Era stata definita come la “applicazione mobile gratuita italiana, realizzata dal Dipartimento per la trasformazione digitale, in collaborazione con PagoPA S.p.A. e diversi volontari che hanno collaborato allo sviluppo, con l’obiettivo di rendere i servizi delle pubbliche amministrazioni accessibili ai cittadini su un’unica piattaforma”. Oggi si scopre che la app “IO” spedisce i dati degli utenti a diverse piattaforme straniere (Google, Mixpanel e Instabug) alla faccia della privacy e soprattutto approfittando del naturale rapporto di fiducia che lega il buon cittadino alle iniziative che portano il cappello dello Stato.
Non lo dice un irriducibile brontolone come chi scrive questa manciata di righe, ma a dichiarare la pericolosità della applicazione è l’Autorità Garante per la Protezione dei Dati Personali.
L’occasione per far scattare l’allerta è venuta dalle valutazioni del Garante (qui la sua relazione tecnica) a proposito della idoneità della app “IO” per l’acquisizione del Green Pass da parte dei cittadini che hanno acquisito i requisiti vaccinali e l’idoneità a circolare liberamente.
Alla fucilata in pieno petto PagoPA S.p.A. risponde con un risoluto comunicato stampa che smentisce “un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze)”.
A chi si deve credere? Ai titolatissimi componenti dell’Autorità Garante e al loro selezionato team di esperti oppure alla dirigenza di PagoPA, società che – pur interamente partecipata dal Ministero dell’economia e delle finanze e alle dipendenze della Presidenza del Consiglio – ha costruito il proprio management senza concorsi pubblici e severe selezioni per titoli ed esami ma solo sulle qualificate indicazioni dell’allora deus ex machina della digitalizzazione Diego Piacentini?
La dichiarazione di PagoPA smonta (o vorrebbe smontare) in maniera abbastanza sbrigativa i rigorosi rilievi del Garante, i cui uffici – secondo abituale prassi – sono invece avvezzi a documentare puntualmente le proprie attività.
L’Authority infatti scrive di aver verificato che la app “IO” “è stata progettata e realizzata senza integrare nel trattamento le garanzie necessarie a soddisfare i requisiti del Regolamento e adottare misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati, nonché senza mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati necessari per ogni specifica finalità del trattamento”.
(Nella foto: il Generale Umberto Rapetto)
A dispetto del compiaciuto comunicato di PagoPA, la relazione tecnica dell’Autorità Garante sentenzia in maniera inequivocabile che “l’App IO è stata configurata senza tenere conto di elementi chiave dalla progettazione e dell’impostazione predefinita” relativi ai principi della “liceità, correttezza e trasparenza” e della “minimizzazione dei dati”…
Chiacchiere a parte, come si legge sul sito web del Garante, “l’Autorità, in relazione a criticità di ordine generale sul funzionamento dell’App IO, ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app che prevedono l’interazione con i servizi di Google e Mixpanel, e che comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso”.
Il Garante in modo garbato fa presente che sono “cosette” a proposito delle quali aveva già detto la sua (e a quanto pare non era stato ascoltato). Il suo “Profili sui quali l’Autorità aveva già richiamato l’attenzione con diversi provvedimenti del 2020 fornendo peraltro indicazioni per rendere conforme l’uso dell’app alla normativa sulla privacy” è una tirata d’orecchi che non passa inosservata.
Qualcuno chiederà conto a PagoPA di questo tutt’altro che simpatico rimbrotto?
di Umberto Rapetto (Infosec.news)