Ora sappiamo perché l'app IO non funziona su GrapheneOS

La discussione inerente all’incompatibilità tra l’app IO e sistemi mobile alternativi come GrapheneOS, basato su Android, è di lunga data. Sul GitHub di PagoPA se ne discute da quasi un anno, già da prima che la funzionalità Documenti su IO (IT-Wallet) facesse il suo debutto ufficiale per tutti. In questi giorni, per la prima volta, siamo venuti a conoscenza della posizione ufficiale della società.

PagoPA spiega l’incompatibilità tra l’app IO e GrapheneOS

A renderla nota è un utente, che a fine maggio ha fatto ricorso al diritto all’accesso civico generalizzato (approfondimenti sul sito del Ministero dell’Interno) per far valere la facoltà di accedere a dati, documenti e informazioni detenuti dalle pubbliche amministrazioni, chiedendo il perché della mancata possibilità di utilizzare l’applicazione sull’OS e, di conseguenza, di accedere ai documenti.

La risposta, riportata per intero su GitHub, è dell’avvocato Michelino Chionchio di PagoPa. Fa riferimento alla necessità di garantire un alto livello di sicurezza durante lo sviluppo di IT-Wallet, che ha portato a implementare un sistema per la verifica che l’app usata sia quella ufficiale ricorrendo ai seguenti sistemi di controllo.

• Play Integrity API su Android e DeviceCheck su iOS (verifica dell’integrità dell’app e del dispositivo);
• Key Attestation (protezione delle chiavi crittografiche).

Il primo dei due è mantenuto ufficialmente da Google. La Hardware Attestation API, che abiliterebbe invece la piena compatibilità con GrapheneOS, non è prevista come esclusiva, rendendo i sistemi operativi alternativi, così come il sideload dell’applicazione o l’installazione da piattaforme diverse da Google Play, non supportati.

Una scelta dettata anche dagli sviluppi futuri

Nella sua risposta, l’avvocato sostiene che la scelta della Play Integrity API sia dettata anche dalla volontà di lasciare le porte aperte a potenziali funzionalità future, come il rilevamento di malware o minacce come overlay e controllo remoto (come da notare la redazione di DDay, c’è da sperare che il riferimento fosse alla protezione dal controllo remoto) che sarebbero invece state limitate dalla Hardware Attestation API.

Tradotto dal legalese, la decisione di PagoPA può essere giudicata come conservativa, ma legittima. Dopotutto, il problema relativo all’incompatibilità si pone non solo per GrapheneOS, ma anche ad esempio per gli smartphone Huawei. Vale persino per quelli Android e iOS, se fermi a versioni dei sistemi operativi ormai obsolete (rispettivamente antecedenti alla 8 e alla 14), così come non è prevista un’interfaccia per l’accesso da computer desktop.