Aprile 2020
Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19 Adottate il 21 aprile 2020
21 Aprile 2020
Coronavirus, scelta l’app per il tracciamento dei contagi: si chiamerà Immuni
16 Aprile 2020
Progettata da Bending Spoons: il commissario Arcuri ha firmato l’ordinanza. Funziona con il Bluetooth e non sarà obbligatoria
Si chiamerà Immuni l’app di contact tracing necessaria a tenere sotto controllo la diffusione del virus durante la Fase 2. Il commissario straordinario per l’emergenza sanitaria Domenico Arcuri ha firmato oggi l’ordinanza con cui dispone la stipula del contratto di cessione gratuita della licenza d’uso sul software e di appalto di servizio gratuito con la società Bending Spoons, la quale si occuperà anche degli aggiornamenti necessari nel corso dei mesi.
Non sarà obbligatoria
Si tratta del progetto selezionato dal gruppo di esperti insediato al dicastero dell’innovazione, proposto al premier dalla ministra Paola Pisano il 10 aprile e ora sottoposto al vaglio del team Colao. La app Immuni, che non sarà obbligatoria, ma scaricabile solo in modo volontario, si compone di due parti. La prima è un sistema di tracciamento dei contatti che sfrutta la tecnologia Bluetooth.
Funzionerà con il Bluetooth
Attraverso il Bluetooth è possibile rilevare la vicinanza tra due smartphone entro un metro e ripercorrere a ritroso tutti gli incontri di una persona risultata positiva al Covid-19, così da poter rintracciare e isolare i potenziali contagiati. Una volta scaricata, infatti, la app conserva sul dispositivo di ciascun cittadino una lista di codici identificativi anonimi di tutti gli altri dispositivi ai quali è stata vicino.
Il diario clinico
La seconda funzione di Immuni, invece, è un diario clinico contenente tutte le informazioni più rilevanti del singolo utente (sesso, età, malattie pregresse, assunzione di farmaci) e che dovrebbe essere aggiornato tutti i giorni con eventuali sintomi e cambiamenti sullo stato di salute.
L’app sarà “un pilastro importante nella gestione della fase successiva dell’emergenza”, ha spiegato il commissario Arcuri, precisando che verrà prima avviata una sperimentazione in alcune regioni pilota. “Speriamo in una massiccia adesione volontaria dei cittadini”, ha proseguito l’ad di Invitalia, sottolineando come “il sistema di tracciamento dei contatti ci servirà a capitalizzare l’esperienza della fase precedente ed evitare che il contagio si possa replicare”. Per essere efficace, infatti, Immuni dovrà essere scaricata dal 60 per cento degli italiani. Un’impresa non certo non semplice.Fonte: Repubblica
Scuola, nota Miur 4799 su Pon per la scuola e possibilità di formazione a distanza per emergenza Covid-19
16 Aprile 2020
Il Ministero dell’Istruzione (Dipartimento per il sistema educativo di istruzione e di formazione -Direzione generale per i fondi strutturali per l’istruzione, l’edilizia scolastica e la scuola digitale) ha provveduto ad emettere la Nota N. 4799 del 14 aprile inerente al PON (Programma Operativo Nazionale “Per la scuola, competenze e ambienti per l’apprendimento” 2014-2020) e avente come oggetto ‘Possibilità di formazione a distanza durante lo stato di emergenza epidemiologica da COVID-19′.
La nota, come riferisce un comunicato diffuso da Flc-Cgil, è stata adottata dopo aver consultato i servizi della Commissione europea e le autorità nazionali preposte al controllo e al coordinamento dei Fondi strutturali e di investimento Europeo.
