3 weeks ago
56
Negli ultimi giorni, l'app IO (e di conseguenza IT-Wallet) è diventata il nuovo bersaglio della disinformazione su social e gruppi online, con una serie di post che diffondono teorie complottiste riguardo alla sicurezza e alla gestione dei dati degli utenti. Alcuni utenti hanno diffuso “analisi tecniche” distorte, insinuando che l’app IO, l’applicazione utilizzata per accedere ai servizi della pubblica amministrazione, che supporta ora il portafoglio digitale italiano, invii dati non protetti e permetta potenzialmente l'accesso a quelli personali da parte di entità straniere.
LE ACCUSE: DATI IN CHIARO E SERVER NEGLI USA
L’ondata di dubbi è nata quando un utente ha analizzato l’APK dell’app IO, segnalando una linea di codice che, a suo avviso, indicherebbe l'invio di dati in chiaro. Questo dettaglio tecnico, legato all'opzione "android:usesCleartextTraffic", è stato interpretato come una prova di scarsa sicurezza. A rispondere alle accuse è stata PagoPA, il sistema dei pagamenti a favore delle pubbliche amministrazioni, che ha chiarito che tale impostazione serve solo a garantire la compatibilità con alcuni dispositivi Android e che i dati sono protetti da SSL.
Inoltre, i complottisti hanno insinuato che i server dell’applicazione, ospitati su Microsoft Azure, si troverebbero negli Stati Uniti, attribuendo a Microsoft la possibilità di accedere ai dati degli utenti. Anche qui è intervenuta PagoPA, la quale ha smentito categoricamente: i server principali si trovano a Milano e Amsterdam, quindi soggetti alle normative europee sulla privacy.
IL RUOLO DI MIXPANEL
Un altro aspetto contestato riguarda l'uso di Mixpanel, un sistema di analisi che, per alcuni utenti, rappresenterebbe un rischio per la privacy. Tuttavia, PagoPA ha assicurato che il sistema rispetta il regolamento europeo e che non vengono raccolti dati senza il consenso esplicito degli utenti, grazie a modifiche già implementate in passato.
Questi dubbi sulla sicurezza dell'app IO non sono del tutto nuovi: già durante la pandemia, l'app era stata presa di mira per il Green Pass.
LA RISPOSTA UFFICIALE: CHIARIMENTI NECESSARI
Visto il numero crescente di dubbi (e di illazioni), proprio PagoPA ha deciso di rispondere a tutte le accuse con un comunicato ufficiale, ribadendo che l'app IO non salva i dati sui propri server e che tutte le credenziali sono memorizzate sui dispositivi degli utenti, sotto il loro completo controllo. La società ha chiarito anche che il sito collegato all’app, io.italia.it, è un semplice portale informativo gestito sotto la supervisione della Presidenza del Consiglio, senza funzionalità di gestione dati.
Ecco la dichiarazione di PagoPA:
In seguito a quanto apparso su alcuni social media nei giorni scorsi circa la presunta localizzazione dei “server dell’identità digitale italiana” negli Stati Uniti con specifico riferimento al sito web io.italia.it, la società PagoPA intende fare immediata chiarezza su informazioni del tutto prive di fondamento. Innanzitutto è bene precisare che non vi è alcuna correlazione tra l’identità digitale e il sito io.italia.it. Quest’ultimo infatti è un mero dominio di secondo livello del dominio italia.it, di proprietà della Presidenza del Consiglio dei Ministri e nato nel 2004 quale “contenitore” per molteplici siti e servizi gestiti da enti diversi, tra cui anche il sito vetrina di App Io, l’app dei servizi pubblici sviluppata e gestita da PagoPa e cioè io.italia.it, un sito web statico che risponde a sole finalità divulgative, senza sessioni dati gestite. Le componenti informatiche del sito web io.italia.it e del sito collegato ioapp.it, nonché le componenti dell’applicazione Io in sé sono ospitate sui sistemi di Microsoft Azure nelle Region North Italy nel primo caso (a Milano) e West Europe nel secondo caso (ad Amsterdam). Su Milano, in particolare, è attestata la maggior parte dei servizi gestiti dall’App Io, inclusa tutta la componente relativa alla funzionalità per la gestione dei Documenti su IO quale prima fase dell’It-Wallet. Va infine ricordato che l’applicazione Io non salva le informazioni dei cittadini sui propri server, come ampiamente verificabile dall’architettura e dal codice open source. Infatti, i dati relativi alle credenziali di identità digitale, così come tutte le altre credenziali, sono nel pieno controllo dei cittadini in quanto salvate esclusivamente sui dispositivi.
Basterà questo a dissolvere i dubbi e le illazioni di alcuni utenti? Con il clima di sfiducia che circonda spesso le novità digitali, soprattutto quando legate a enti pubblici, è difficile pensare che una nota ufficiale possa convincere tutti.
Dopotutto, la tendenza di alcuni è di credere a teorie alternative o, peggio, di voler cercare a tutti i costi un riscontro per le proprie convinzioni piuttosto che accettare i fatti. Anche se il comunicato di PagoPA appare completo e trasparente, potrebbe non essere sufficiente a convincere chi è deciso a vedere minacce dove non ce ne sono.
English (US)