Quando è stata pubblicata Immuni, l’app del ministero della salute dedicata al tracciamento dei contagi, ho scritto una Cosa di Computer in cui ne confermo sia l’anonimità che la sicurezza. Qualche tempo dopo ho anche descritto i motivi per cui è fallita miseramente. Due miei follower su TikTok mi hanno chiesto quasi contemporaneamente di produrre una Cosa di Computer dedicata a spiegare come funziona Verifica C19, l’app del ministero della salute dedicata alla verifica dei green pass e pubblicata su App Store e Google Play Store.
Cos’è un’app? Cos’è un codice sorgente? Partiamo dalle basi. Un’app è un programma per smartphone. Uno smartphone è un computer come tutti gli altri, solo che è più piccolo. Per creare un programma o un’app è necessario scriverne il codice sorgente, che consiste di una serie di istruzioni. I computer non comprendono il linguaggio naturale degli esseri umani: sono solo in grado di eseguire operazioni matematiche. Per cui il codice sorgente deve essere scritto in un linguaggio che stia a metà tra quello degli esseri umani e quello dei computer. Questo linguaggio è chiamato linguaggio di programmazione.
Immuni e Verifica C19 sono app a “sorgente aperto”: è possibile consultarne liberamente il codice sorgente. I sorgenti sono stati pubblicati apposta per cercare di spegnere le polemiche di chi credeva che Immuni spiasse i propri utenti. Il concetto era: “guarda, puoi leggere liberamente il sorgente, non abbiamo nulla da nascondere!”. Peccato che l’iniziativa sia fallita miseramente, per vari motivi:
- Solo gli informatici o gli utenti esperti sanno cos’è un codice sorgente
- Solo gli informatici o gli utenti esperti sanno comprendere un sorgente
- Il complottista sosterrebbe comunque che esistano “codici nascosti” nell’app
Non ho intenzione di smontare o discutere tutti i possibili complottismi che circondano le app del governo. Torniamo all’argomento principale: come funziona Verifica C19? È anonima? È sicura? Per rispondere a queste domande ne ho esaminato il sorgente su Github, un noto sito dedicato ad ospitare i sorgenti dei programmi.
Il come funziona è presto detto: Verifica C19 legge il green pass, che non è altro che una stringa univoca contenuta dentro ad un codice QR, e lo invia ad un server gestito dall’unione europea. Questo server risponde con un si o con un no. Fine! L’app non fa nulla d’altro. È anonima? Assolutamente si. L’app non legge alcuna informazione su di noi e non invia null’altro che la stringa contenuta nel QR del green pass.
È sicura? In informatica non esistono sistemi sicuri al 100%. Le app ed i programmi in generale possono essere sfruttati per ottenere l’accesso al tuo telefono o al tuo PC, grazie ai bug (errori umani di programmazione). Più un’app è complicata e più è probabile che ci siano dei bug. Quindi non posso affermare che Verifica C19 sia sicura al 100%. Posso solo assicurarti che rischi molto di più ad usare app come Facebook e TikTok (che tra l’altro non sono per nulla anonime).