Premesso che le attività finanziate dal PON “Per la Scuola” 2014-2020 e dal relativo programma complementare (POC), riguardano l’ampliamento dell’offerta formativa, l’Autorità di Gestione segnala che le scuole possono svolgere le azioni del PON in modalità on line e mediante formazione a distanza purché siano rispettate le seguenti condizioni poste dagli Uffici della Commissione europea:
- le attività formative inizialmente previste in presenza, devono essere relative alla tipologia di Unità di Costo Standard (UCS) “Formazione per adulti” e “Formazione d’aula” (l’indicazione si trova, generalmente, nella nota di ammissione a finanziamento)
- la piattaforma informativa scelta deve consentire:
- l’interazione sincrona tra docenti, tutor e allievi
- di tracciare i soggetti collegati e la durata della connessione stabilita
- la predisposizione di un’utenza “guest” per eventuali verifiche in itinere, anche a campione, previste nell’ambito del sistema di gestione e controllo del PON “Per la Scuola”
Fonte: Scuolainforma
Decreto-legge 8 aprile 2020, n. 23, recante “Misure urgenti in materia di accesso al credito e di adempimenti fiscali per le imprese, di poteri speciali nei settori strategici, nonché interventi in materia di salute e lavoro, di proroga di termini amministrativi e processuali”.
Roma, 13 Aprile 2020
Perse le mail dei medici di base. Centinaia di casi sospetti di coronavirus svaniti
15 Aprile 2020
La casella di posta era piena, commissariato il Sisp.
La Regione chiede conto a tutte le Asl
In Italia crescono i cyber-reati contro la persona e le truffe finanziarie
10 Aprile 2020
Lo rilevano i dati contenuti nel bilancio reso noto in occasione del 168esimo Anniversario della Fondazione della Polizia di Stato: nel 2019 sono stati oltre 9 mila i delitti informatici denunciati, con 468 persone sottoposte al vaglio delle Autorità
Nel 2019 ci sono stati 1.181 attacchi di hacker ai sistemi informatici di aziende e enti che rappresentano degli interessi strategici nazionali mentre 91 sono i siti e le pagine che sono state rimossi per cyberterrorismo. Complessivamente sono stati oltre 9 mila i delitti informatici denunciati, con 468 persone sottoposte al vaglio delle Autorità. Tra loro anche i minori: per 136 di loro è infatti scattata la denuncia per atti di cyberbullismo. Il Centro Nazionale per il Contrasto della pedopornografia on line (Cncpo) ha coordinato 514 attività d’indagine che hanno condotto a 37 arresti e 626 denunce. Sono stati analizzati 47.267 siti internet con l’inserimento di 2.295 spazi web illeciti nella black list per inibirne l’accesso dal territorio italiano. Si tratta solo dei principali tra i dati contenuti nel bilancio reso noto in occasione del 168esimo Anniversario della Fondazione della Polizia di Stato.
In evidenza i reati contro la persona
Particolarmente significativi, come riportato da Adnkronos e Ansa, sono i dati relativi ai fenomeni di adescamento on line, con 126 casi trattati, 189 indagati di cui sei arrestati. Nell’ambito del contrasto dei reati contro la persona perpetrati sul Web, sono state indagate 1.129 persone, di cui sei arrestati, e 361 per aver commesso estorsioni a sfondo sessuale, stalking, molestie, minacce e ingiurie. Risultano in costante aumento le diffamazioni on line, soprattutto ai danni di persone che ricoprono incarichi istituzionali o comunque conosciute dal grande pubblico: 2.502 i casi trattati e 770 le persone indagate. Particolare rilevanza ha assunto l’attività di contrasto al revenge porn, fenomeno in continua crescita, per il quale sono 24 gli indagati.
Purtroppo, sottolinea la Polizia postale, i dati non rispecchiano la gravità e l’estensione del fenomeno, a causa della ritrosia delle vittime a denunciare. Grande impegno è stato dedicato al contrasto dei reati d’incitamento all’odio: oltre duemila gli spazi virtuali monitorati per condotte discriminatorie di genere, antisemite, xenofobe di estrema destra. Si registra la continua crescita delle truffe on line: sono state ricevute e trattate oltre 196 mila segnalazioni che hanno consentito di indagare 3.730 persone. Sempre più sofisticate sono state le condotte fraudolente com-messe sulle piattaforme di e-commerce. Sono aumentate le cosiddette truffe romantiche, che vedono come vittime donne di età compresa tra i 40 e i 60 anni, circuite da uomini conosciuti in Rete e indotte con stratagemmi sentimentali a versare ingenti somme di denaro a truffatori senza scrupoli.
