Cerca nel blog

2021/06/17

Mi è arrivato il certificato Covid digitale, ossia il “green pass” svizzero: come funziona

Ultimo aggiornamento: 2021/06/25 15:25.

La fissa dei giornalisti per i termini inglesi ha creato l’errore del “green pass”, che è il nome sbagliato di quello che in realtà si chiama certificato Covid digitale europeo, il documento concepito per consentire di varcare le frontiere interne europee in modo agevolato. Il green pass, invece, è il permesso israeliano di accesso ad attività commerciali e uffici per i vaccinati; la possibilità di attraversare frontiere nazionali non c’entra nulla.

Questo certificato europeo consentirà di attestare l’avvenuta vaccinazione, la guarigione o il risultato negativo di un test a partire dall’1 luglio a livello europeo. Il certificato equivalente svizzero, compatibile con quello europeo, è già pronto e in Canton Ticino è stato distribuito in forma elettronica a tutti i vaccinati con un SMS ieri (circa un migliaio di persone hanno ricevuto l’SMS il giorno precedente come prova generale). Stamattina circa la metà dei certificati era già stata scaricata, secondo il sito ufficiale del Canton Ticino.

Chi volesse richiedere questo certificato trova tutte le informazioni del caso presso www.ti.ch/certificato.

A me l’SMS è arrivato alle 19.29. Il messaggio conteneva un link personalizzato: l’ho seguito e sono arrivato a questa pagina di registrazione.

Qui ho immesso il mio indirizzo di mail, ho spuntato la casella Desidero ottenere un certificato COVID e letto l’informativa sulla privacy linkata nella pagina.

Pochi secondi dopo ho ricevuto questa risposta, che è una pagina standard pubblica:

Qualche altro secondo più tardi mi è arrivata una mail contenente un link personalizzato per scaricare il certificato:

Cliccando sul link mi è stato chiesto di immettere il mio numero di cellulare e poi di immettere il codice a sei cifre che ho ricevuto via SMS sul telefonino. A quel punto è comparso un pulsante Scarica.

Il certificato è arrivato sotto forma di PDF in formato A4 con questo aspetto:

Contiene i dati essenziali in italiano e in inglese: la malattia per la quale sono stato vaccinato; il numero di dosi; il tipo, prodotto e fabbricante del vaccino (Comirnaty è il marchio registrato del vaccino Pfizer/BioNTech); la data e il paese di vaccinazione; il mio nome, cognome e data di nascita; e un URN (Uniform Resource Name) abbinato a un codice QR. Le specifiche tecniche dell’URN sono pubblicate qui.

---

Questo certificato, autenticato dall’Ufficio federale della sanità pubblica (grazie alla firma digitale generata usando i miei dati) mi darà accesso a grandi eventi e manifestazioni in Svizzera (nei casi previsti) e dovrebbe facilitare l’attraversamento delle frontiere, perché basterà una scansione del codice QR e un controllo di un documento d’identità per documentare che sono vaccinato.

Il foglio A4 non è molto pratico da portare in giro, per cui ho provato subito l’app apposita che fa da “portadocumenti”, ossia Covid Certificate (Android; iOS). Ne avevo parlato in anteprima qualche giorno fa

Ho lanciato l’app, ho letto le brevi informazioni di presentazione e poi ho cliccato su Aggiungere. L’app mi ha chiesto (ovviamente) il permesso di accedere alla fotocamera, che ho accettato solo per questa volta, e ho fatto la scansione del codice QR dal PDF stampato (si può fare anche partendo dal PDF visualizzato su uno schermo).

Qualche foto (l’app saggiamente non consente screenshot, per cui accontentatevi di queste immagini fatte di corsa):

L’app Covid Certificate all’avvio, dopo le schermate di introduzione.
Scansione in corso (ho sfuocato io il codice QR).
Scansione acquisita.
La versione digitale pronta per essere esibita ai controlli (ho sfuocato io il codice QR). Notate che espone solo nome, cognome e data di nascita: non indica se sono vaccinato o guarito o negativo a un test e non dice il nome del vaccino o le date di vaccinazione, per cui queste informazioni non sono disponibili ai verificatori.

---

Sono insomma a posto: ho il certificato su PDF, su carta e nell’app (che, fra l’altro, consente di archiviare più di un certificato, come ho verificato con quello della Dama del Maniero). Mi resta solo da levarmi una curiosità: come funziona la verifica?

La verifica usa l’apposita app Covid Check (Android; iOS), che è liberamente installabile da chiunque. Ho provato a scansionare il mio certificato Covid stampato, e l’app mi ha mostrato soltanto queste informazioni: validità, nome, cognome e data di nascita. Idem quello della Dama. Questo vuol dire che i verificatori non sanno se la persona che verificano è vaccinata o ha fatto il Covid o ha fatto un tampone negativo.

Dai commenti qui sotto risulta che l’app verifica soltanto i codici QR rilasciati dall’autorità sanitaria svizzera: quelli di altri paesi vengono letti ma non verificati.

Un dettaglio interessante: l’app di verifica funziona anche senza connessione a Internet. Sembra quindi che il controllo avvenga completamente in locale, senza mandare dati ad alcun server centrale, tutelando quindi fortemente la riservatezza (l’informativa sulla privacy dell’app di verifica è qui). 

Mi restano solo due dubbi:

  • Il primo è che non ho capito come funziona la revocabilità: visto che per poter sapere se un certificato è stato revocato presumo che debba scaricare periodicamente (da dove? Quando?) dei dati per sapere quali certificati sono stati revocati. Secondo l’informativa di privacy di Covid Check, “Le applicazioni per la conservazione dei certificati COVID-19 necessitano dell’elenco dei certificati di firma per verificare la validità dei certificati memorizzati nell’app. Le applicazioni per la verifica dei certificati COVID-19 necessitano dell’elenco dei certificati di firma per verificare la validità dei certificati scansionati. Il sistema d’informazione elabora solo i certificati di firma, quindi non tratta dati personali... L’UFIT gestisce un sistema d’informazione che permette di comparare i certificati con quelli revocati e che a tal fine contiene l’identificativo univoco dei certificati revocati. L’elenco degli identificativi dei certificati revocati è messo a disposizione delle applicazioni per la verifica e la conservazione dei certificati COVID-19. Questo elenco consente alle applicazioni per la conservazione dei certificati COVID-19 di verificare la validità e lo stato di revoca dei certificati COVID-19 archiviati nell’app. L’elenco consente alle applicazioni per la verifica dei certificati COVID-19 di verificare la validità e lo stato di revoca dei certificati scansionati con l’app. Dall’identificativo del certificato non è possibile risalire alle persone, quindi nessun dato personale è trattato in questo sistema.”
  • Il secondo è questa segnalazione di Tio.ch secondo la quale l’“applicazione di verifica utilizzata da terzi può in teoria essere programmata non solo per controllare la validità o meno di un certificato, ma anche per leggere i dati relativi alla salute dell'utente”, tanto che l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha proposto una versione “light”del certificato che non conterrebbe dati sanitari ma sarebbe validata comunque dalla firma digitale.

In attesa di risolvere quest’ultimo dubbio, ora non mi resta che trovare un grande evento al quale partecipare (ma pare che non ci saranno restrizioni ridotte per chi ha il certificato Covid) oppure tentare l’attraversamento della frontiera (possibilmente dopo il primo luglio, quando in teoria le app di verifica dei certificati Covid saranno interoperabili).

----

2021/06/25 15:25. AgendaDigitale ha pubblicato un interessante confronto tecnico e giuridico fra il certificato Covid svizzero e quello italiano/UE. In sintesi: quello italiano offre maggiori tutele.

Nessun commento: