Guida
300344

Il certificato Covid: caro Governo federale, puoi fare di meglio

Dominik Bärlocher
10.6.2021
Traduzione: Leandra Amato

La bozza del certificato Covid è arrivata. E solleva domande. Tuttavia, esiste una soluzione meno complicata e meno soggetta a errori e si trova a casa tua.

Due punture e si è vaccinati contro il Covid; il rischio di infettare qualcuno o di essere infettati viene così drasticamente ridotto. Teoricamente, non dovresti più indossare la mascherina. L'obbligo vige ancora, ma dovrebbe sparire presto. Il Governo federale mantiene un basso profilo.

Il problema? Il vaccino è invisibile. Allora cosa distingue una persona vaccinata da una che dice semplicemente di essere vaccinata?

Occorre un certificato. Il governo federale ha già presentato la sua soluzione, e sarà disponibile al pubblico entro la fine di giugno. I colleghi di Watson hanno analizzato la soluzione, mentre gli sviluppatori di Ubique e Co. mostrano il codice e i principi dietro l'applicazione su GitHub.

Ecco come funziona il Covid-Check in piscina

Se il Governo federale lancia il certificato, funziona così.

  1. Vai in piscina.
  2. All'ingresso, mostri un codice QR in un'applicazione.
  3. Il codice viene scansionato.
  4. I tuoi dati di vaccinazione vengono controllati in un database.
  5. Mostri la tua carta d'identità o il tuo passaporto alla persona che ha scansionato il tuo codice QR.
  6. La persona che ha scansionato il tuo codice QR guarda il tuo documento d’identità e confronta la tua faccia con la foto.
  7. La persona che ha scansionato il tuo codice QR guarda il nome sul tuo documento d’identità e il nome nell'app.
  8. La persona che ha scansionato il tuo codice QR guarda l'app e vede il tuo stato di salute.
  9. Se la tua faccia, il tuo nome e i tuoi dati di vaccinazione sono corretti, puoi andare a nuotare.

Il grande problema: una soluzione di sicurezza è forte solo quanto il suo elemento più debole. Dato che la maggior parte delle persone agli ingressi in Svizzera non sono addestrate a verificare un'identità, c'è un'enorme lacuna qui. In gergo, questo si chiama «la verifica è debole». E anche se le persone all'ingresso sono addestrate, il loro tasso di errore è ancora più alto rispetto a quello di una macchina.

Per come appare la soluzione, il Governo federale rilascia un certificato. Il certificato non è il problema, perché funziona. Il problema è il controllo dell'identità da parte del cugino del bagnino. Questo nonostante il fatto che abbiamo strumenti a bordo dello smartphone che permettono la verifica biometrica automatizzata.

Uno sguardo ai retroscena dell'app e dell'intero sistema mostra poi perché questo è così complicato. Forse. Il diagramma che spiega cosa succede dove e come ha errori di ortografia, parole inventate e caratteristiche non documentate. Il diagramma è a malapena comprensibile.

L'architettura di base dell'applicazione federale Covid.
L'architettura di base dell'applicazione federale Covid.
Fonte: bit

In breve: occorre una soluzione migliore.

Cosa memorizza il certificato

Il certificato Covid memorizza i seguenti dati:

  • Cognome
  • Nome
  • Cognome in formato elettronico → ä/ae, ü/ue, ö/oe, tutto in maiuscolo
  • Nome in formato elettronico → ä/ae, ü/ue, ö/oe, tutto in maiuscolo
  • Dati sulle vaccinazioni

L'ultimo record di dati è memorizzato in modo ridondante. Entrambe le voci sotto «tg», «vp», «mp» e «ma» non sono altro che dichiarazioni formattate diversamente sullo stesso vaccino e malattia.

La complessità di un «sì»

Essenzialmente, il cosiddetto certificato Covid risponde a una domanda: vaccinato? Sì. I titolari del certificato sono ufficialmente vaccinati. Nel seguito di questo articolo, uso il termine «vaccinati» per riferirmi a tutti coloro che hanno fatto due iniezioni o sono guariti.

Un certificato deve avere i seguenti attributi per essere adatto all'uso quotidiano:

  • A prova di falsificazione: non dovresti essere in grado di usare il certificato di un tuo amico
  • Univoco: deve essere in grado di identificarti al di là di ogni dubbio
  • Semplice: l'identificazione deve essere semplice e veloce
  • Economico: idealmente, non dovresti sostenere alcun costo o, se è così, solo costi molto bassi

Poi viene l'aspetto della scalabilità. Secondo l'Ufficio federale di statistica, 8 667 000 persone vivono attualmente in Svizzera. In un mondo ideale, la maggior parte di queste vengono vaccinate entro pochi mesi, escluse le persone troppo giovani e chi non ha voglia di farsi vaccinare. Tutte queste persone avrebbero diritto a tale certificato, il quale deve essere emesso a livello centrale e non può essere gestito a livello cantonale, come avviene attualmente. Se ognuna di queste persone deve andare separatamente a uno sportello, presentare un certificato di vaccinazione e poi aspettare, questo è un carico amministrativo quasi impossibile.

«Almeno il 60% di tutte queste persone dovrebbe essere in grado di ottenere il certificato autonomamente», dice Pascal Tavernier, fondatore della società di consulenza informatica Healthwyre. La sua azienda è specializzata nel guidare la digitalizzazione del settore sanitario.

Parte della soluzione è il tuo smartphone. Può scambiare dati, scattare foto e ha meccanismi di sicurezza incorporati.

Concetto, non tecnologia

Il Governo federale sta lavorando sul certificato. Le vacanze estive si avvicinano e la NZZ scongiura la visione di «rabbia popolare» se il certificato non sarà ampiamente diffuso entro il momento in cui tutti vogliamo andare a fare il bagno. Il Tages-Anzeiger riporta: Il certificato deve essere distribuito in modo scaglionato.

Ma prima che uno smartphone possa visualizzare un codice QR, occorre trovare la tecnologia per un database di quasi 8,7 milioni di voci. Il progetto sarà open source. Il certificato dovrebbe essere pronto entro fine giugno.

«Questa soluzione tecnologica esiste già in Svizzera», dice Pascal Tavernier. Parla del fatto che la soluzione è in uso da oltre 10 anni, è riconosciuta a livello internazionale ed è disponibile senza costi aggiuntivi.

Pascal Tavernier crede che il passaporto biometrico sia la soluzione al problema della verifica dell'identità. Infatti, se non hai uno smartphone con NFC, è qui che entra in gioco il piccolo libretto rosso.

Niente più passaporto senza chip

Il passaporto biometrico, noto anche come passaporto elettronico o Pass 10, è in uso dal 1° marzo 2010. A partire da questa data, non sono più stati emessi passaporti senza chip. Poiché un passaporto ha una validità di 10 anni, questo significa che dal 1° marzo 2020 non ci saranno più passaporti svizzeri validi in circolazione che non siano biometrici.

Il tuo passaporto contiene dati ufficialmente riconosciuti che ti permettono di essere identificato in modo inequivocabile.

  • Foto ad alta risoluzione
  • Cognome
  • Data di nascita
  • Numero del documento

È qui che le cose si fanno interessanti, perché il passaporto biometrico può essere usato per autorizzare un database digitale attraverso una cosiddetta Chain of Trust. Ora la domanda sorge spontanea: «Quale lido o piscina pubblica è già dotato di uno scanner biometrico come all'aeroporto?». Risposta: nessuno. Ma non deve esserlo. Lo smartphone basta e avanza. Perché se la biometria di un telefono è abbastanza buona per l'eBanking, lo è certamente per andare a fare un bagno.

  1. Il lettore d’identità in loco abbina l'immagine sul passaporto con la foto scattata dalla fotocamera in loco. Conosci già la procedura dall'aeroporto.
  2. Se l’identità è confermata, cioè il proprietario del passaporto è confermato, viene stabilita una connessione con un database.
  3. La macchina in loco pone la domanda: vaccinato?
  4. Il database risponde con «Sì».
  5. Le porte della piscina si aprono.

Questo funziona benissimo se si porta un passaporto, ma non con la carta d'identità, che rimane per ora non biometrica.

Quello che il tuo passaporto sa di te

Puoi leggere da solo il tuo passaporto. Questo perché la tecnologia alla base del pass è la stessa che si usa per Apple Pay o Google Pay. Questa tecnologia si chiama NFC.

Non importa quale nazione l'abbia emesso, dato che i dati sono standardizzati a livello internazionale. Tutto ciò di cui hai bisogno è un'app che supporti lo standard biometrico ICAO. Ad esempio l'app ReadID Me (Apple iOS e Android).

Se usi l'app, devi prima provare di avere accesso fisico ai dati del passaporto. Ciò significa: devi essere in grado di fotografare il lato foto del passaporto. Poi l'applicazione confronta i dati fotografati con quelli letti. Se corrispondono, l'applicazione ti mostrerà i dati sul passaporto.

Funziona anche con lo smartphone

Il passaporto è grande, ingombrante e di solito conservato nel cassetto di casa. La carta d’identità non è biometrica. E neanche lontanamente diffuso come l'ID. Ma hai sempre il tuo smartphone con te. Ben oltre il 70% di tutti gli smartphone sono abilitati all'NFC, rendendo il rettangolo arrotondato in tasca l'identificatore perfetto. Il 70% è sufficiente a coprire il 60% di tutti gli individui certificati o più che la soluzione di Pascal fornisce.

Anche qui entra in gioco il concetto di Chain of Trust. Il tuo smartphone ha un sistema di sicurezza abbastanza buono e sofisticato. Il tuo iPhone riconosce il tuo volto anche al buio, i sensori di impronte digitali della maggior parte degli smartphone sono affidabili e veloci. Entrambi i fattori di autenticazione sono talmente buoni, che tutte le applicazioni di eBanking si fidano di uno e/o dell'altro.

Le tue impronte digitali e i tuoi dati facciali sono memorizzati localmente sul tuo telefono in un'enclave sicura. Apple o Google non sanno che aspetto hanno le tue dita o la tua faccia.

Ecco come sarebbe l'autenticazione tramite smartphone nella pratica:

  1. Sei in fila in piscina
  2. All'ingresso prendi lo smartphone
  3. Il controllo all'ingresso scansiona il codice QR dell'app
  4. Il tuo telefono ti chiede di verificare la tua identità con un selfie
  5. Il selfie è abbinato localmente con i dati del passaporto memorizzati localmente
  6. Se questo corrisponde, allora il tuo smartphone invia un «OK» al server
  7. Il controllo all'ingresso riceve l'«OK» dal server
  8. Le porte della piscina si aprono.

Questo non significa che i dati biometrici debbano essere memorizzati a livello centrale. Il Governo federale non dovrebbe avere le tue impronte digitali in archivio, perché sarebbe leggermente antidemocratico. La soluzione di Pascal consiste nel convalidare il passaporto una volta sul tuo smartphone – e aggiungere un anello alla catena di fiducia.

  1. Ti viene rilasciato il certificato
  2. Ti fai un selfie
  3. L'app confronta il tuo selfie con la foto sul passaporto
  4. Se questa corrisponde, allora il certificato viene memorizzato nell'app

Quindi puoi lasciare il passaporto a casa. I dati del passaporto sono memorizzati in modo sicuro sul telefono. Il controllo all'ingresso si affida al tuo smartphone. La Chain of Trust avrebbe quindi questo aspetto: controllo all'ingresso → smartphone con dati del passaporto → database. I dati non devono essere trasmessi, poiché la verifica avviene sullo smartphone. La verifica aggiuntiva con «Mostrami il tuo ID» è completamente omessa.

«Sì, ma lei...» – eccezioni

Naturalmente, ci sono delle eccezioni. Non tutti hanno un passaporto, perché è facoltativo. Non tutti vogliono uno smartphone con capacità NFC e alcuni non vogliono affatto uno smartphone. Pascal Tavernier ha anche pensato a questo scenario. Perché, come ogni processo, la sua idea ha considerato le eccezioni. È proprio per questo che è importante per lui che una gran parte delle persone possa ordinare, installare ed elaborare il certificato autonomamente.

I controlli sui passaporti sono lì per la minoranza che è a prova di Covid e vuole farsi identificare in tal senso. Il database è memorizzato centralmente, cioè: tu che vieni dal Canton Glarona puoi facilmente ottenere una carta a Ginevra che ti permette di andare alla partita dei Servette.

Allora perché il Governo federale fa questo?

La soluzione di Pascal sembra ben pensata, veloce e praticabile, a patto che le questioni legali e di privacy siano affrontate in anticipo. Allora perché il Governo federale sta facendo qualcosa che permette l'errore umano e fa sì che le code fuori dai lidi e dalle piscine vadano avanti all'infinito?

Il certificato deve essere pronto per il roll out in poche settimane ed essere il più scalabile possibile. Deve essere compatibile con le banche dati dell'UE. Perché vuoi anche andare in piscina o in spiaggia a Mallorca.

Quindi il Governo federale ha ovviamente optato per una soluzione «sufficientemente sicura» e gratuita per te. Le eccezioni non sono considerate per ora, e nemmeno le capacità tecnologiche del tuo smartphone. Invece, ci si affida alla cooperazione e alla pazienza della popolazione in Svizzera.

Per quanto riguarda la sicurezza, ci sono circa tre punti di attacco che vorrei e spero di provare. Perché il motto quando si tratta di sicurezza sembra essere «abbastanza sicuro». Quindi non «a prova di bomba». Se qualcuno si intrufola, va bene, per quanto suggeriscono i documenti. Se il database va in rovina, è accettato. Questa accettazione fa parte di qualsiasi processo di sviluppo. In gergo tecnico, si tratta di «accepted risks», dichiarando come tali i casi eccezionali. Se questi rimangono al di sotto di un certo livello, per esempio, «uno su cento si intrufola», allora va bene. Cosa significa tutto questo? Non devi preoccuparti della sicurezza? Certo che sì. Soprattutto con una soluzione che si concentra sull'onestà e l'integrità delle persone.

Ma soprattutto: il certificato nella sua forma attuale non deve necessariamente essere l'ultima parola in fatto di saggezza. Ricordiamo il personale Migros che inizialmente contava le persone all'entrata e all'uscita di ogni negozio. Fortunatamente, questi sono stati sostituiti da un sistema di semafori.

Quindi l'integrazione del wallet e la biometria potrebbero ancora arrivare. Il Governo federale potrebbe semplicemente non aver avuto il tempo di implementare questa soluzione a condizioni accettabili.

A 300 persone piace questo articolo

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.

Smartphone
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.

Potrebbero interessarti anche questi articoli

  • Guida

    Come rendere gli iPhone a prova di bambino

    di Florian Bodoky

  • Guida

    Scopri come migliorare l’acustica del tuo soggiorno

    di David Lee

  • Guida

    Ti presento il mondo della smart home: parte 7 – Eve Systems

    di Raphael Knecht

344 commenti

Avatar
later