Continuano a crescere le truffe legate al trading online
Si è evidenziato inoltre un significativo aumento del fenomeno delle truffe legate al trading on line. Molti utenti della Rete, allettati dalla prospettiva di facili guadagni derivanti da investimenti ”sicuri”, sono caduti nella rete di abili truffatori e finti intermediari finanziari investendo centinaia di migliaia di euro. Con riferimento al financial cybercrime le statistiche fanno registrare 6.854 casi nazionali. La Polizia postale nonostante la difficoltà operativa di bloccare e recuperare le somme frodate, soprattutto verso Paesi extraeuropei (Cina, Taiwan, Hong Kong), grazie alla versatilità della piattaforma Of2Cen (On line fraud cyber centre and ex-pert network) per l’analisi e il contrasto avanzato delle frodi del settore, ha potuto bloccare e recuperare alla fonte circa 18 milioni di euro, su una movimentazione di 21.333.990 euro. Sono in corso attività di cooperazione internazionale finalizzate al recupero delle restanti somme. Inoltre, a seguito dell’adesione a campagne internazionali ad alto impatto come ”Emma 5” (European Money Mule Action), coordinata dal Servizio Polizia postale con la collaborazione di 24 paesi europei e di Europol, sono state identificate, in qualità di money mules e promotori dell’attività criminale 170 persone in Europa, per 43 denunciati di cui 30 arrestati nel territorio nazionale. Le transazioni fraudolente sono state 374, per un totale di circa 10 milioni di euro, di cui circa 3.5 bloccati e/o recuperati grazie alla piattaforma Of2Cen per la condivisione delle informazioni. In materia di cyberterrorismo sono state denunciate sei persone, di cui un arrestato e visionati 36.377 spazi web per individuare contenuti di propaganda islamica, di cui 91 rimossi.
Fonte: Corriere Comunicazioni
Lettera aperta alle istituzioni: la risposta del Presidente Soro
Non si è fatta attendere la risposta del Presidente dell’Autorità garante per la protezione dei dati personali, Antonello Soro, alla lettera aperta inviata dai giuristi Andrea Lisi e Enrico Pelino lo scorso 25 marzo.
Il documento, sottoscritto da diverse Associazioni ed esperti del settore, è stato inviato, oltre al Garante privacy, al Presidente del Consiglio Conte, ai ministri Pisano, Patuanelli e Manfredi, al Commissario Domenico Arcuri e a Invitalia.
Con questa nota, è stato chiesto alle istituzioni coinvolte varie considerazioni in tema di protezione dei dati personali e trasparenza alla luce della possibilità di adottare in Italia un sistema di tracciamento informatico dei cittadini sul modello Sudcoreano, sul quale si percepisce un significativo rischio di derive e utilizzi gratuiti.
Qui di seguito la risposta integrale del Presidente Antonello Soro, che ringraziamo per l’attenzione e la cortesia.
Gentili Avvocati,
la Vostra nota del 25 marzo mi induce a formulare alcune considerazioni, che spero possano risultare utili al dibattito, di questi giorni, sul rapporto tra protezione dati e misure di contenimento dei contagi da covid-19.
Molte delle osservazioni contenute nella nota sono da me condivise (e, peraltro, più volte affermate in queste settimane e in dichiarazioni rese alla stampa o agli organi parlamentari, come nel caso dell’audizione tenuta l’8 aprile dinanzi alla IX Commissione della Camera dei deputati). Ma la rilevanza del tema e la mia intima convinzione dell’utilità, in ogni circostanza, del dialogo mi inducono comunque, a sottolineare alcuni aspetti di merito.
