Il Covid Green Pass Europeo è nelle app Immuni e IO: cosa c’è dietro

Come funziona l'architettura che gestisce il rilascio e la verifica del Certificato COVID digitale dell'UE. Il ruolo degli stati e delle autorità locali e le misure a tutela della privacy dei cittadini.

Digital Green Pass EU Covid in aeroporto

Il green pass, ufficialmente Eu digital Covid certificate, è in arrivo. Il documento, che permetterà di muoversi liberamente all’interno dell’Unione europea, sarà disponibile a partire dal 1° luglio. Il certificato verde, non obbligatorio, potrà essere richiesto da chi ha ricevuto almeno la prima dose del vaccino, da chi ha un tampone negativo effettuato nelle 72 ore precedenti o un test antigenico (che vale invece per 48 ore) e da chi ha avuto il Covid 19.

Il documento veicolato dalle autorità nazionali sarà distribuito nella versione cartacea o, secondo quanto prevede il Dpcm che sarà approvato dal consiglio dei ministri, scaricato attraverso il fascicolo sanitario elettronico, l’app Immuni, l’app Io o direttamente dal sito dedicato e comprende un QR code che contiene le informazioni essenziali e la firma digitale per proteggerlo dalle falsificazioni.

Per informazioni essenziali si intendono nome, data di nascita, di rilascio, informazioni rilevanti sul vaccino e un identificatore unico. Questi dati rimangono sul certificato originale e non vengono memorizzati o conservati quando un certificato viene verificato in un altro Stato membro.

ADV
Webinar IVA spese di viaggio

Resilienza del business: le priorità digitali delle medie imprese italiane nel 2021

Come si stanno muovendo i tuoi concorrenti per affrontare le sfide poste dai nuovi modelli organizzativi del lavoro? Questo white paper di IDC indica le priorità di spesa delle PMI su tre filoni: remote working, sicurezza e protezione dei dati. SCARICA IL WHITE PAPER >>

Il controllo del certificato prevede la scannerizzazione del QR code e la verifica della firma digitale. La Ue ha realizzato infatti un gateway, con sede presso il datacenter europeo Digit in Lussemburgo, attraverso il quale, tutti i certificati possono essere verificati nell’Unione. I dati personali del titolare del certificato però non passano attraverso questo gateway, poiché non sono necessari per verificare la firma digitale.

Il green pass è valido dopo 15 giorni dalla prima vaccinazione e fino alla seconda, e poi per nove mesi a partire dalla seconda dose. Per questo motivo chi ha ricevuto Astrazeneca, che ha un intervallo più lungo fra le due dosi, avrà un certificato valido per un anno, mentre per gli altri vaccini, le cui dosi sono inoculate più velocemente, la validità è di dieci mesi che scende a poco più di nove per l’unica dose di Johnson&Johnson.

Se si è reduci dal Covid la validità è di sei mesi. Potrà essere controllato da pubblici ufficiali ma anche da personale addetto ai servizi di controllo in luoghi pubblici e anche dai proprietari di pubblici esercizi.

L’architettura del Digital Green Certificate Gateway

Dal punto di vista architetturale l’utilizzo del Digital green certificate gateway (Dgcg) facilita l’integrazione con i paesi che possono salire a bordo del sistema in modo incrementale, mentre i backend nazionali mantengono la flessibilità e possono controllare l’elaborazione dei dati dei loro utenti.

Ogni backend nazionale è libero di distribuire le chiavi attraverso qualsiasi tecnologia. Se il Certificato è in un codice 2D correttamente formattato, ogni dispositivo di verifica può controllare il codice da altri paesi se il verificatore è collegato al backend o se ha scaricato e memorizzato le chiavi pubbliche necessarie.

L’approccio dell’architettura permette di scambiare diversi tipi di informazioni per sostenere la convalida dello stato di vaccinazione, il risultato del test o lo stato di guarigione di un cittadino, preservando la sua privacy. A questo scopo, l’EU Trust Framework introduce una struttura standardizzata di dati firmati Cbor rappresentata in un codice 2D. Per convalidare questa struttura di dati in ogni paese, le chiavi pubbliche crittografiche devono essere condivise in tutta l’Ue. Questo pdf descrive le regole per la validazione dei certificati.

Schema di funzionamento del Digital Green Certificate Gateway (clic per ingrandire)

I presupposti alla base dell’architettura prevedono che per un un’effettiva interoperabilità, ogni certificato deve contenere una stringa che identifichi in modo univoco l’autorità emittente. Ogni autorità deve passare un processo di onboarding che identifichi l’autorità in modo univoco aggiungendo autenticazione, firma, dominio dell’emittente, Csca e certificati client corrispondenti, così come persone di contatto e informazioni di supporto 24×7.

Ogni autorità (ce ne possono essere diverse per ogni stato membro) fornisce endpoint per la revoca e opzionalmente callback protetti da autenticazione reciproca. I certificati richiesti sono forniti durante l’onboarding e sono messi in una white list dalle autorità scaricando le liste di fiducia Dgcg. L’elenco di fiducia Dgcg contiene le chiavi pubbliche di tutte le parti fidate, le autorità che hanno completato con successo il processo di onboarding.

Ogni codice 2D, inoltre, si basa su un identificatore di chiavi che permette agli stati membri di controllare il green pass scannerizzato rispetto alla lista del materiale crittografico ricevuto dal Dgcg. Il materiale crittografico dovrebbe essere identificabile in modo univoco. Infine, tutti i green pass e il relativo materiale crittografico sono gestiti dall’autorità emittente.

Le specifiche tecniche del Dgcg sono pubblicate in questo pdf.

I server nazionali del Green Pass

I server nazionali di backend dello Stato membro forniranno l’accesso alle chiavi pubbliche secondo le specifiche nazionali, in particolare alle entità che effettueranno la verifica del Dgcg utilizzando le relative chiavi pubbliche (liste di fiducia).

A tal fine i server backend nazionali saranno tenuti aggiornati. Ciò consentirà i servizi di verifica della firma e l’accesso alle chiavi pubbliche. Questa caratteristica sarà implementata a livello di backend nazionali attraverso un’interfaccia Api sicura e Sdk.

Il “triangolo della fiducia” tra chi emette il certificato (gli stati nazionali), chi lo detiene (l’architettura centrale) e chi ne fa la verifica.

In sostanza, il sistema utilizzato si basa su una sorta di triangolo della fiducia che descrive la relazione tra un titolare, un emittente e un verificatore di credenziali in un sistema distribuito. La configurazione aumenta la privacy dei dati, perché il titolare è l’unico attore che ha una connessione diretta con il verificatore e l’emittente, cioè l’emittente non sa dove il titolare presenta le sue credenziali e l’emittente non sa chi si fida di lui. Il Dcgc ha il compito di dire al verificatore quali emittenti sono affidabili fornendo informazioni crittografate.

Ulteriori informazioni e aggiornamenti saranno pubblicati nella sezione Covid-19 del portale E-Health dell’Unione Europea.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!

Luigi Ferro
Collaboratore Giornalista professionista dal 1992, ha cominciato con la cronaca sul quotidiano l’Unità e sul mensile Società Civile, per poi passare al settore informatico scrivendo per testate come Computer dealer& Var, Reseller Weekly e Linea Edp. Si occupa di canale e approfondisce dal punto di vista economico il comparto tecnologico e segue con passione lo sviluppo di Internet e l’avvincente sviluppo della new economy collaborando con la pagina dedicata a Internet del Corriere della sera e con settimanali economici il Mondo, Panorama economy e Affari&finanza. Inoltre collabora, sempre seguendo le vicende del Web, con .Com, il quotidiano della comunicazione oltre che per Espansione, Donna Moderna e Oggi. Online ha scritto per 01net, lineaedppmi.it , Il Fatto quotidiano e Applicando, oltre che per Bitmat.it, di cui è fondatore. Oltre che con Computerworld, oggi collabora con la casa editrice Zolfo specializzata in libri sulla criminalità organizzata.