Mentre in Italia il Green Pass parte tra qualche intoppo, i nostri vicini svizzeri stanno già iniziando a rilasciare ai cittadini vaccinati i “Certificati COVID” in forma cartacea “evoluta” e digitale.
Com’è il green pass in Svizzera
In Svizzera la richiesta del certificato, come in Italia, è possibile per i soggetti vaccinati, guariti o che abbiano eseguito un tampone recente, ma la distribuzione “automatica” è iniziata con i nuovi vaccinati che possono richiederlo direttamente nei centri di vaccinazione.
I guariti potranno richiedere online il certificato producendo un test che attesti la guarigione risalente a meno di 180 giorni prima della richiesta, mentre per i già vaccinati è prevista una campagna via sms e posta con le istruzioni per richiedere il certificato.
Per i soggetti con tampone positivo invece non sono ancora chiari i tempi di attivazione del servizio.
App IO “bloccata” dal Garante privacy causa tracker, “Ecco perché l’abbiamo fatto”
L’App Covid Certificate della Svizzera
Il certificato “anticontraffazione” sviluppato in Svizzera è stato lanciato dopo una sperimentazione lampo nel cantone di Berna iniziata il 7 giugno scorso.
Una volta ottenuto il certificato questo può essere stampato oppure può essere importato nell’app Covid Certificate rilasciata dal governo svizzero (a oggi accolta per lo più da recensioni negative che si concentrano sulla difficoltà di scansionare il certificato) che poi consentirà di esibire il codice ogniqualvolta ciò verrà richiesto (insieme a un documento per evitare inopportuni “prestiti” di smartphone validati).
Per rispettare la privacy degli utenti il certificato non viene caricato direttamente dall’amministrazione nell’app (altrimenti il governo potrebbe “associare” un cittadino a un dispositivo smartphone determinato) ma l’utente può scegliere di “caricare” il certificato che ha ottenuto online per caricarlo sul dispositivo che preferisce.
Il sistema mantiene il certificato sul dispositivo cosicché questo non debba essere condiviso con l’amministrazione o con servizi di terze parti.
L’App Covid Certificate Check
Esiste poi una seconda app, chiamata Covid Certificate Check, dedicata alla sola fase di controllo dei certificati. Questa seconda app (già scaricabile) verrà implementata solo una volta che ne sarà disciplinato il funzionamento (e i soggetti autorizzati a utilizzarla chiedendo ai cittadini svizzeri di esibire il certificato).
Il processo di verifica è molto semplice, il “verificatore” scansiona il codice QR presente sul certificato cartaceo o mediante l’app Covid Certificate. A quel punto è possibile vedere sull’app il nome e la data di nascita del titolare del certificato e se questo è valido.
In questo modo il “verificatore” può confrontare il nome e la data di nascita ricavati dal verificatore con un documento del soggetto che ha esibito il certificato e così concludere la procedura di verifica.
Il governo elvetico garantisce che anche nel corso della procedura di controllo, non vengono salvati dati su sistemi governativi. Inoltre l’app Covid Certificate Check non mantiene uno storico delle verifiche effettuate in app.
Ma come viene garantita la conformità del certificato quando questo è presentato in forma cartacea?
Il glifo anticontraffazione
La stampa cartacea include un glifo sotto forma di QR-Code che può essere utilizzato per scansionare il documento cartaceo e verificare la validità del certificato.
Il glifo infatti contiene i dati per validare il certificato nonché una firma elettronica della Confederazione Svizzera, che di fatto serve da dispositivo anticontraffazione.
Di seguito l’esempio di certificato presente sul sito della Confederazione:
Quella del glifo è una soluzione prevista anche dalla normativa italiana per “trasferire” nel mondo fisico una firma elettronica.
L’art. 23 del CAD infatti, al comma 2 bis, prevede che sulle copie analogiche di documenti informatici può essere apposto a stampa un contrassegno tramite il quale è possibile accedere al documento informatico, ovvero verificare la corrispondenza allo stesso della copia analogica.
La normativa prescrive che i soggetti che procedono all’apposizione del contrassegno devono rendere disponibili gratuitamente sul proprio sito Internet istituzionale idonee soluzioni per la verifica del contrassegno medesimo.
La soluzione Svizzera non prevede invece la verifica della corrispondenza fra il documento digitale ed il documento informatico, bensì la creazione di una firma attraverso un hardware security module (HSM) che consente poi di generare un hash (verificabile) da inserire direttamente nel QR-code (di qui la sua estensione nel modello appena visto, in quanto la tecnologia alla base dei codici QR consente di inserire un numero limitato di dati salvo rendere più complesso l’intrico di “punti” che compone il codice).
Questo certificato è stato criticato perché contiene numerose informazioni (ad esempio il motivo per cui lo stesso è stato emesso e quindi se per vaccinazione, tampone o guarigione) e se ne è già proposta una versione “light” contenente unicamente i dati essenziali al funzionamento del certificato.
La questione politica: tra Svizzera ed Europa
Essendo un enclave nel territorio dell’Unione Europea, ora la Svizzera deve finalizzare a livello diplomatico l’interoperabilità dei propri certificati con quelli comunitari (e infatti a livello tecnologico l’Ufficio federale dell’informatica e della telecomunicazione (UFIT) ha lavorato fin dalla programmazione iniziale per un certificato in linea con quello UE).
Inoltre, la Svizzera collabora (insieme all’UE) al progetto dell’Organizzazione mondiale della sanità per la creazione di un certificato COVID che sia riconosciuto a livello internazionale, il cosiddetto “Smart Vaccination Certificate”.
Il confronto con la soluzione italiana
Per risultare interoperabile con le soluzioni previste dalla normativa europea il certificato elvetico non differisce molto dal Green Pass nostrano, anche se rimangono alcune differenze.
Da un lato il certificato svizzero appare (salvo i correttivi dell’invocata “versione light”) molto più generoso della soluzione italiana quanto a informazioni.
Il Garante Privacy italiano, nell’esaminare lo schema di decreto relativo al Green Pass, ha infatti convenuto con l’amministrazione che fosse necessario ridurre al minimo le informazioni sul certificato, ad esempio non condividendo la natura dello stesso con il soggetto che lo verifica (quindi se lo stesso origina da tampone, vaccinazione o guarigione) perché operando diversamente si finirebbe per divulgare dati sanitari non necessari per perseguire lo scopo del certificato in una moltitudine di situazioni.
Non solo. Il Garante ha sottolineato l’importanza di non divulgare la “scadenza” del Green Pass per evitare che il soggetto verificante possa da quel dato inferire l’evento che ha dato origine al certificato (es. Una scadenza a breve termine potrebbe indicare un tampone, mentre una scadenza prolungata nel tempo indica con ragionevole certezza un esito vaccinale).
Il certificato svizzero, al contrario, contiene numerose informazioni sulla ragione per cui il certificato è stato emesso (addirittura sul certificato cartaceo è ben visibile la tipologia di vaccino e la casa produttrice, oltre alla data in cui è stata somministrata la seconda dose).
In controtendenza rispetto a questa scelta è invece la decisione garantista di dedicare una app ad hoc (peraltro sviluppata con codice open source) al caricamento del certificato covid digitale, che stando a quanto riferisce il governo svizzero tratta i dati del certificato (o dei certificati) caricati esclusivamente in locale (per lo stesso motivo la app è stata separata dalla “gemella” tesa alla verifica dei certificati, che necessariamente deve dialogare con i software governativi).
La scelta italiana di caricare i dati sull’app IO invece finisce per collocare il Green Pass in un applicativo inevitabilmente interconnesso con la pubblica amministrazione nostrana, anche al netto dei correttivi imposti dal Garante e implementati in fretta e furia da PagoPA.
La soluzione svizzera, quindi, presenta luci e ombre e fa trasparire come i nostri vicini risentano, a scapito dei loro cittadini, della mancanza di una normativa come quella comunitaria in tema di protezione dei dati personali, mentre a livello tecnologico hanno fatto scelte che, a prima vista, sembrano encomiabili.
Questa scissione fra il fronte giuridico e quello tecnologico in Svizzera dimostra ancora una volta come il GDPR sia stata una scelta normativa coraggiosa da parte del legislatore europeo, che pone l’Unione avanti al resto del mondo nella tutela del diritto alla protezione dei dati personali e alla privacy e che sta facendo e continuerà a fare sicuramente scuola a livello globale.