Premetto che in assenza di misure ancora, allo stato, concretamente adottate, stiamo da circa un mese ragionando su ipotesi, variate peraltro sensibilmente nel corso delle settimane. La soluzione su cui, negli ultimi giorni, il Governo pare stia convergendo (ovvero quella di un’app volontariamente attivabile, che raccolga dati bluetooth pseudonimizzati) è sensibilmente diversa dalle misure ipotizzate meno di un mese fa e sulle quali ho avuto modo di esprimere, in più di un’occasione, perplessità e rilievi. Sin dall’inizio, ho potuto chiarire che qualsiasi soluzione adottata a fini di prevenzione epidemiologica non possa che rispettare rigorosamente i criteri di necessità, adeguatezza, proporzionalità e temporaneità prescritti dall’ordinamento interno e da quello europeo per la legittimità di tali misure.
In questo senso, dunque, rispetto al Vostro monito a non “dar carta bianca” a qualsiasi soluzione di tracciamento, credo Vi si possa rassicurare rilevando come tale atteggiamento sia assolutamente estraneo al Garante ma anche, ritengo, allo stesso Governo, cui non mi sentirei di imputare un’azione sprovveduta o, peggio, sprezzante del diritto alla protezione dati.
In ordine alla distinzione, anche da Voi tracciata, tra finalità repressiva e finalità solidaristica della misura, richiamo le considerazioni svolte nella citata audizione, circa la natura relazionale del giudizio di proporzionalità, per questo inevitabilmente condizionato dal grado di meritevolezza e utilità sociale dello scopo sotteso al trattamento. Nell’audizione, peraltro, ho avuto modo di apprezzare il fine sotteso a sistemi di data tracing volti non già a sanzionare la violazione degli obblighi di permanenza domiciliare, ma a ricostruire la catena dei contagi per sottoporre ad accertamenti i potenziali positivi. Si perseguirebbe infatti, in tal modo, quella componente solidaristica del diritto alla salute quale interesse collettivo – valorizzata dalla giurisprudenza costituzionale sugli obblighi vaccinali -e che Aldo Moro, in Assemblea Costituente, ben sottolineò non potersi disgiungere dal rispetto della dignità umana.
Quanto alla paventata pervasività della misura, la soluzione ultimamente ipotizzata non contempla affatto la generalizzata mappatura degli spostamenti, ma la sola acquisizione dei dati (pseudonimizzati) sulle interazioni più strette, ricavabili tramite la funzionalità bluetooth che volontariamente si scelga di attivare sul proprio dispositivo. Per altro verso ho sempre chiarito, in ogni circostanza (da ultimo, in audizione) come la soluzione tecnologica non possa in alcun modo disgiungersi da una risposta sanitaria adeguata. Sono assolutamente convinto che il tracciamento dei dati non avrebbe alcuna utilità in assenza di risorse umane (e persino di reagenti!) per accertarne l’effettiva positività dei cittadini venuti a contatto con persone infette.
Ho anche rilevato come tali misure (la cui efficacia si stima dipenda dall’adesione di circa il 60% della popolazione, non necessariamente dalla totalità) siano tanto più utili in un contesto di graduale ripresa delle attività e di mitigazione degli obblighi di permanenza domiciliare. Ma ciò non toglie- va chiarito – che anche nell’attuale regime di lock-down un data tracing così concepito possa rendersi assai utile per contenere i contagi, sempre purtroppo possibili anche nell’ambito di quelle limitate attività oggi consentite, in ragione della particolare capacità virale del coronavirus. Nessuno, infatti, può garantire che nel fare la fila in farmacia possano esservi soggetti inconsapevolmente positivi capaci di trasmettere il virus per via aerosolica o per contatto.
Ancora. Non pare prospettato, allo stato, alcun tipo di utilizzo di questi dati per segnalare assembramenti o zone particolarmente affollate: obiettivo per il quale sono sufficienti i dati anonimi e aggregati acquisibili dai più vari gestori, sulla scorta peraltro di quanto indicato dalla Commissione Ue nella raccomandazione dell’8 aprile.
Tutt’altro che a un presunto “monitoraggio gratuito”, la misura prospettata pare pertanto preordinata all’individuazione dei possibili contagiati in fase, peraltro, precoce: obiettivo, questo, indispensabile per il contenimento dell’epidemia e, quindi, per la tutela del diritto alla salute ma anche – visto l’alto tasso di letalità del virus- persino alla vita, come hanno sottolineato giuristi dell’autorevolezza di Giorgio Lattanzi.
Non si tratta, dunque, di indulgere ad alcun “monitoraggio di Stato”, ma di non omettere di adottare ogni cautela idonea a limitare il numero di contagi (e quindi di morti), con modalità assolutamente rispettose della riservatezza individuale.
Quanto ai lavori della Commissione istituita dalla Ministra dell’innovazione, rilevo che, allo stato, l’impatto della misura in discussione sui diritti non appare onestamente trascurato.
Circa la trasparenza della composizione (di cui il Garante certo non risponde), posso dire, per quanto ci riguarda, che l’Autorità vi partecipa nella persona del Segretario generale, da me designato quale rappresentante, in una posizione affatto distinta da quella degli esperti di nomina ministeriale, al fine di esprimere, già in quella sede preliminare, le esigenze di tutela del bene giuridico affidato alla cura dell’Autorità.
Ringraziandovi per la consueta attenzione, spero di aver chiarito alcuni aspetti, di indubbia complessità e in costante evoluzione, dei temi rilevantissimi da Voi rappresentati, colgo l’occasione per porgere cordiali saluti.
Antonello Soro
Roma 9.04.2020
Fonte: Anorc
DA ASSOSOFTWARE UN APPELLO ALLA RESPONSABILITÀ DI IMPRESE E PUBBLICA AMMINISTRAZIONE #CHIPUOPAGHI
#ChiPuoPaghi
E’ questo l’hashtag che vogliamo lanciare per sensibilizzare le imprese italiane che, anche nell’emergenza Covid-19, sono in grado di far fronte ai propri impegni verso dipendenti e fornitori.In rappresentanza di centinaia di aziende produttrici di software gestionali ci siamo sentiti chiamati in causa dalla eccezionalità di questo momento che, mentre ci richiede uno sforzo straordinario per continuare a garantire il funzionamento dei processi vitali delle imprese e delle filiere impegnate sul fronte dell’emergenza, ci sollecita a una presa di coscienza e responsabilità nei confronti di quanti oggi stanno affrontando una reale difficoltà con una prospettiva futura ancor più critica.
Per questo chiediamo che #ChiPuoPaghi, senza indugio.
Servirà sicuramente un nuovo “Piano Marshall” per tutti coloro che ne hanno bisogno: sarà indispensabile per evitare un tracollo ora e al termine dell’emergenza. Tuttavia, da subito, riteniamo che occorra una assunzione di responsabilità almeno da parte di tutti coloro che, in questa situazione critica, avendone i mezzi, possono dare un contributo importante all’economia reale per evitare l’aggravamento della crisi.
Chi può, paghi! Chiediamo che lo facciano ora gli imprenditori nei confronti di dipendenti, fornitori e intermediari, che lo faccia subito la Pubblica Amministrazione nei confronti dei propri fornitori tenendo fede ai termini contrattuali.
Come affermiamo nella lettera aperta (allegata e riportata in calce), non dobbiamo aspettare che siano “gli altri” a farlo.
Serve un’ulteriore prova di coscienza, di sensibilità, di rispetto e collaborazione, di serietà e professionalità.Coloro che intendono accogliere il nostro appello, se condiviso, potranno esternderlo ai loro Clienti e Fornitori nella speranza che sia raccolto e che siano in molti, anche in questo frangente così difficile, a dare un segnale positivo alle imprese e alle persone, al nostro Paese, prima ancora della fine dell’emergenza sanitaria.
Di seguito il testo della lettera aperta:
La diffusione del Covid-19 sta mettendo a dura prova i modelli organizzativi, le priorità e l’intero sistema economico del nostro Paese. Le misure fin qui intraprese non rappresentano che una minima parte di quanto sarebbe necessario fare per dare garanzie e sostegno a chi oggi si trova in serie difficoltà economiche e non esclude, con il perdurare della crisi, di dover chiudere i battenti!
