Di Diego Brotto – International Technical Sales Manager at InfoCert
Scopriamo insieme tutti gli aspetti legati al nuovo Certificato Europeo Digitale Covid
La storia
A seguito della pandemia Covid sviluppatasi a inizio 2020, viaggiare, una libertà semplice che davamo ormai per scontata, è diventato assai complicato.
L’Unione Europea, dopo mesi di confronti e discussioni, ha posto le basi per la creazione di uno strumento che consenta ai cittadini di tornare a circolare senza restrizioni, in piena libertà e sicurezza: si chiamerà “EU Digital Covid Certificate”, in breve EUDCC (Certificato Europeo Digitale Covid). I cittadini UE che ne saranno muniti non dovranno essere soggetti ad ulteriori restrizioni, quali quarantena, isolamento o test aggiuntivi.
Come riportato sul sito della Commissione Europea e del Ministero della Salute, il certificato offrirà tre differenti tipologie di attestazione:
- Vaccinazione contro il virus SARS-CoV-2;
- Guarigione dall’infezione causata dal virus SARS-CoV-2;
- Esito negativo al test per la ricerca del virus SARS-CoV-2 (molecolare o antigenico rapido).
Al momento, ai fini del rilascio di un EUDCC, non viene considerato valido un test sierologico positivo.
Il testo del regolamento europeo dovrebbe completare il suo iter approvativo entro giugno (con entrata in vigore dal 1° luglio).
In attesa che la fase di test dello standard comune si completi, alcuni stati membri si sono mossi in autonomia ed hanno implementato anche soluzioni locali. L’Italia, ad esempio, ha definito e regolato un “Certificato Verde” rilasciato a livello regionale con i seguenti decreti:
- DL 22 aprile 2021, n. 52 aggiunge alle modalità già previste la possibilità di ingresso o uscita da zone rosse e arancioni ai soggetti in possesso di un certificato verde.
- DL 18 maggio 2021, n. 65 consente la partecipazione a feste conseguenti a cerimonie civili o religiose, con la prescrizione che i partecipanti siano muniti di un certificato verde.
Occorre notare che le soluzioni locali non hanno alcuna validità per gli spostamenti al di fuori dei confini nazionali e dovranno perciò presto adeguarsi al nuovo standard europeo.
Durata
Sul periodo di validità di un certificato, al momento, c’è ancora un po’ di confusione.
Nelle considerazioni iniziali del testo del regolamento europeo si fa riferimento alle evidenze mediche sul periodo di riduzione di contagiosità1 e vengono fornite indicazioni sulla validità massima che dovranno avere le varie tipologie di certificato:
- Vaccinazione: certificato valido fino a non oltre 1 anno dalla data della vaccinazione;
- Guarigione: certificato valido fino a non oltre 90 giorni dalla data del primo risultato positivo del test;
- Test: certificato valido fino a non più di 72 ore dal prelievo del campione per un test molecolare e 24 ore dal prelievo del campione per un test antigenico rapido.
Al momento della scrittura dell’articolo, a livello nazionale per i Certificati Verdi, le informazioni riportate nei decreti e sul sito del Ministero della Salute sono le seguenti:
- Vaccinazione: validità a partire dal quindicesimo giorno successivo alla prima dose, fino a 9 mesi dopo il completamento del percorso vaccinale (somministrazione dell’ultima dose prevista);
- Guarigione: validità per 6 mesi, dalla fine del periodo di isolamento successivo ad un test positivo;
- Test: valido per 48 ore a partire dal prelievo del materiale biologico.
Trust Framework
Come funzionerà il certificato? Le specifiche tecniche sono piuttosto articolate e le varie tematiche sono state suddivise in diversi volumi.
In pratica, il certificato:
- conterrà un codice QR utilizzabile in forma digitale o cartacea;
- sarà sigillato con una firma digitale per impedirne la falsificazione.
La commissione europea creerà un gateway, mediante il quale sarà possibile verificare le firme dei certificati in tutta l’Unione.
Gli attori coinvolti nel processo saranno i seguenti:
- Certificate Issuer: l’entità che emette il certificato (o credenziale);
- Certificate Holder: il soggetto che detiene il certificato (o credenziale);
- Certificate Verifier: il soggetto che richiede la prova di validità del certificato.
Il “ciclo di vita” di un certificato si articolerà in tre fasi distinte:
- Identificazione: la prima fase riguarda l’identificazione del soggetto (Certificate Holder) e la registrazione delle informazioni relative all’evento medico da parte di una struttura sanitaria o ente autorizzato (Certificate Issuer);
- Emissione: la seconda fase riguarda l’emissione del certificato e la sua conservazione in formato cartaceo o digitale;
- Verifica: l’ultima fase coincide con la presentazione del certificato (verifiable credential) ad un soggetto che ne faccia richiesta (Certificate Verifier).
L’operazione consisterà in una serie di verifiche:- il certificato è stato rilasciato da un soggetto autorizzato;
- le informazioni presentate sul certificato sono autentiche, valide e non sono state alterate;
- il titolare del certificato corrisponde al soggetto che lo presenta.
Le informazioni riportate all’interno del certificato saranno:
- dati personali: nome, cognome e data di nascita;
- tipo di certificato e codice univoco UVCI (Unique Vaccination Certificate/assertion identifier);
- dettagli del certificato (data di emissione ed ulteriori dettagli in funzione della tipologia).
Principi fondamentali e sfide future
Le linee guida del nuovo Trust Framework Europeo definiscono con chiarezza una serie di principi fondamentali che l’implementazione dovrà soddisfare:
- Interoperabilità: il sistema dovrà garantire piena interoperabilità tra i vari Stati Membri dell’Unione e non impedire l’integrazione con nuove soluzioni globali in corso di sviluppo (e.g. OMS e ICAO);
- Sicurezza e protezione dei dati: i dati gestiti dovranno essere minimizzati e limitati allo scopo, in accordo con le direttive GDPR, garantendo la sicurezza e la privacy dei cittadini (by design e by default);
- Inclusività e flessibilità: lo standard adottato dovrà essere tecnologicamente agnostico, tale da non discriminare alcun tipo di utente e dovrà favorire implementazioni aperte e open source.
Tutte le indicazioni presenti nelle linee guida, ed in particolare i principi relativi a privacy e sicurezza, rendono necessaria una riflessione importante sulle tecnologie da utilizzare per lo scambio e la verifica di informazioni strettamente personali e sensibili.
Come spesso accade in contesti legati alla gestione delle identità, due aspetti fondamentali sono in forte contrapposizione:
- Da un lato, la necessità di permettere la circolazione sicura dei cittadini e, di conseguenza, l’importanza di verificare con certezza il rispetto dei requisiti richiesti (esistenza e validità del certificato di un cittadino)
- Dall’altro lato, la necessità e diritto fondamentale di ogni cittadino di proteggere la propria privacy
In realtà, una soluzione efficace e perfettamente aderente a queste esigenze esiste ed è facilmente implementabile: si chiama Self Sovereign Identity (SSI). L’affinità è così evidente che nei documenti UE i riferimenti sono molto frequenti (lo scambio di Verifiable Credentials, l’utilizzo di distributed ledgers, …).
In estrema sintesi (affronteremo in dettaglio l’argomento in un prossimo articolo), attraverso un meccanismo crittografico detto Zero Knowledge Proof è possibile condividere una asserzione relativa ad informazioni personali (ad esempio il possesso di una credenziale relativa al certificato vaccinale), senza condividerne però alcun contenuto informativo, proteggendo di conseguenza la sicurezza e la privacy del cittadino.
Per approfondimenti: https://www.dizme.io/
Autore: