Le applicazioni di tracciamento di Bahrein, Kuwait e Norvegia sono le più pericolose per la privacy

16 Giugno 2020

Tempo di lettura stimato: 13'

Bahrein, Kuwait e Norvegia hanno attivato alcune delle più invasive applicazioni di tracciamento anti Covid-19 in tutto il mondo, mettendo a rischio la privacy e la sicurezza di centinaia di migliaia di persone. Lo rivela un’indagine di Amnesty International pubblicata oggi.

Il Security Lab di Amnesty ha esaminato le applicazioni per il tracciamento in Europa, Medio Oriente e Nord Africa, facendo anche un’analisi tecnica dettagliata di 11 applicazioni: Algeria, Bahrein, Francia, Islanda, Israele, Kuwait, Libano, Norvegia, Qatar, Tunisia ed Emirati Arabi Uniti. Alcune delle quali sono risultate pericolose per i diritti umani. Le app ‘BeAware Bahrain’, ‘Shlonik’ del Kuwait e ‘Smittestopp’ in Norvegia si sono distinte come alcuni degli strumenti di sorveglianza di massa più allarmanti valutati da Amnesty. Tutte e tre infatti effettuano attivamente il tracciamento in tempo reale o quasi reale della posizione degli utenti caricando frequentemente le coordinate GPS su un server centrale.

Lunedì il governo norvegese ha annunciato di sospendere la propria app di tracciamento anti Covid-19. La decisione è stata resa nota poche ore prima della pubblicazione da parte di Amnesty International della propria analisi e dopo che l’organizzazione ha informato le autorità norvegesi e l’agenzia nazionale per la protezione dei dati sui risultati della propria analisi, il 2 giugno. Amnesty International ha anche incontrato il responsabile dello sviluppo dell’applicazione “Smittestopp” il 10 giugno.

Bahrain, Kuwait e Norvegia hanno calpestato la privacy delle persone con strumenti di sorveglianza altamente invasivi che vanno ben oltre quanto è giustificato in termini di sforzi per arginare il Covid-19” ha dichiarato Claudio Guarnieri, responsabile del Security Lab di Amnesty International.

L’applicazione norvegese era molto invasiva e la decisione di tornare al tavolo di progettazione è quella giusta. Esortiamo i governi del Bahrein e del Kuwait a sospendere immediatamente l’uso delle loro applicazioni similmente intrusive così come sono attualmente concepite. Stanno trasmettendo in tempo reale la posizione degli utenti a un database governativo – il che difficilmente è necessario e proporzionato nel contesto della risposta a una crisi di salute pubblica. La tecnologia può svolgere un ruolo utile nel tracciamento di contatti per contenere la pandemia di Covid-19, ma la privacy non deve essere un’altra vittima della corsa dei governi alle app“.

Strumenti di sorveglianza di massa

Le applicazioni per il tracciamento di prossimità in uso in Bahrain, Kuwait e Norvegia seguono un approccio centralizzato invasivo che rappresenta una grande minaccia per la privacy. Questi sistemi catturano i dati di localizzazione attraverso il GPS e li caricano in un database centrale, tracciando i movimenti degli utenti in tempo reale. L’applicazione “Ehteraz” del Qatar è in grado di attivare la localizzazione in tempo reale di tutti gli utenti o di specifici individui (al momento della redazione questa funzione rimane disattivata).

Le autorità di tutti questi paesi possono facilmente collegare queste informazioni personali sensibili a un individuo, in quanto Qatar, Bahrain e Kuwait richiedono agli utenti di registrarsi con un numero di identificazione nazionale, mentre la Norvegia richiede la registrazione con un numero di telefono valido.

Anche altre applicazioni valutate dal Security Lab, come la tunisina “E7mi”, seguono un modello centralizzato, ma invece di registrare le coordinate GPS, utilizzano la scansione di prossimità Bluetooth per monitorare i contatti tra gli utenti in tempo reale. L'”Ehteraz” del Qatar registra e carica il contatto Bluetooth tra i dispositivi degli utenti, insieme alle coordinate GPS dell’incontro.

Una delle principali vulnerabilità di sicurezza è stata identificata nell’applicazione Ehteraz del Qatar, che ha esposto i dati personali sensibili di oltre un milione di persone. È un dato preoccupante in quanto l’app è stata resa obbligatoria il 22 maggio. La vulnerabilità è stata risolta dopo che Amnesty ha avvisato le autorità della scoperta, a fine maggio. La falla nella sicurezza avrebbe permesso di accedere a informazioni personali altamente sensibili, tra cui il nome, l’ID nazionale, lo stato di salute e il luogo di confinamento designato degli utenti.

Le applicazioni di tracciamento di paesi come Francia, Islanda ed Emirati Arabi Uniti utilizzano un modello centralizzato, ma le informazioni sul contatto tra i dispositivi vengono caricate solo quando gli utenti decidono volontariamente di segnalare sé stessi come sintomatici o su richiesta delle autorità sanitarie. Questo tipo di caricamento volontario e consensuale riduce almeno il rischio di una sorveglianza di massa, in quanto i dati non vengono caricati automaticamente. Il modello centralizzato dell’applicazione francese per il tracciamento dei contatti, combinato con la mancanza di trasparenza sulle modalità di archiviazione dei dati, solleva interrogativi sulla possibilità di de-anonimizzare le informazioni degli utenti.

I governi di tutto il mondo devono mettere in pausa l’introduzione di applicazioni tracciamento difettose o eccessivamente invadenti che non riescono a proteggere i diritti umani. Se le applicazioni di tracciamento devono svolgere un ruolo efficace nella lotta contro il coronavirus, le persone devono avere la certezza che la loro privacy sarà protetta“, ha affermato Claudio Guarnieri.

Nuove forme di sorveglianza

L’applicazione del Bahrain era addirittura collegata a un programma televisivo nazionale chiamato “Are You at Home?”, che offriva premi a chi rimaneva a casa durante il Ramadan. Utilizzando i dati raccolti attraverso l’app, ogni giorno un programma informatico selezionava 10 numeri di telefono a caso, che venivano chiamati in diretta per verificare se gli utenti dell’app erano a casa. Chi era a casa vinceva un premio. L’inclusione nell’estrazione durante il programma televisivo era inizialmente obbligatoria fino a quando l’Information and eGovernment Authority del Bahrein ha aggiunto un’opzione alla sua app BeAware Bahrain che permette agli utenti di “rinunciare” a partecipare al concorso televisivo. Le autorità del Bahrein hanno anche pubblicato online informazioni personali sensibili su casi sospetti di Covid-19, tra cui lo stato di salute, la nazionalità, l’età, il sesso e la storia dei viaggi di un individuo.

Sia le app bahreinite che quelle del Kuwait possono essere abbinate a un braccialetto bluetooth che viene utilizzato per assicurarsi che l’utente rimanga nelle vicinanze del telefono, al fine di far rispettare le misure di quarantena. L’app del Kuwait controlla regolarmente la distanza tra il braccialetto bluetooth e il dispositivo, caricando i dati di localizzazione ogni 10 minuti su un server centrale.

I dati di localizzazione e le informazioni diagnostiche aggiuntive del braccialetto bluetooth collegato all’app BeAware Bahrain vengono spesso inviati ad un server centrale. È obbligatorio per tutti gli individui registrati per la quarantena a domicilio indossare il braccialetto e per coloro che non lo indossano è obbligatorio affrontare le sanzioni legali ai sensi della legge sulla salute pubblica n.34 (2018), compresa la reclusione per almeno 3 mesi e/o una multa compresa tra BD1.000 e BD10.000 (circa 2.700 dollari USA e 27.000 dollari USA rispettivamente).

Progettazione basata su privacy e diritti umani

Il tracciamento dei contatti è una componente importante per una risposta efficace alla pandemia e le applicazioni per il contact tracing hanno il potenziale per sostenere questo obiettivo. Tuttavia, per essere conformi ai diritti umani, le applicazioni devono, tra l’altro, integrare la privacy e la protezione dei dati già nei primi passi della progettazione, il che significa che i dati raccolti devono essere il minimo necessario e conservati in modo sicuro. Tutti i dati raccolti devono essere limitati al controllo della diffusione del Covid-19 e non devono essere utilizzati per altri scopi – compreso da parte delle forze dell’ordine, della sicurezza nazionale o per il controllo dell’immigrazione. Inoltre, non devono essere resi disponibili a terzi o per uso commerciale. Qualsiasi decisione individuale di scaricare e utilizzare le applicazioni per la ricerca di contatti deve essere interamente volontaria. I dati raccolti devono rimanere anonimi, anche se combinati con altre serie di dati.

I governi che lanciano applicazioni centralizzate per il contact tracing con tracciamento della posizione in tempo reale devono tornare al tavolo di progettazione. Ci sono migliori opzioni disponibili per bilanciare la necessità di tracciare la diffusione della malattia, senza dover raccogliere le informazioni personali sensibili di milioni di persone“, ha affermato Claudio Guarnieri.

Nota per le redazioni

Riepilogo delle applicazioni di contact tracing analizzate dal Security Lab di Amnesty

La ricerca di Amnesty International sulle applicazioni Covid-19 ha evidenziato che le applicazioni tendono a rientrare in tre categorie. In primo luogo, quelle che non stanno di fatto tracciando i contatti, ma piuttosto permettono agli utenti di registrare e controllare volontariamente i loro sintomi (ad esempio, Libano e Vietnam).

In secondo luogo, le app che utilizzano un modello decentralizzato molto meno invasivo di tracciamento dei contatti bluetooth, come quello sviluppato da Google e Apple. Secondo questo modello, i dati vengono memorizzati sui telefoni delle persone, piuttosto che su una banca dati centralizzata. Questo include paesi come l’Austria, la Germania, l’Irlanda e la Svizzera. Amnesty International non ha intrapreso una revisione tecnica delle applicazioni che seguono questo modello, in quanto tendono ad essere meno preoccupanti dal punto di vista della privacy e sono ancora in fase di sviluppo.

La terza preoccupazione – la più grave per i diritti umani – è rappresentata dalle applicazioni per il contact tracing che sono centralizzate, ovvero registrano i dati acquisiti tramite il sensore bluetooth del telefono o via GPS (o entrambi) e li caricano in un database centralizzato del governo, e che in alcuni casi sono obbligatorie. Amnesty International ha scritto alle autorità di Bahrain, Kuwait e Norvegia prima della pubblicazione dei risultati delle proprie ricerche per notificare loro le vulnerabilità di privacy e sicurezza relative alle app. Il 2 giugno Amnesty International ha informato il Ministero norvegese di giustizia e pubblica sicurezza, l’Istituto norvegese per la salute pubblica a l’Agenzia nazionale per la protezione dei dati. Amnesty International ha anche incontrato il responsabile dello sviluppo dell’app “Smittestopp” il 10 giugno.

 Altre applicazioni problematiche in uso nel mondo

Amnesty International si è concentrata in particolare sulle applicazioni in Europa, Medio Oriente e Nord Africa. Ricerche condotte da Ong e dai media mostrano che esistono altre app e piattaforme digitali in altre regioni che presentano gravi rischi per i diritti umani, anche in Cina, Etiopia e Guatemala.