In un articolo per Economy UP (Passaporto vaccinale, l’Europa propone: cos’è, come funzionerà e che ruolo ha il digitale | Economyup) ho raccontato come si potrebbe usare la tecnologia di Amlet per garantire la verifica di uno stato di salute senza compromettere la privacy.
Si tratta di un lungo articolo, molto dettagliato; per questo ho estratto e riportato i passaggi più importanti di seguito.

Passaporto vaccinale nel mondo

Il tema del passaporto vaccinale fa timidamente la sua comparsa a fine 2020: l’epidemia del Covid-19 non lascia la presa, le principali economie hanno perso miliardi e interi settori rischiano di fallire: tra tutti turismo, ospitalità, eventi e ristorazione. Già nell’estate 2020 sono stati introdotti dei controlli per i viaggiatori: test all’arrivo, autocertificazioni, app, come quella della Regione Sardegna, da scaricare e mostrare al check-in.

La nuova ondata autunnale ha dimostrato l’insufficienza di queste soluzioni, ma alcune, più sofisticate, hanno aperto una strada tecnologicamente interessante. Parlo di Singapore, dove Safetravel, partita a dicembre, consente di muoversi possedendo un esito negativo al Covid test, gestito da un’app di identità digitale. Utilizzando una tecnologia simile, nel Regno Unito si è iniziato a riflettere su un Covid Digital Passport, e nel mondo blockchain sono sorte diverse iniziative, come quella di IOTA Foundation, Selv Demo.

Da allora, per fortuna, abbiamo assistito a una brusca accelerazione, capitanata da Israele e dal suo Green Pass.  che, complice anche l’efficacia della campagna vaccinale, ha permesso di riaprire in sicurezza teatri, ristoranti, palestre. Anche la Germania ha deciso di sviluppare una propria soluzione per digitalizzare più in generale la gestione dei vaccini, includendo anche quello per il Covid-19.

Passaporto vaccinale: l’annuncio della UE

Il 18 marzo 2021 la Commissione europea ha presentato la sua proposta legislativa di creare un certificato vaccinale, il “Digital Green Certificate“, per la creazione di un certificato vaccinale, il “Digital Green Certificate”, allo scopo di favorire la libera circolazione in sicurezza delle persone all’interno della UE. Non si limiterà a dimostrare che un individuo si è fatto il vaccino ma fornirà anche dettagli (in assenza della vaccinazione) sul test negativo al Covid (compresi quelli rapidi) oppure sulla presenza di anticorpi da guarigione. In vigore entro metà giugno, sarà disponibile, gratuitamente, in formato digitale o cartaceo. Includerà un codice QR per garantire la sicurezza e l’autenticità del certificato.

Il nuovo pass Ue “non è un passaporto vaccinale, ma un certificato verde per evitare divisioni e blocchi” tra i Paesi Ue, “facilitare gli spostamenti dei cittadini europei” e far ripartire il turismo in vista dell’estate” ha detto il commissario Ue per la Giustizia, Didier Reynders. “Il pass è interoperabile e vincolante per i Paesi Ue: per evitare ogni forma di discriminazione offre tre alternative per tornare a viaggiare: dimostrare l’avvenuta vaccinazione, la negatività a un test o la guarigione dal Covid”.

Come funziona il passaporto vaccinale

Per capire le tecnologie per ora proposte, può essere utile partire da quella al momento più pronta: il Travel Pass proposto dalla International Air Transport Association (IATA). Si tratta di una soluzione basata sulla Self-Sovereign Identity (SSI) di cui stanno partendo le prime sperimentazioni da parte di alcune linee aeree.

Ogni persona vaccinata riceverà sul proprio smartphone, attraverso una app che funge da e-wallet, un certificato digitale che potrà utilizzare come passaporto, e presentare su richiesta, attraverso la scansione di un QR code. In luogo di certificare il vaccino, la tecnologia impiegata consente di trasmettere uno status “OK to travel” che può dipendere dal vaccino o dall’esecuzione del tampone poco prima del viaggio.Anche in Italia, con la società LinkedData.Center, abbiamo sviluppato una soluzione identica, già pronta all’uso nell’autunno 2020, e presentata sotto il nome di Amlet. Nel corso del suo sviluppo abbiamo avuto modo di renderci conto che il principale problema risiede nella primissima parte del processo: l’emissione della credenziale di avvenuta vaccinazione, o dell’esito del tampone, da parte dell’Azienda Sanitaria, dell’Esercito o della Protezione Civile. La sanità italiana è organizzata su base regionale, ogni ATS ha propri database e gestionali, l’attività di integrazione potrebbe risultare estremamente dispendiosa.

Una soluzione per limitare questa difficoltà consiste nell’opportunità di attivare un “trust anchor”, ossia una realtà affidabile, per esempio una certification authority (in Italia vi sono InfoCert, Aruba, Namirial ecc) che raccoglie i certificati vaccinali rilasciati all’interno del Fascicolo Sanitario Elettronico e li trasforma in certificati digitali all’interno del framework SSI.

Uno dei grandi scogli nell’opinione pubblica è legato al fatto che un passaporto digitale escluderebbe milioni di persone che faticano a utilizzare smartphone, o non ne sono in possesso. Alcuni gruppi di ricerca hanno ragionato su una tecnologia ibrida basata su qrcode e sticker, forse un po’ cervellotica, ma interessante; è il caso della Fondazione PathCheck, che offre soluzioni software open source e descrive processi pensati anche per chi non dispone dell’app dedicata.

Nel gruppo di aziende con cui stiamo collaborando è presente Cyphlens, una startup americana creata da un italiano, che è in grado di cifrare, attraverso l’uso di segni innovativi, simili a qrcode, messaggi stampati, e di rivelarne il significato con una app per smartphone. Una crittografia in realtà aumentata. Grazie a questa soluzione siamo in grado di mascherare nome e cognome del possessore del certificato, le relative informazioni sanitarie (vaccino o tampone?), e di rivelarle unicamente a chi ha il diritto di accedere, forze dell’ordine e addetti ai controlli.

La nostra società ha realizzato una piattaforma per abilitare questo progetto, Amlet, e stiamo collaborando all’interno dell’ecosistema Dizme, promosso da InfoCert. Grazie a Dizme è possibile gestire certificati e identità digitali nel mondo SSI; abbiamo l’auspicio di presentare la nostra soluzione completa entro un mese, in conclusione dell’hackathon “This is me”  appena partita su iniziativa della DizmeID Foundation, in collaborazione con Cariplo Factory.

Come vengono protetti i dati?

Può essere utile una breve parentesi per spiegare più approfonditamente in che cosa consiste la Self-Sovereign Identity. Ci siamo accorti in questi mesi che il modo più semplice per spiegarla è attraverso un paragone con SPID (Sistema Pubblico Identità Digitale), che è nato dalla volontà della pubblica amministrazione di semplificare ai cittadini l’accesso ai suoi servizi. SPID viene rilasciato da identity provider autorizzati da normative nazionali ed europee, e attualmente permette solo la certificazione dell’identità.

SSI (Self Sovereign Identity) invece nasce dalla volontà di aziende internazionali di creare un sistema decentralizzato in grado di fornire identità digitali ed è basato sulla blockchain, ossia il network di utenti si fida grazie alle tecniche crittografiche impiegate per verificare l’identità digitale. SSI permette inoltre di certificare qualunque attributo (dall’identità ai titoli di studio, per esempio, ma anche tutti i certificati di possesso – auto, casa, informazioni sanitarie, come i certificati di invalidità e le prescrizioni di farmaci, fra gli altri).

Trattandosi di un progetto internazionale, SSI offre delle garanzie di interoperabilità invidiabili: i certificati rilasciati in Italia potranno essere controllati scesi dall’aereo, ed essere validi a New York, come a Singapore. Una iniziativa di standardizzazione internazionale, Covid Creds, di cui facciamo parte, sta elaborando uno schema di definizione dei certificati comune.

A livello di privacy, SSI offre delle interessanti caratteristiche di sicurezza: l’invio del certificato avviene attraverso l’apertura di un canale di comunicazione cifrato, peer-to-peer, quindi direttamente tra il laboratorio che effettua il vaccino e il cittadino; nessun database, nessun rischio di data breach.
Il sistema è progettato per preservare la privacy dei titolari dei certificati vaccinali: attraverso l’uso di tecniche crittografiche, presso chi verifica comparirà solo un’informazione in merito al possesso del certificato, nessun dato personale sul possessore.

Questa scelta richiede naturalmente che non sia possibile scambiarsi il telefono, e per evitare questa ipotesi prevediamo l’obbligo di autenticazione biometrica per utilizzare i passaporti digitali. Sono infatti necessarie contromisure al rischio che si diffonda un mercato nero di Green Pass per consentire gli spostamenti a chi ne ha assoluta necessità.