Il certificato cartaceo di vaccinazione COVID digitale dell'Unione Europea. Credito:Nataliya Vaitkevich / Pexels, CC BY-SA 4.0
I passaporti di vaccinazione COVID si sono rivelati estremamente divisivi durante la pandemia di coronavirus, a causa di problemi relativi alle libertà civili o al loro potenziale di discriminare i gruppi più riluttanti al vaccino all'interno della società.
Ma poiché molti governi in tutto il mondo portano avanti la loro attuazione nel tentativo di frenare la diffusione del COVID-19, la sicurezza dei nostri dati è diventata una delle principali preoccupazioni.
Molti pass COVID funzionano producendo un codice QR o un codice a barre 2D per ogni utente che può essere scansionato come prova della vaccinazione. I codici a barre utilizzati in alcuni di questi passaporti non sono così sicuri perché non sono generati con dati crittografati. Tuttavia, potrebbero essere resi sicuri se i governi nazionali, le organizzazioni internazionali e le aziende tecnologiche globali collaborassero per sfruttare al meglio le interessanti possibilità offerte da questa tecnologia.
Incorporato nel codice a barre è una credenziale verificabile che prova lo stato di vaccinazione e una serie di dettagli personali a seconda del formato del codice a barre. È probabile che includano il nome completo e la data di nascita dell'utente. Per garantire l'autenticità e prevenire le frodi, il codice a barre contiene anche una firma digitale univoca che viene generata in base al suo contenuto.
Numerosi programmi di passaporti per i vaccini sono già stati presi di mira per mancanza di sicurezza, compresi quelli a New York e Quebec, che sono stati criticati per aver consentito alle persone di ottenere codici a barre di altre persone inserendo i loro dati. Per mitigare alcune preoccupazioni, l'UE ha stabilito il proprio standard aperto per i passaporti per i vaccini:il certificato digitale COVID dell'UE (EUDCC). È stato adottato dai 27 stati dell'UE e da altri 18 paesi.
Tuttavia, questo non ha affrontato il fatto che i contenuti del certificato non sono crittografati, quindi chiunque abbia accesso al codice a barre (e le competenze necessarie) può decodificarlo e recuperare le informazioni personali contenute al suo interno. Questo vale per i passaporti COVID nell'UE, Canada, Regno Unito, California e Nuova Zelanda. Ci sono solo lievi differenze nel modo in cui i dati vengono codificati, ma in tutti questi casi non sono crittografati.
Per crittografare il contenuto del certificato COVID, deve essere presente una cosiddetta chiave di crittografia associata al certificato e all'identità digitale del proprietario. Attualmente, la maggior parte dei codici a barre COVID non crittografa i propri contenuti a causa della mancanza di un'infrastruttura di identità digitale e della necessità di operare offline. Ciò mette a rischio le informazioni personali di un utente.
C'è anche un altro problema con gli attuali certificati COVID. Sono firmati dall'emittente (ad esempio il SSN) utilizzando una chiave o un codice specifico della regione o del paese. Se qualcuno dovesse ottenere la chiave, potrebbe creare un certificato falso. Le autorità dovrebbero rispondere ai passaporti COVID fraudolenti revocando la chiave compromessa, il che significherebbe che tutti i certificati COVID preesistenti diventerebbero non validi.
Perché usare i codici a barre
Fino a poco tempo, la gestione dell'identità digitale per un utente di computer consisteva in una semplice credenziale nome utente e password. È un sistema che funziona, in linea di massima, da più di 60 anni. Ma l'attuale esplosione di contenuti online, problemi di sicurezza informatica e problemi di privacy stanno guidando la necessità per un utente di avere un maggiore controllo della propria identità digitale.
La nostra identità è essenzialmente costituita da milioni di piccole verità su noi stessi. Credenziali verificabili in un codice a barre potrebbero consentirci di condividere solo una singola verità piuttosto che la nostra intera identità, per adattarsi alla situazione particolare se i dati sono adeguatamente crittografati.
A suo merito, il certificato COVID fa proprio questo. È una semplice prova di una verità individuale, che in teoria ti consente di dimostrare di essere stato vaccinato senza fornire altri dettagli. Il fatto che il certificato non sia del tutto sicuro indica l'assenza di un'infrastruttura di identità digitale più solida.
Potenziali rischi
L'assenza di questo pezzo del puzzle dell'identità digitale deve essere rettificata in futuro. Fino ad allora, gli attuali passaporti COVID potrebbero essere oggetto di abuso.
Le informazioni personali coinvolte nel certificato di vaccinazione non sono particolarmente sensibili al valore nominale, perché spesso si trovano facilmente in altri luoghi come la patente di guida, i registri scolastici o il passaporto. Ma in futuro, quando questa tecnologia sarà più diffusa, probabilmente utilizzeremo certificati simili che contengono credenziali verificabili praticamente in ogni aspetto della nostra vita, ad esempio per accedere a un edificio o servizi, o per approvare acquisti (sia in negozio che online ).
Ciò ha conseguenze positive e negative per gli utenti. Tra i lati positivi, dovremo solo fornire la quantità minima di informazioni personali in un modo molto intuitivo. Ad esempio potremo iscriverci ai siti web senza nemmeno inserire un nome.
Ma se presentiamo codici a barre non sicuri in molti luoghi, ognuno contenente piccole verità su noi stessi, alla fine questi possono potenzialmente essere combinati insieme e l'identità dell'individuo a cui si riferiscono potrebbe essere compromessa.
È così che lavorano attualmente molti criminali informatici, combinando dati provenienti da diverse fonti di informazione, che consentono di costruire nel tempo l'identità digitale di una persona. Ciò potrebbe comportare un aumento del rischio di furto di identità e potenzialmente essere utilizzato come base per una serie di crimini informatici.
Tuttavia, nonostante tutte queste preoccupazioni sui passaporti digitali, dovremmo ricordare che se può essere reso sicuro su scala internazionale, questo tipo di tecnologia di identità digitale ha un potenziale significativo di rialzo per i cittadini, e non solo per i certificati di vaccinazione.