Truffe online

Immuni, c'è l’ok del Garante. Regole rigide sul trattamento dei dati

Nel giorno del lancio in alcune regioni, un ben orchestrato tentativo di phishing prova a sfruttare l’esordio della app di tracciamento per bloccare il computer di chi cade nel tranello

di Biagio Simonetta

Privacy, tracciamento e volontarietà: ecco la app “Immuni”

Nel giorno del lancio in alcune regioni, un ben orchestrato tentativo di phishing prova a sfruttare l’esordio della app di tracciamento per bloccare il computer di chi cade nel tranello


3' di lettura

Mancava l'autorizzazione finale, e adesso c'è. Il lasciapassare del Garante per la protezione dei dati personali per l'utilizzo dell'app “Immuni” è arrivato sulle scrivanie del Ministero della Salute, e adesso l'applicazione per il contact tracing è veramente pronta al rilascio e alla sperimentazione (si parte in 4 regioni: Puglia, Abruzzo, Marche e Liguria). Il Garante della Privacy ha fatto sapere che «il trattamento di dati personali effettuato nell'ambito del Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati, che attenuano i rischi che potrebbero derivare da trattamento».

Tenuto conto della complessità del sistema di allerta e del numero dei soggetti potenzialmente coinvolti, il Garante ha comunque ritenuto di dare una serie di misure volte a rafforzare la sicurezza dei dati delle persone che scaricheranno la app. «Tali misure – è scritto nella nota ufficiale - potranno essere adottate nell'ambito della sperimentazione del Sistema, così da garantire che nella fase di attuazione ogni residua criticità sia risolta».

In particolare, l'Autorità ha chiesto che gli utenti siano «informati adeguatamente in ordine al funzionamento dell'algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio». E dovranno essere portati a conoscenza del fatto che «il sistema potrebbe generare notifiche di esposizione che non sempre riflettono un'effettiva condizione di rischio». Gli utenti, inoltre, «dovranno avere la possibilità di disattivare temporaneamente l'app attraverso una funzione facilmente accessibile nella schermata principale».

I dati raccolti attraverso il sistema di allerta, secondo le misure del Garante, «non potranno essere trattati per finalità non previste dalla norma che istituisce l'app». E dovrà anche essere garantita «la trasparenza del trattamento a fini statistico-epidemiologici dei dati raccolti e individuate modalità adeguate a proteggerli, evitando ogni forma di riassociazione a soggetti identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione». Dovranno essere introdotte «misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati». Relativamente alla conservazione degli indirizzi ip degli smartphone «dovrà essere commisurata ai tempi strettamente necessari per il rilevamento di anomalie e di attacchi». Inoltre, «dovranno essere adottate misure tecniche e organizzative per mitigare i rischi derivanti da falsi positivi». E particolare attenzione «dovrà essere dedicata all'informativa e al messaggio di allerta, tenendo altresì conto del fatto che è previsto l'uso del Sistema anche da parte di minori ultra quattordicenni». Il Garante ha sottolineato infine che «il trattamento di dati personali raccolti attraverso la app, da parte di soggetti non autorizzati, può determinare un trattamento di dati personali illecito, eventualmente anche sotto il profilo penale».

Il tentativo di hacking

Intanto in mattinata, mentre tutti aspettavano proprio l'ok del Garante, è emersa una campagna di hacking che prova a sfruttare l'arrivo di Immuni. A renderlo noto è l'Agid-Cert, la struttura del governo che si occupa di cybersicurezza. Non si ha contezza, al momento, di quanti cittadini siano realmente coinvolti e a rischio. Ma la storia è abbastanza emblematica, e necessita di grande attenzione.

A scoprire il tutto è stato un ricercatore, che su Twitter porta il nome di ricercatore @JAMESWT_MHT. In sostanza, si tratta di una campagna di phishing – quindi attiva con le classiche mail esca che puntano a ingannare chi le riceve - che prova a sfruttare l'esordio di Immuni, l'app per il contact tracing scelta dal governo italiano che proprio in queste ore è in fase di rilascio. All'interno della mail infetta, si prova a convincere l'utente a cliccare su un link che porta a un dominio creato ad arte per replicare i contenuti della Federazione Ordini Farmacisti Italiani (FOFI.it). In realtà basta un click per finire sul file eseguibile “Immuni.exe” che al suo interno contiene un malware chiamato FuckUnicorn.

È un virus di tipo ransomware – di quelli che bloccano i computer e chiedono un riscatto per sbloccarli - che una volta eseguito mostra una finta dashboard con i risultati della contaminazione da Covid-19. E mentre l'utente si trova davanti questa mappa, il malware provvede a cifrare i file presenti sul sistema Windows della vittima e a rinominarli assegnando l'estensione “.fuckunicornhtrhrtjrjy”. Alla fine dei giochi, sullo schermo compare il classico file di testo con le istruzioni per il riscatto, che ammonta a 300 euro in bitcoin per liberare i file cifrati, quindi il Pc. Come nella maggior parte dei casi, quando c'è di mezzo un ransomware, pagare il riscatto è del tutto inutile. La transazione è protetta dall'anonimato tipico delle criptovalute. E mai nessun cybercriminale vi verrà in aiuto.

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti