"Il pericolo? Cliccare su file che hanno nomi simili"

Giampaolo Dedola è il Senior Security Researcher di Kaspersky, brand che garantisce la sicurezza di oltre 270mila aziende nel mondo. Dopo aver esaminato Immuni, pone l'accento sull'attenzione che si deve porre per non andare incontro a rischi: «Se l'implementazione del codice rispetta il design descritto nella documentazione, il pericolo per le informazioni sensibili degli utenti è limitato in quanto non vengono raccolti dati identificativi. Inoltre il fatto che le interazioni con gli altri dispositivi avvengano tramite codici pseudo-random variabili e che le informazioni gestite dall'app in generale rimangano sul telefono, dovrebbero mitigare i timori di eventuali abusi».

Quello che non è ancora pienamente chiaro invece riguarda la presenza degli indirizzi IP utilizzati dai dispositivi per comunicare con i server remoti: «Lo ha rimarcato anche Garante della privacy - spiega Dedola -: è importante che questi dati vadano conservati solo per i tempi strettamente necessari alle verifiche di sicurezza. Gli IP, se correlati con altre informazioni terze, potrebbero essere usati per identificare in maniera univoca un utente». C'è insomma da lavorare sul server più che sull'app, «anche se la sicurezza al 100% non esiste e quindi possiamo solo confidare sul fatto che il gestore dei sistemi segua le pratiche migliori». Per esempio: deve garantire l'installazione delle cosiddette patch di sicurezza, la protezione di sistemi e reti con soluzioni di sicurezza efficaci, la tracciabilità delle operazioni compiute dagli utenti dei sistemi. In modo da evitare abusi di personale autorizzato o di soggetti terzi. Ma la vera minaccia - chiude Dedola - «sarà l'abuso del nome immuni da parte di criminali informatici. Un esempio: a fine maggio è stato identificato un ransomware per Windows, distribuito con il nome IMMUNI.exe tramite un sito che appariva quello della Federazione Ordini farmacisti Italiani».