Questo sito contribuisce alla audience di Il Messaggero

Come funziona l’app Immuni

di

Il 1° giugno 2020 è arrivata ufficialmente sugli store di Android e iOS l’app Immuni, l’applicazione per il contact tracing e l’exposure notification alla quale le istituzioni italiane hanno deciso di affidarsi per tenere sotto controllo la diffusione del virus COVID-19 nella cosiddetta "Fase 2". È difatti nei periodi post-lockdown che le applicazioni di questo genere risultano più utili, in quanto, se adeguatamente diffuse, consentono di tracciare i contatti tra le persone (contact tracing), di individuare l’insorgere di nuovi focolai e di agire tempestivamente, sia a livello comunitario che a livello individuale, per limitare i danni. Permettono, infatti, ai singoli utenti di ricevere notifiche su eventuali contatti avuti con persone risultate positive al virus (exposure notification) e di intraprendere tutte le contromisure del caso evitando così una maggiore diffusione del contagio; il tutto, come vedremo a breve, in assoluta sicurezza e tutelando la privacy degli utenti.

L’app Immuni è stata sviluppata gratuitamente per il Governo italiano da Bending Spoons, un’azienda con sede a Milano che già si è fatta apprezzare per la produzione di app di vario genere (io stesso, ad esempio, ti ho parlato in più occasioni dell’ottimo editor video Splice per iPhone, sviluppato proprio da Bending Spoons). È estremamente semplice da usare: basta installarla, seguire una breve procedura di configurazione iniziale e, in pochi tap, il gioco è fatto.

Se vuoi saperne di più e vuoi scoprire in dettaglio come funziona l’app Immuni, continua a leggere: ti dirò prima tutto quello che c’è da sapere in merito agli scenari d’utilizzo dell’applicazione, ti spiegherò come gestisce la privacy e poi ti illustrerò in dettaglio le procedure per scaricarla e usarla.

Indice

Chi deve installare l’app Immuni

Persone

Chi deve installare l’app Immuni? Se quel "deve" lo intendiamo come un obbligo, beh… nessuno! L’utilizzo dell’app Immuni, infatti, è facoltativo e nessun ente può esigerne l’utilizzo da parte dei cittadini.

Detto questo, affinché l’uso di Immuni abbia senso, l’app dovrebbe essere installata da oltre metà della popolazione (diciamo anche dal 60% in su, anche se alcuni studi ne confermano l’efficacia con diffusioni largamente inferiori): percentuali probabilmente irraggiungibili, ma l’auspicio è che le persone – una volta chiarite per bene tutte le implicazioni relative alla privacy – decidano di avvalersene per agevolare l’identificazione e il contenimento di eventuali nuovi focolai.

Come funziona l’app Immuni: privacy e dintorni

Smartphone

Com’è giusto che sia, molte persone sono preoccupate dal fatto che le autorità possano approfittare dell’emergenza COVID-19 per limitare la privacy dei cittadini e tenerli maggiormente sotto controllo. D’altronde lo smartphone è potenzialmente in grado di svelare qualsivoglia tipo di informazione su una persona: spostamenti, posizione corrente, dati personali, recapiti, attività e chi più ne ha più ne metta.

Per fortuna, però, l’app Immuni sembra avere tutte le carte in regola per essere considerata sicura e rispettosa della privacy. Ma facciamo un passo indietro e vediamo come funzionano le app di contact tracing ed exposure notification.

Tutte le app di contact tracing/exposure notification si basano sulla tecnologia Bluetooth e più precisamente sul Bluetooth Low Energy (LE), che ha il vantaggio di consumare poca energia (quindi l’app in questione, anche se costantemente in esecuzione, ha un impatto minimo sulla durata della batteria). Una volta installata un’applicazione di questo tipo sullo smartphone, se due utenti che hanno la medesima app si incontrano, il Bluetooth verifica la vicinanza tra i due – tramite misurazione del segnale – e se questi si trovano a circa due metri di distanza l’uno dall’altro per un periodo di tempo ritenuto significativo (stimato in circa 30 min), fanno in modo che le app si scambino dei codici identificativi.

