati su un server – sempre in modo anonimo – solo in caso di positività e solo se lo decide l’utente

Come vengono conservati i codici casuali?

Le chiavi vengono conservate localmente sul dispositivo per un massimo di 14 giorni, per poi essere cancellate definitivamente, e sono in grado di registrare anche la durata dell’incontro tra due dispositivi: Immuni, come previsto da Apple e Google, non registrerà alcun dato se la durata dell’incontro è inferiore ai 10 minuti. La registrazione viene in ogni caso interrotta dopo 30 minuti, così da evitare eventuali deduzioni sul fatto che due dispositivi siano stati a contatto per più tempo.  Altro aspetto importante, è che Immuni non potrà verificare più esposizioni in giorni diversi da parte degli stessi telefoni, così da non registrare incontri ripetuti tra due o più utenti.

E in caso di positività?

Come accennato prima, verrai informato tramite notifica anonima solo nel caso in cui una persona con cui sei stato in contatto negli ultimi 14 giorni è risultata positiva a COVID-19. Immuni fornirà informazioni anche sul grado di rischio, in base alla distanza e al tempo trascorso con quella persona.

Per registrare la positività al COVID-19 è necessario l’intervento del personale sanitario, in modo da evitare false segnalazioni. In pratica, dovrai fornire alle autorità sanitarie italiane una password univoca. Una volta fornita la password, le autorità sanitarie effettueranno un controllo e inseriranno le informazioni nel database centrale, così da far partire le notifiche verso tutti gli utenti entrati in contatto con il paziente positivo.

Anche tale procedura è volontaria e nessuno può essere obbligato a fornire questa informazione all’interno dell’app: gli utenti che sono risultati positivi al virus possono scegliere di condividere su server i codici casuali che i loro smartphone hanno trasmesso nei giorni precedenti, in modo da renderli disponibili agli altri utenti. Anche in questo caso, non vengono condivise informazioni personali.

Per inviare tali notifiche di esposizione, Immuni controlla periodicamente i codici presenti sul server per confrontarli con quelli salvati sul tuo dispositivo. In questo modo, l’app sarà in grado di determinare se sei stato esposto ad un potenziale contagio.

Ecco un esempio:

La persona A e la persona B trascorrono più di 10 minuti insieme in un ristorante. Durante questo periodo, i loro smartphone si scambiano l’identificatore Bluetooth anonimo e casuale. Le due persone non si conoscono, ma la persona A risulta positiva a COVID-19 pochi giorni dopo e sceglie di segnalare quel test positivo tramite l’app Immuni. La persona B riceverà quindi una notifica in cui si dice che qualcuno con cui ha recentemente interagito è risultato positivo al COVID-19. A quel punto, la persona B riceverà una serie di informazioni su come comportarsi e cosa fare, anche in relazione al grado di rischio calcolato in base ad eventuali sintomi.

Se ricevo la notifica cosa succede?

Come accennato, non c’è l’obbligo automatico di quarantena. Se ricevi una notifica di avvenuto contatto con una persona risultata positiva al COVID-19, l’app fornirà alcuni suggerimenti da seguire e ti  consiglierà di contattare il tuo medico di fiducia e ridurre il rischio di complicanze.

Per esempio, se Immuni ti raccomanda di isolarti, non significa che sicuramente hai il SARS-CoV-2 o che sei obbligato a farlo. Significa solo che, sulla base delle informazioni a disposizione dell’app, l’isolamento è la cosa più sicura da fare per te e per chi ti sta accanto. Eventualmente, saranno sempre e solo le autorità sanitarie a fornire eventuali indicazioni obbligatorie.

La raccomandazione è che, quando l’app ti manda una notifica, tu la legga, apra l’app e segua le indicazioni fornite. Per esempio, se l’app ti suggerisce di isolarti e di chiamare il tuo medico di medicina generale, è fondamentale che tu lo faccia immediatamente.

La privacy

Immuni ricorda alcuni aspetti importanti legati alla sicurezza e alla privacy:

  • L’app non raccoglie informazioni sul tuo nome, cognome, data di nascita, indirizzo, numero di telefono o email.
  • Immuni non può mai risalire alla tua identità o a quella delle persone con cui entri in contatto.
  • L’app non raccoglie dati di geolocalizzazione, visto che il GPS non viene mai utilizzato. Questo significa che i tuoi spostamenti non vengono salvati né in locale, né su server.
  • I dati salvati in locale sono cifrati in AES. Anche le connessioni tra l’app e il server sono cifrate.
  • Il codice Bluetooth Low Energy trasmesso dall’app è generato in maniera casuale e non contiene alcuna informazione riguardo al tuo smartphone, né su di te. Il codice cambia svariate volte ogni ora.

I dati forniti dagli utenti positivi saranno salvati in modo anonimo su server pubblici gestiti da Sogei, società controllata dal Ministero dell’Economia e delle Finanze. Gli utenti dovranno solo indicare la provincia di appartenenza e questi dati potranno servire anche per preallertare un determinato territori in base al numero di notifiche inviate.

