COVID-19: l’app governativa, fra tracciamento, diritto d’autore e sicurezza

di Andrea Monti – InfosecNews del 16 aprile 2020

L’ordinanza 10/2020 del Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19 scrive la parola fine al capitolo “Tracciamento si, tracciamento no” nel senso che, finalmente e nel bene o nel male, il governo ha deciso di imboccare la strada del monitoraggio delle persone per rilevare e segnalare contagi individuando un “app”osito software concesso gratuitamente in licenza dalla società che lo ha sviluppato al governo italiano . Nello stesso tempo, però, il provvedimento lascia “non dette” alcune cose relative, in particolare, alla sua sicurezza, che vista la criticità del momento avrebbero dovuto costituire un elemento centrale nella selezione del prodotto.

Partiamo da aspetti strettamente giuridici: la società che ha sviluppato il software di contact tracing, si legge nell’ordinanza,

esclusivamente per spirito di solidarietà e, quindi, al solo scopo di fornire un proprio contributo, volontario e personale, utile per fronteggiare l’emergenza da COVID-19 in atto, ha manifestato la volontà di concedere in licenza d’uso aperta, gratuita e perpetua, al Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19 e alla Presidenza del Consiglio dei ministri, il codice sorgente e tutte le componenti applicative facenti parte del sistema di contact tracing già sviluppate, nonché, per le medesime ragioni e motivazioni e sempre a titolo gratuito, ha manifestato la propria disponibilità a completare gli sviluppi informatici che si renderanno necessari per consentire la messa in esercizio del sistema nazionale di contact tracing digitale.

Punto zero: c’era veramente bisogno di specificare che lo sviluppatore concede in licenza il software “esclusivamente per spirito di solidarietà ecc. ecc.”? Dal punto di vista del diritto d’autore, certamente no, a meno che non sia il modo per attenuare (o eliminare) le responsabilità per danni derivanti da errata progettazione o da errato sviluppo del software. Come è noto, infatti, la “gratuità” di un software implica un regime di responsabilità meno afflittivo rispetto a chi si fa pagare per un pacchetto o un programma sviluppato ad hoc.

Punto primo: i licenziatari sono dunque il Commissario straordinario e la Presidenza del Consiglio i quali dovranno predisporre una sub-licenza da far accettare a chi utilizza questo software. Dato che la licenza concessa dallo sviluppatore implica anche l’accesso ai codici sorgenti – e dunque la possibilità di verificare qualità e sicurezza del software – tutte le responsabilità per mal-trattamento dei dati, errori, danni e circolazione non autorizzata di dati particolari ai sensi dell’articolo 9 del GDPR ricadono sui licenziatari (e dunque, sul Commissario e sul Presidente del Consiglio).

Punto secondo: l’ordinanza parla di licenza “aperta” ma non specifica se si tratta di GPL (l’unica che può effettivamente chiamarsi “libera”) oppure di una delle tante licenze che rientrano nella Open Source Initiative, o ancora un’altra forma “indipendente” di licenza d’uso. La differenza non è banale, perchè mentre la GPL obbliga alla redistribuzione del codice sorgente alla sua modifica, altre licenze “aperte” non consentono questa possibilità. Come oramai è pacificamente dimostrato, la disponibilità dei sorgenti migliora qualità e sicurezza del software quindi ci si aspetterebbe che il Governo si sia assicurato la possibillità di rendere pubblici gli “schemi tecnici” del software. Non è solo una questione di sicurezza, ma anche di democrazia: i cittadini hanno il diritto di sapere “cosa fa” e “come funziona” un oggetto dal quale dipende, letteralmente, la loro vita. Attenzione, la vita, non “la privacy”, perchè se questo software è scritto male o è vulnerabile può provocare danni anche irreversibili, al cui confronto la preoccupazione per “la privacy” è senz’altro marginale.

Punto terzo: nell’ordinanza non si parla nè dell’analisi nè dei commenti al codice sorgente, che sono gli elementi essenziali per capire come è fatto e cosa fa un software. Senza queste informazioni è difficile rivedere un codice che va compreso riga per riga senza nessun aiuto. Questo rende più difficile l’attività di debugging, sempre che sia consentita.

C’è da sperare che questi elementi (e diversi altri che per brevità non indico, relativi per esempio a chi dovrebbe essere responsabile delle analisi obbligatorie ai sensi degli articoli 25 – data protection by default e by design e 32 – Misure di sicurezza del GDPR) verranno presi in considerazione quando verrà stipulato il contratto fa le parti.

Possibly Related Posts: