Appelli e riserve della scorsa primavera sull’architettura di questi strumenti di tracciamento, che condussero alla progettazione decentralizzata di Immuni, erano fondati: TraceTogether, basata su un modello centralizzato fatto in casa, potrà essere utilizzata per indagini penali
Si chiama TraceTogether, è l’app di tracciamento di Singapore e dimostra la scelta saggia dell’Italia, e di molti altri paesi, di optare per una soluzione fortemente decentralizzata per questo tipo di applicazioni. I dati della piattaforma, infatti, sono ora a disposizione delle forze dell’ordine del piccolo Stato asiatico. La polizia locale può infatti ottenerne le informazioni per condurre indagini penali, guadagnando così la disponibilità di un formidabile strumento di tracciamento scaricato da 4,2 milioni di persone, considerando anche quelle che hanno invece utilizzato il dispositivo indossabile distribuito dal governo per chi non volesse o potesse usare lo smartphone. La popolazione di Singapore è di 5,6 milioni di persone e il successo dell’operazione è stato incredibile, celebrato in tutto il mondo.
Un pericoloso strumento di controllo nazionale
Le pressioni della scorsa primavera, e le richieste di massima trasparenza oltre alla spinta della comunità europea e italiana di esperti informatici, di privacy e di sicurezza verso un’applicazione che garantisse al massimo privacy e anonimato secondo un modello decentralizzato, proprio come accade con Immuni utilizzata dal governo italiano fin da giugno, erano dunque più che fondate. Se TraceTogether ha infatti dato un contributo fondamentale nel contenimento dell’epidemia nel piccolo paese sulla punta della penisola malese, rischia ora di trasformarsi in un pericoloso strumento di controllo e indagine oltre ogni garanzia.
L’aggiornamento della policy sulla privacy
Al contrario del sistema di notifica dell’esposizione al rischio di contagio sviluppata da moltissime applicazioni nazionali, come Immuni, sulla base dei protocolli e delle API predisposte in collaborazione da Apple e Google, TraceTogether sfrutta un protocollo nazionale battezzato BlueTrace. Il sistema è impostato in modo centralizzato: carica cioè tutti i codici di un utente in blocco su un server gestito dalle autorità sanitarie governative, che d’altronde li ha preventivamente generati e assegnati. Solo l’Australia ha adottato questo protocollo, a parte Singapore. Così, in un aggiornamento alla privacy policy di ieri, l’esecutivo di Singapore ha aggiunto un paragrafo relativo al modo in cui la polizia possa utilizzare i dati raccolti tramite la piattaforma: “I dati di TraceTogether possono essere usati in circostanze in cui la sicurezza dei cittadini sia in pericolo – si legge nell’aggiunta – agenti di polizia autorizzato possono riferirsi ai poteri del Criminal Procedure Code [il locale codice di procedura penale, nda] per richiedere agli utenti di caricare i loro dati di TraceTogether per inchieste penali”. Nulla di tutto ciò era ovviamente presente fino alla scorsa settimana. Anzi, si assicuravano i cittadini che i dati raccolti con l’app sarebbero stati utilizzati “ai soli fini del contact tracing per la Covid-19” e sarebbero stati crittografati.
La conferma del governo
Il governo ha aggiunto il paragrafo dopo che il partito di opposizione di Singapore ha chiesto al ministro degli Affari interni se effettivamente la polizia potesse utilizzare i dati per indagini penali. “Non precludiamo l’uso dei dati di TraceTogether in circostanze in cui la sicurezza e la protezione dei cittadini è o è stata compromessa, e questo vale anche per tutti gli altri dati” ha infine risposto il responsabile Desmond Tan. Dando dunque l’idea che quei dati possano essere di fatto già stati utilizzati. Ecco dunque concretizzarsi l’incubo per la riservatezza e la privacy che gli esperti, troppo spesso tacciati di esagerazione, denunciavano neanche un anno fa rispetto ai modelli centralizzati per questo tipo di piattaforme.
“Il governo è il garante dei dati di TraceTogether e vengono messe in atto misure rigorose per salvaguardare questi dati personali”, ha fatto presente il ministro Tan. “Esempi di queste misure includono solo consentire ai funzionari autorizzati di accedere ai dati, utilizzare tali dati solo per scopi autorizzati e memorizzare i dati su una piattaforma dati protetta”. Ricordando che secondo il locale Public Sector (Governance) Act, i funzionari pubblici che divulgano i dati senza autorizzazione, o usano impropriamente i dati dei cittadini possono essere multati fino a 5.000 dollari o incarcerati fino a due anni, o entrambi. Peccato che questo non c’entri nulla con i nuovi utilizzi possibili (e invasivi) delle informazioni personali e di mobilità dei cittadini di Singapore.