Nel caso di Immuni, tali codici identificativi NON contengono informazioni sulla persona, sui suoi recapiti, sulla posizione geografica o sul contenuto dello smartphone: identificano solo il dispositivo. Inoltre, sono dinamici e crittografati: ciò significa che cambiano di tanto in tanto (ogni ora, per essere precisi) e sono cifrati, in modo da essere "illeggibili" anche in caso di un’eventuale cattura dei dati da parte di soggetti non autorizzati.

Altra cosa molto importante da evidenziare è che gli identificativi registrati vengono cancellati automaticamente da ciascuno smartphone ogni 14 giorni (a fine 2020, poi, dovrebbe essere cancellato tutto anche qualora non siano passati 14 giorni dall’ultima cancellazione automatica dei dati) ed è possibile anche comandarne la cancellazione manualmente.

Ma a cosa serve questo scambio di identificativi? Semplice: se un utente dell’app è risultato positivo alla malattia da COVID-19, può comunicare l’informazione al database dell’app (sempre facoltativamente, non c’è nulla di obbligatorio). Così facendo, gli utenti che sono stati in contatto con il suo identificativo (che resta anonimo) ricevono un avviso sul telefono e possono prendere tutti i provvedimenti del caso (effettuare un test di positività al COVID-19 e mettersi autonomamente in quarantena, ad esempio).

Il database al quale si appoggia l’applicazione è proprio uno dei punti cruciali sul quale basare la valutazione sul grado di affidabilità e privacy di un’app per il contact tracing/exposure notification. Ogni app di contact tracing/exposure notification, infatti, può appoggiarsi a una piattaforma diversa, in base alle decisioni che sono state prese in tal senso dalle autorità governative di ciascun Paese, ed è dunque importante che la piattaforma prescelta abbia la privacy come sua pietra angolare.

Per fortuna, ciò è accaduto in Italia, dove si è deciso di optare per il sistema per il contact tracing e l’exposure notification ideato da Apple e Google, che prevede un controllo quasi totale da parte degli utenti sui dati da condividere con le autorità e non lascia tutto nelle mani di governi o gestori delle app.

Immuni NON può risalire all’identità dei suoi utilizzatori; NON traccia i movimenti via GPS e NON condivide alcun recapito degli utenti. Gli unici dati che vengono condivisi sono i codici identificativi anonimi, la Provincia di domicilio e le informazioni diagnostiche relative al corretto funzionamento dell’app e ad eventuali avvisi di contatti a rischio ricevuti. Le informazioni in questione vengono salvate in locale sullo smartphone e inviate, tramite connessione cifrata, a dei server italiani gestiti da soggetti pubblici e controllati dal Ministero della Salute.

A conferma della validità di queste affermazioni, ti rimando a un articolo del sito DDAY.it, dal quale emerge che vari test indipendenti hanno confermato la trasparenza con cui agisce l’applicazione, che tra l’altro è open source: il suo codice sorgente è disponibile pubblicamente su Github e chiunque può controllarlo. Insomma, salvo clamorose scoperte, mi sento di dire che ci si può fidare di Immuni e, più in generale, delle API messe in piedi da Apple e Google per il loro sistema di contact tracing/exposure notification.

Le cose, come accennavo prima, sono andate diversamente in altri Paesi, ad esempio Singapore, dove le autorità locali hanno promosso un’app per il contact tracing che traccia in modo decisamente più invasivo per la privacy le attività dei cittadini. Per saperne di più, ti propongo uno stralcio di un post di Paolo Attivissimo, nel quale c’è la traduzione completa di un interessantissimo articolo dell’Electronic Frontier Foundation (storica associazione di esperti informatici per la tutela dei diritti digitali) che ti invito vivamente a leggere se vuoi approfondire le possibili implicazioni sulla privacy delle app di contact tracing/exposure notification.

Per esempio, TraceTogether, sviluppata per il governo di Singapore, esige che tutti gli utenti condividano le informazioni sui contatti con gli amministratori dell’app. In questo modello, l’autorità detiene un database che correla gli identificativi delle app con le informazioni di contatto. Quando un utente risulta positivo a un test, la sua app invia al database un elenco di tutti gli identificativi con i quali è venuto a contatto nelle ultime due settimane. L’autorità centrale cerca quegli identificativi nel suo database e usa i numeri di telefono o gli indirizzi di mail per contattare gli altri utenti che possono essere stati esposti al contagio. Questo toglie molte informazioni degli utenti dal loro controllo e le mette nelle mani del governo.

In conclusione di questo capitolo, mi preme fare un accenno a ciò che è ancora più pericoloso in termini di privacy: le truffe che sfruttano l’interesse delle persone verso le app di contact tracing/exposure notification per estorcere dati e denaro.

Nel corso delle ultime settimane, infatti, sono aumentate a dismisura le segnalazioni relative a email ed SMS di phishing in cui si viene invitati a visitare determinati siti per scaricare le app di contact tracing/exposure notification: ebbene, bisogna sempre diffidare da email del genere, che spesso rimandano a malware di vario genere (compresi i temibilissimi ransomware) o comunque tentano di raggirare gli utenti con pubblicità e prodotti ingannevoli.

Le app per il contact tracing/exposure notification, come detto prima, non sono obbligatorie, pertanto nessuno invia email con link diretti per scaricarle, né tantomeno esistono delle versioni di queste ultime da scaricare sul PC. Se vuoi installarle, apri semplicemente lo store del tuo smartphone e cercale all’interno di quest’ultimo, come trovi spiegato anche più avanti in questa guida.

Requisiti per l’app Immuni

iPhone

L’app Immuni si basa sul sistema di contact tracing ed exposure notification sviluppato da Apple e Google ed è compatibile sia con Android (dalla versione 6 in poi) che con iOS (dalla versione 13.5 in poi). Per utilizzarla, tuttavia, è necessario che il software di base del proprio smartphone sia opportunamente aggiornato.

Se utilizzi un dispositivo Android, devi assicurarti di avere l’ultima versione dei Google Play Services (che comunque ti verranno richiesti, se necessario, nel momento in cui eseguirai l’applicazione). Se utilizzi un iPhone, invece, devi aggiornare iOS a una versione pari o successiva alla 13.5. Puoi verificare la disponibilità delle funzioni relative all’esposizione al COVID-19 sul tuo smartphone recandoti nel menu Impostazioni > Account > Google > [tuo account] di Android o nel menu Impostazioni > Privacy > Salute di iOS.

Altra cosa importante da sottolineare è che non tutte le Regioni italiane hanno deciso di aprire ufficialmente all’adozione dell’app Immuni in contemporanea. Al momento del lancio, infatti, si è avviata la sperimentazione solo in Puglia, Abruzzo, Marche e Liguria (sebbene, in teoria, installando l’app anche in "territori non supportati" questa dovrebbe funzionare ugualmente, ma le ASL/ASP non accetteranno le notifiche dei codici dei casi di positività fin quando il supporto all’app non sarà ufficiale in quei luoghi). Per avere notizie "fresche" relative al funzionamento dell’app nella tua Regione, effettua una semplice ricerca su Google o sul sito della Regione stessa.

Infine, sappi che per usare l’app Immuni devi avere almeno 14 anni d’età e che, naturalmente, devi attivare il Bluetooth sul tuo smartphone.

Come usare l’app Immuni

Arrivati a questo punto, direi che possiamo mettere le chiacchiere da parte e vedere, nel dettaglio, come installare e usare l’app Immuni.

Come scaricare l’app Immuni

Download app Immuni

L’app Immuni si scarica come una qualsiasi altra applicazione per smartphone. Provvedi, dunque, ad aprire lo store delle app del tuo dispositivo (Play Store se usi Android o App Store se usi iPhone), cerca "Immuni" al suo interno e fai tap prima sull’icona dell’app presente nei risultati della ricerca e poi sul pulsante Ottieni/Installa. Se utilizzi iPhone, dovrai anche verificare la tua identità tramite Face ID, Touch ID o password dell’ID Apple.

Se stai leggendo questo tutorial direttamente dal tuo smartphone, puoi fare prima e aprire direttamente la pagina di download dell’app Immuni premendo su questi link dedicati ad Android e iPhone.

Come attivare l’app Immuni

App Immuni

Ad installazione completata, non ti resta che avviare l’app immuni, premendo sulla sua icona presente in home screen o nel drawer delle app, e sfogliare le schermate di presentazione.

Fatto ciò, premi sui pulsanti Avanti e Iniziamo, se vuoi passare direttamente alla configurazione dell’app; altrimenti premi sulla voce Scopri di più, se vuoi leggere tutte le informazioni relative al funzionamento dell’applicazione (le stesse che ti ho dato anche io prima).

Una volta premuto sul pulsante "Iniziamo", ti verranno illustrate tutte le condizioni relative alla privacy: leggile con attenzione, scorri la schermata fino e in fondo, spunta le caselle per confermare di avere almeno 14 anni e di aver letto l’informativa sulla privacy e premi sul bottone Avanti.

A questo punto, devi specificare la Regione e la Provincia in cui vivi e attivare prima la raccolta di log e notifiche di esposizione al COVID-19 e poi la ricezione delle notifiche, premendo sui rispettivi pulsanti Consenti e dando poi conferma.

Premi, infine, sul pulsante Ho capito per due volte consecutive, per confermare di aver preso visione degli avvisi relativi alla protezione del dispositivo e alle false comunicazioni e il gioco è fatto.

L’app Immuni è ora attiva sul tuo smartphone e ti aiuterà a scoprire se entrerai in contatto con persone risultate poi positive al COVID-19. L’applicazione funziona anche se non è aperta in primo piano e se il telefono non è connesso a Internet.

Nella sua schermata iniziale ci sono i pulsanti per leggere le indicazioni su ‌Cosa puoi fare per proteggerti e su Come funziona l’app (le stesse informazioni che hai letto anche durante la procedura di configurazione iniziale).

Spostandoti nel menu delle impostazioni, invece, puoi trovare l’opzione per eseguire il caricamento dei dati (nel caso in cui volessi segnalare il tuo stato di positivo al COVID-19; la procedura richiede l’assistenza di un operatore sanitario autorizzato) e le voci per visualizzare le domande frequenti sull’uso dell’app, i termini di utilizzo e l’informativa sulla privacy.

Infine, ci sono le opzioni per cambiare la provincia in cui ti trovi (nel caso in cui non fosse più quella che hai indicato nella procedura di configurazione iniziale) e lasciare una recensione sullo store. Per maggiori dettagli, puoi consultare il sito dell’app.

Come gestire i dati dell’app Immuni

Dati app Immuni

Come già accennato in precedenza, l’app Immuni memorizza i codici identificativi dei dispositivi con cui entra in contatto (cioè i telefoni delle altre persone con cui si è avuto un contatto ravvicinato) per un arco di tempo pari a 14 giorni.

Se vuoi, però, puoi cancellarli manualmente agendo dalle impostazioni del tuo smartphone. Se hai uno smartphone Android, devi andare nel menu Impostazioni > Account > Google > [tuo account] > Notifiche di esposizione al COVID-19, devi premere sulla voce Elimina ID casuali e devi dare conferma.

Se hai un iPhone, invece, devi andare nel menu Impostazioni > Privacy > Salute > Raccolta log di esposizione al COVID-19, devi premere sulla voce Elimina log esposizione e devi dare conferma.

Nelle medesime schermate puoi anche verificare i log dei controlli esposizione, cioè il registro di tutte le richieste di controllo del tuo log di esposizione degli ultimi 14 giorni. Facile, vero?

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.