Le uniche informazioni che l’app invia a tali server sono:

  • La tua provincia di domicilio
  • Se l’app funziona correttamente
  • Se sei stato avvertito di un contatto a rischio

Tutti i dati sono quindi gestiti da soggetti pubblici controllati dal Ministero della Salute.  Le autorità non entreranno mai in possesso di informazioni personali, visto che i codici sono casuali e cambiano periodicamente. Il numero di notifiche inviate ogni giorno può però servire a stabilire quanti possibili contagi potrebbero registrarsi nei giorni successivi e prepararsi di conseguenza. Inoltre, tutti i dati saranno eliminati quando non più necessario e in ogni caso non più tardi del 31 dicembre 2020. In nessun caso i tuoi dati verranno venduti o usati per qualsivoglia scopo commerciale, inclusa la profilazione a fini pubblicitari.

Il governo ha messo a disposizione anche un sito ufficiale che potrà aiutare a chiarirvi tutti i dubbi legati non solo al funzionamento dell’app ma anche alla questione privacy.

Ultime indicazioni sui soggetti interessati nella gestione dell’app:

Sotto il coordinamento del Ministero della Salute e con il supporto del Dipartimento per l’Innovazione Tecnologica e la Digitalizzazione, lavorano al progetto le società a controllo pubblico SoGEI S.p.A. e PagoPA S.p.A. insieme a Bending Spoons S.p.A., che continua a fornire un servizio di documentazione, design e sviluppo software, sempre a titolo completamente gratuito e senza autorità decisionale o accesso ai dati degli utenti.

Il sistema è stato sviluppato anche grazie a un’approfondita interlocuzione con il Garante per la protezione dei dati personali che ha dato l’autorizzazione finale.

Come utilizzare l’app?

Una volta accettati i termini e condizioni e inserita la provincia di domicilio, l’app ci chiede l’autorizzazione all’invio delle notifiche. Una volta accettata, l’app inizia la sua attività memorizzando i codici casuali degli smartphone di altre persone con cui entriamo in contatto. L’utente non deve fare nulla, se non lanciare per la prima volta l’app.

immuni app

L’importante è che lo smartphone sia acceso e che il Bluetooth sia attivo. Puoi anche chiudere l’app manualmente, visto che il sistema funzionerà sempre fin quando Immuni è installata sul dispositivo. È necessario solo che il Bluetooth sia sempre attivo affinché il sistema possa rilevare i contatti con gli altri utenti. Ovviamente, possiamo attivare o disattivare il Bluetooth quando preferiamo

Per accertarti che tu stia usando l’app come previsto, basterà aprirla e controllare che nella sezione Home ci sia scritto “Servizio attivo“. In caso contrario, non devi far altro che premere il tasto “Riattiva Immuni” e seguire le istruzioni.

Il Ministero della Salute suggerisce questi consigli per assicurarti che Immuni possa essere efficace:

  • Quando esci di casa, porta sempre con te lo smartphone sul quale hai installato l’app.
  • Non disabilitare il Bluetooth (salvo quando stai dormendo, se lo desideri).
  • Non disinstallare l’app.

E la batteria?

Immuni funziona sempre in background per garantire che vengano registrati tutti i codici temporanei delle persone cui cui entriamo in contatto. L’app utilizza il Bluetooth Low Energy, una tecnologia creata per essere particolarmente efficiente in termini di risparmio energetico, quindi non dovrebbero esserci particolari problemi in termini di autonomia. In queste ore abbiamo installato e attivato l’app su iPhone 11, senza notare differenze sulla durata della batteria.

Quanto traffico consuma?

Anche in questo caso, poco. Immuni non richiede una connessione a Internet continuativa, ma ha bisogno di connettersi almeno una volta al giorno per scaricare le informazioni necessarie a controllare se sei stato esposto a utenti potenzialmente contagiosi. Ogni giorno, infatti, l’app scarica le nuove chiavi crittografiche dei dispositivi degli utenti positivi al SARS-CoV-2 per controllare se sei stato esposto a loro ed eventualmente avvertirti. Dalle prime stime, questa operazione consuma qualche megabyte di traffico al giorno, lo stesso consumo che si ha quando si apre una pagina di un sito con qualche foto al suo interno.

Assicurati solo che il tuo smartphone sia connesso a Internet almeno una volta al giorno.

Quanto è costata Immuni?

Stando alle informazioni ufficiali, nulla, almeno per lo sviluppo. Per Immuni, il governo italiano si è avvalso di una licenza perpetua e irrevocabile su tutto il codice, le grafiche, i testi e la documentazione concessa a titolo gratuito da Bending Spoons S.p.A. Ovviamente questo vale per lo sviluppo e i futuri aggiornamenti dell’app, per cui gli unici costi riguardano solo il mantenimento dei server. Non conosciamo le cifre esatte, ma dovrebbe trattarsi di somme contenute.

Conclusioni

Più persone usano Immuni, più l’app può essere efficace. Non ci sono problemi di privacy. Immuni integra le API di Apple e Google consigliate anche da enti terzi. Il GPS non viene mai utilizzato. Insomma, non ci sono motivi seri per non installare Immuni.

Più siamo, meglio è.

 

Approfondimenti