Il primo fine mese di questa crisi è arrivato e con il fine mese, immancabilmente, moltissime aziende, in crisi di liquidità, decideranno di ritardare o congelare, per evidente necessità o per libera scelta, i pagamenti ai fornitori e persino ai dipendenti, generando un effetto a cascata di contrazione della liquidità in tutto il sistema economico. In questo momento è importante che le aziende che non vivono particolari difficoltà economiche e finanziarie utilizzino la liquidità esistente per evitare che il sistema economico arrivi al collasso.
Le aziende associate ad AssoSoftware sono impegnate in questa delicatissima fase a mantenere efficienti e protetti i sistemi di comunicazioni telematiche degli ospedali, della P.A., delle filiere produttive e dei servizi pubblici essenziali, degli apparati finanziari e della gestione della fiscalità dello Stato, con il pensiero rivolto al futuro di tutti, ai dipendenti delle aziende, ai fornitori e alla stabilità. Per questo sostengono l’importanza di compiere un gesto di normalità.
CHI PUÒ PAGHI.
È un dovere civico. Pagare i fornitori perché a loro volta possano pagare i loro dipendenti e i loro fornitori. Pagare le tasse: chi può lo faccia. Pagare i professionisti, anche loro hanno dipendenti. Se possibile rispettiamo le scadenze anche se prorogate. È un impegno che deve essere assolto, senza indugio, anche dalla P.A. centrale e periferica, chiamata anch’essa, soprattutto in questo momento, a saldare, nei tempi e nelle scadenze previsti dalle norme e dai contratti, i suoi fornitori.
Chi ha realmente bisogno deve usufruire degli aiuti, ma aiutiamo il circuito dell’economia reale a ritrovare spinta e velocità. Perché di questo abbiamo tutti bisogno e perché farlo conviene a tutti,proprio a cominciare da chi può rispettare i propri obblighi e i pagamenti. Gli imprenditori, gli artigiani, i professionisti, hanno un ruolo sociale importante, più della politica e più dei corpi intermedi della società, e questa crisi lo ha reso evidente. Ciascuno ora può e deve dimostrarsi all’altezza del proprio ruolo.
Non dobbiamo aspettare che siano “gli altri” a farlo. Non cerchiamo alibi. Non offriamo alibi. Diamo un’ulteriore prova di coscienza, di sensibilità, di rispetto e collaborazione, di serietà e professionalità.
CHI PUÒ PAGHI.
È il segnale di cui le imprese e le persone hanno bisogno, prima ancora della fine dell’emergenza sanitaria.
Manteniamo gli impegni. Stiamo con l’Italia!
#chipuòpaghi
Bonfiglio Mariotti – Presidente AssoSoftware
Fonte: AssoSoftware
Le app di monitoraggio Covid-19 non sono poi così sicure
Le applicazioni Android, lanciate per i cittadini dei Paesi più colpiti dalla pandemia come Iran, Colombia, ma anche la stessa Italia hanno avuto la sfortunata conseguenza di diventare possibili vettori inconsapevoli di cyber attacchi. Con la diffusione del virus, infatti, abbiamo visto il fiorire di un’ondata di applicazioni per cellulari Android a tema Covid-19 che hanno lo scopo di aiutare i cittadini a rintracciare i sintomi e tenere traccia delle infezioni da virus. Tuttavia, in alcuni casi, queste app hanno anche messo a rischio privacy e sicurezza dei cittadini.
Da una recente analisi, infatti, sono emerse varie preoccupazioni su queste tematiche, tra cui una backdoor in varie applicazioni. Secondo un post pubblicato recentemente da un gruppo di ricercatori, le app ricadono in due categorie: o sono state create e approvate dai paesi o studiate come un’invenzione una tantum dai criminal hacker per sfruttare l’attuale pandemia. I ricercatori hanno analizzato decine di app a tema Covid-19 che continuano ad emergere con la diffusione del coronavirus, aprendo la strada alle relative minacce alla sicurezza in tutto il mondo. Nell’analisi, hanno evidenziato tre che rappresentano una particolare minaccia per i cittadini, citando non solo la potenziale attività cybercriminale che potrebbe scaturire da queste, ma anche semplici errori degli sviluppatori.
Il caso iraniano
All’inizio di marzo in Iran, uno dei primi posti in cui Covid-19 è emerso come una seria minaccia per la salute, il governo ha rilasciato un’app ufficiale, disponibile su un app store iraniano conosciuto come CafeBazaar. L’app aveva lo scopo principale di rintracciare i cittadini, e ha suscitato non poche preoccupazioni sulla privacy perché, piuttosto che fornire informazioni vitali per la salute, sembrava avere l’unico scopo di raccogliere informazioni personali degli utenti. Se l’app in sé non era abbastanza preoccupante, i criminal hacker hanno anche creato un’app clone, chiamata CoronaApp, disponibile online per il download diretto da parte dei cittadini iraniani piuttosto che tramite il Google Play Store, e quindi non soggetta al normale processo di verifica che potrebbe proteggerli da intenzioni nefaste. Questo faceva leva anche sulla situazione politica del Paese, considerando che molti cittadini iraniani non possono accedere allo store ufficiale di Google Play, e sono quindi più propensi a scaricare app da altre fonti. Anche se CoronaApp non mostra ovviamente intenzioni malvagie, richiede il permesso di accedere alla posizione di un utente, alla fotocamera, ai dati di internet e alle informazioni di sistema, e di scrivere su uno storage esterno. Si tratta di una particolare raccolta di permessi che dimostra il probabile intento dello sviluppatore di accedere alle informazioni sensibili dell’utente. Inoltre, i creatori sostengono che l’app è stata costruita con il supporto del governo iraniano, anche se nulla conferma questa affermazione.
Buone intenzioni, pessima realizzazione
In Colombia, un altro Paese che ha imposto restrizioni ai cittadini durante la pandemia, il mese scorso il governo ha pubblicato su Google Play un’app per cellulari chiamata CoronApp-Colombia per aiutare le persone a monitorare i potenziali sintomi di Covid-19. Tuttavia, l’app includeva anche delle vulnerabilità nelle modalità di comunicazione via HTTP, che influiscono sulla privacy di oltre 100.000 utenti. Dal momento che effettua chiamate al server non sicure per trasmettere i dati personali degli utenti, CoronApp-Columbia potrebbe mettere a rischio la salute degli utenti e le informazioni personali sensibili a rischio di essere compromesse.
La situazione in Italia
Nel nostro Paese, il Governo ha creato applicazioni specifiche per ogni regione per il monitoraggio dei sintomi del coronavirus. Questa frammentazione ha però permesso ai criminal hacker di approfittare dell’incoerenza dei rilasci e della disponibilità delle app per lanciare copie maligne che contengono vaire backdoor. Naturalmente, un numero maggiore di applicazioni approvate dal governo fa sì che gli utenti siano meno sicuri di quali applicazioni mobile a tema Covid-19 siano legittime.
I criminal hacker, hanno approfittato di questa confusione, e hanno rilasciato applicazioni clone dannose per attaccare gli utenti che possono aver erroneamente scaricato l’app sbagliata. In tutto i ricercatori hanno trovato 12 pacchetti di applicazioni Android che facevano capo alla stessa campagna di Criminal Hacking. Tutti, tranne uno, hanno usato vari metodi di offuscamento per non farsi scoprire. Il sospetto era stato subito confermato dando uno sguardo al certificato di firma digitale della prima applicazione dannosa che hanno analizzato. Questo perché, anche se il servizio era a beneficio dei cittadini italiani, il firmatario della app era “Raven” con una posizione a Baltimora, probabilmente un riferimento alla squadra di Football americano Baltimore Ravens. La backdoor si attiva quando l’app Android riceve un segnale BOOT_COMPLETED, quando il telefono si avvia, o quando l’app viene aperta.
Il consiglio, per evitare una vera e propria diffusione a macchia d’olio di queste problematiche di sicurezza è di insistere sull’unicità e tenuta delle app rilasciate. Non deve essere neppure sottovalutata la due diligence durante il processo di sviluppo per garantire la sicurezza di qualsiasi applicazione mobile sponsorizzata dal governo ed evitare di mettere i cittadini a ulteriore rischio.
Fonte: Il Foglio