Technologie e Diritti

Perché le autorità sanitarie tedesche non hanno quasi mai usato l'app di tracciamento dei contatti Covid?

Nonostante le grandi aspettative che avrebbe aiutato a rallentare la diffusione del virus, l'allora prometente app di tracciamento dei contatti Covid "Luca" è stata a malapena utilizzata dalle autorità sanitarie tedesche. Vediamo perché non ha funzionato.

by Jascha Galaski

Le soluzioni digitali come le app di tracciamento dei contatti possono aiutare a gestire la pandemia e offrire ai cittadini un ritorno alla vita normale. In tutta Europa, i governi hanno investito milioni di euro in app di tracciamento dei contatti, con diversi gradi di successo, secondo la nostra ricerca. Questo è anche il caso della Germania con la sua app Corona Warning. Tuttavia, poiché questa app non offriva inizialmente funzioni di rilevamento dei cluster o di registrazione degli eventi, è stata sviluppata l'app Luca. Cos'è l'app Luca? Come funziona e quali sono le preoccupazioni quando la si usa? Queste e altre domande trovano risposta in questo articolo.

Cos'è l'app Luca? Chi ha sviluppato l'applicazione e perché?

L'app Luca è stata sviluppata nel 2020 per rompere le potenziali catene di infezione COVID-19 attraverso la gestione dei dati di contatto e il tracciamento dei contatti. Nella primavera del 2021, quando negozi, ristoranti e locali a livello nazionale sono stati invitati a raccogliere i dati di contatto dei loro ospiti, sembrava offrire ai proprietari un'alternativa valida, efficiente e più rispettosa della privacy al tracciamento dei contatti con carta e penna che era stato utilizzato fino ad allora.

Con questo, gli sviluppatori dell'app Luca hanno convinto molti politici. Entro settembre 2021, 13 stati federali tedeschi, cioè Baden-Württemberg, Baviera, Berlino, Brandeburgo, Brema, Amburgo, Assia, Meclemburgo-Pomerania occidentale, Bassa Sassonia, Renania-Palatinato, Saarland, Sassonia-Anhalt e Schleswig-Holstein, hanno acquistato le loro licenze Luca in cambio di contributi per un totale di oltre 21 milioni di euro. Nel corso della primavera del 2021, la maggior parte di questi stati federali aveva fatto tutti gli aggiustamenti legali nel controllo delle infezioni per essere in grado di sostituire l'inserimento manuale dei dati di contatto con Luca.

Due società sono dietro il progetto: neXenio GmbH ha sviluppato l'app Luca e culture4life GmbH è responsabile della sua commercializzazione. Smudo, membro del gruppo hip-hop "Die Fantastischen Vier", era responsabile dell'attenzione dei media. Secondo il team di Luca, più di 40 milioni di cittadini si sono registrati fino ad oggi e un totale di più di 330 milioni di check-in sono stati fatti.


Il tracciamento dei contatti durante la crisi di Corona: come funziona l'app Luca?

Per utilizzare l'app Luca, gli utenti di Luca devono registrarsi con il loro nome e i loro dati di contatto. Quando si entra in un ristorante o in un locale, gli utenti possono scansionare un codice QR generato dagli organizzatori tramite l'app. I dati degli ospiti vengono criptati al momento del check-in e memorizzati sui server centrali del sistema Luca.

I dati di contatto vengono criptati due volte: una volta sullo smartphone dell'utente con la chiave dell'autorità sanitaria e una seconda volta al momento del check-in nel locale con la chiave del rispettivo organizzatore. Questo per evitare che sia il team di Luca che gli organizzatori di eventi possano ottenere unilateralmente dati non criptati. Gli utenti di Luca che sono risultati positivi al COVID possono fornire al dipartimento della salute una lista di tutti i luoghi in cui sono stati nei 14 giorni precedenti. Il dipartimento della salute può quindi chiedere all'organizzatore i dettagli di contatto di tutti i visitatori che erano presenti nello stesso momento. Possono quindi rilasciare e decifrare i dati di contatto richiesti. A questo punto, i dati di contatto sono ancora criptati con la chiave del dipartimento della salute, in modo che né l'organizzatore né il team di Luca possano vedere i dati di contatto in forma non criptata. Una volta ricevuto, le autorità sanitarie possono finalmente decifrare completamente i dati di contatto.

