L’app IO, utilizzata per l’accesso ai servizi della pubblica amministrazione e ora integrata con il portafoglio digitale italiano (IT-Wallet), è finita al centro di un’ondata di disinformazione. Diversi utenti hanno condiviso post e commenti allarmistici, suggerendo scenari complottistici. Quest’ultimi sono legati alla sicurezza e alla gestione dei dati personali. Nello specifico è stato insinuato che l’app possa permettere accessi indebiti da parte di enti stranieri o inviare informazioni non protette.
IT-Wallet e App IO al centro di sospetti e congetture fasulle
Questo clima di sfiducia è stato alimentato da un’analisi tecnica superficiale di un utente, che ha esaminato l’APK dell’app IO. Quest’ultimo ha interpretato una riga di codice relativa alla funzione “android:usesCleartextTraffic” come prova della scarsa sicurezza dell’app. Secondo l’utente, tale funzione indicherebbe che l’app invia dati in chiaro, esponendo potenzialmente le informazioni personali. A rispondere a tali accuse è stata PagoPA. La società responsabile dei pagamenti digitali per la pubblica amministrazione ha chiarito come l’impostazione sia necessaria per garantire la compatibilità con alcuni dispositivi Android. Ha però assicurato che tutti i dati trasmessi sono protetti da SSL, un protocollo di sicurezza robusto e ampiamente utilizzato.
Un’altra critica mossa riguarda l’uso della piattaforma cloud Microsoft Azure per ospitare i server dell’applicazione. In questo caso le insinuazioni affermano che i dati degli utenti finirebbero nei server statunitensi, dove sarebbero potenzialmente accessibili a Microsoft. Anche in questo caso PagoPA è intervenuta, specificando che i server principali dell’app IO si trovano in Europa, precisamente a Milano e Amsterdam. Dunque, sono pertanto soggetti alle normative europee sulla privacy. Tra cui è incluso anche il modulo per la gestione documentale dell’IT-Wallet.
Inoltre, PagoPA ha sottolineato che l’utilizzo di Mixpanel, un sistema di analisi del comportamento dell’utente, avviene nel pieno rispetto del GDPR (Regolamento Generale sulla Protezione dei Dati), con raccolta di dati solo previo consenso esplicito. Le rassicurazioni fornite da PagoPA sono accurate, eppure potrebbero non bastare a convincere chi è deciso a interpretare ogni innovazione come una possibile minaccia.