Sostieni il nostro lavoro per proteggere i tuoi diritti digitali Donate

Spetta all'autorità sanitaria lanciare un allarme centralizzato a tutti gli utenti interessati. Questo differisce dall'approccio decentralizzato della Corona Warning App (CWA), dove gli utenti colpiti sono avvertiti direttamente alla presentazione di risultati di test positivi verificati, senza la necessità di un intervento del governo centrale.

L'app Luca ha mantenuto la sua promessa?

Le autorità sanitarie hanno riferito che Luca è di scarsa utilità per loro. In un sondaggio del sito web di notizie netzpolitik.org, solo 3 dipartimenti sanitari su 137 hanno detto di usare Luca regolarmente. Le ragioni date contro l'uso regolare includevano la scarsa qualità dei dati, l'irrilevanza dei dati ricevuti, la scarsa assistenza clienti e il sovraccarico di lavoro generale. Molti uffici sanitari hanno riferito di aver lavorato raramente con le liste di contatti fornite dai ristoranti. Di conseguenza, la maggior parte degli stati ha lasciato scadere i contratti con Culture4Life.


Problemi con l'app Luca

Dal suo rilascio, l'app Luca è stata afflitta da problemi tecnici e vulnerabilità di sicurezza. Nuove violazioni e altri problemi sono stati riportati quasi ogni settimana. Ecco alcuni esempi:

Perdita dell’anonimato: I ricercatori dell'Università EPFL di Losanna hanno segnalato delle vulnerabilità di sicurezza già nella primavera del 2021: per esempio, che gli utenti non solo inviano dati di contatto criptati al server di Luca quando fanno il check-in, ma anche altre informazioni, come l'indirizzo IP. Gli hacker potrebbero teoricamente utilizzare questi dati per ricostruire quale persona si nasconde dietro l'ID utente e tracciare dove questa persona ha fatto il check-in nelle ultime due settimane. I ricercatori hanno anche criticato il fatto che così tanti dati sensibili sono memorizzati centralmente su un server, che potrebbe essere pericoloso in caso di un attacco hacker.

Mancanza di trasparenza: quando gli sviluppatori dell'app Luca hanno finalmente rilasciato il codice sorgente dopo una forte pressione della comunità online, hanno usato una licenza estremamente restrittiva che proibiva a chiunque di duplicare, condividere o riprodurre in altro modo il codice sulle reti pubbliche. Così facendo, i produttori hanno reso l'analisi critica del codice praticamente impossibile. Inoltre, nessuna valutazione d'impatto sulla protezione dei dati (DPIA) è stata pubblicata per l'app Luca fino ad oggi, il che non parla bene dell'impegno di Luca per la trasparenza.

Gestione insoddisfacente delle chiavi: nel marzo 2021, la Conferenza tedesca sulla protezione dei dati (DSK) ha criticato il concetto di crittografia del sistema Luca, in particolare che tutti gli uffici sanitari avevano le stesse chiavi per decifrare i dati di contatto. Questo comportava il rischio che "un gran numero di dati gestiti centralmente dal sistema potessero essere accessibili senza autorizzazione spiando o abusando di queste chiavi. Allo stesso modo, è difficile per gli organizzatori verificare che una richiesta di decrittazione sia legittima, quindi potrebbero essere ingannati nel decrittare i dati senza una richiesta legittima. Un attacco riuscito ai sistemi di culture4life GmbH potrebbe quindi mettere a rischio la sicurezza dell'intero sistema". DSK ha quindi chiesto al team di Luca di verificare se le funzionalità della loro app potevano essere implementate in un sistema decentralizzato.

Profiliazione del movimento attraverso portachiavi fisici: il team di Luca offre portachiavi fisici con codici QR stampati sopra. Questo dovrebbe rendere possibile l'inclusione di persone senza smartphone nel tracciamento digitale dei contatti di Luca. Tuttavia, un gruppo di esperti informatici ha sottolineato come persone non autorizzate potrebbero usare questi portachiavi fisici per ricostruire i profili di movimento dei singoli utenti. Poiché, a differenza dei codici QR digitali di Luca, i codici QR fisici rimangono gli stessi, una loro foto è sufficiente per poter ricostruire tutti i check-in degli ultimi 30 giorni.

Iniezione di codice attraverso file CSV: Nel maggio 2021, è stata rivelata una vulnerabilità che ha permesso agli hacker di iniettare malware nei sistemi informatici sanitari. Il team di Luca non era riuscito a disabilitare l'uso di caratteri speciali nei moduli di registrazione dei nomi. Questo permetteva agli utenti di programmare i codici nei file CSV. Aprendo questi file CSV con Microsoft Excel, autorità sanitarie potevano avere informazioni di contatti cancellati o estratti dal sistema dell'autorità sanitaria, o poteva essere installato un ransomware. L'ufficio federale tedesco per la sicurezza delle informazioni (BSI) ha confermato questa vulnerabilità in una dichiarazione pubblica e ha ritenuto il team Luca responsabile.

Questi e numerosi altri problemi di sicurezza hanno spinto molti esperti a prendere la parola: più di 70 importanti ricercatori tedeschi di sicurezza informatica hanno pubblicato una lettera aperta criticando aspramente Luca e mettendo in guardia con urgenza contro la sua acquisizione e il suo utilizzo. Nella lettera hanno scritto che Luca non ha soddisfatto nessuno dei quattro principi fondamentali delle app di tracciamento dei contatti responsabili: limitazione dello scopo, trasparenza, volontarietà e valutazione del rischio. Il Chaos Computer Club (CCC) ha chiesto un "freno di emergenza federale" („Bundesnotbremse“) per Luca.

Cosa riserva il futuro all'app Luca?

Nel frattempo, le autorità sanitarie hanno interrotto la ricerca dei contatti, rendendo superflua l'app Luca. Il team di Luca ha ora deciso di dare all'app due nuove funzioni. Nella nuova versione dell'app, gli utenti saranno in grado di salvare la loro carta d'identità sul loro smartphone e mostrarla contemporaneamente al loro Green pass quando entrano in un ristorante o in un locale, il che dovrebbe aiutare a ridurre il tempo di attesa al check-in. Presto sarà anche possibile utilizzare l'app Luca per pagare in ristoranti, caffè e bar.


Photocredits:

Clay Banks/Unsplash.com
Ashkan Forouzani/Unsplash.com
Ashkan Forouzani/Unsplash.com
Mufid Majnun/Unsplash.com

Donate to liberties

Together we’re making the difference

When the many put our resources together, we defeat the few who think they hold all the power. Join us to bring rights to life for all of us.

Be a part of protecting our freedoms

We have

  • Created the largest fund for democracy groups in the EU
  • 
Got new powers to cut off EU funding to autocrats

  • Written new EU rules to protect journalists & campaigners from bogus lawsuits

  • Trained over 400 rights defenders to supercharge the campaigns you care for

More milestones


Together we’re making the difference

When the many put our resources together, we defeat the few who think they hold all the power. Join us to bring rights to life for all of us.

Subscribe to stay in
the loop

Why should I?
  • » You'll know about the latest human rights developments
  • You can follow what we are doing for your right!
  • » You'll hear what Liberties is working on, eg. free speech, privacy, digital rights - before anyone else

Show me a sample!