Green pass: ostacoli tecnici e politici alla nascita del certificato verde digitale - Cyber Security 360

L'APPROFONDIMENTO

Green pass: ostacoli tecnici e politici alla nascita del certificato verde digitale

Il green pass, il certificato verde digitale ribattezzato anche Certificato Eu Covid-19, ha ottenuto l’ok dal Parlamento Europeo, ma per vedere la luce dovrà superare alcuni ostacoli di natura tecnica e politica all’armonizzazione tra l’impostazione europea e nazionale. Facciamo il punto

10 Mag 2021
B
Giorgia Benatti

Focus team Legal Tech SC Avvocati Associati e team Compliance di SCnet Compliance&Corporate

C
Vittorio Colomba

Avvocato esperto di diritto delle nuove tecnologie

Dopo la presa di posizione del Parlamento sulla proposta della Commissione per il green pass europeo, il certificato verde digitale, si aprono ufficialmente i negoziati tra Parlamento e Consiglio con l’obiettivo di raggiungere un accordo prima della stagione turistica estiva.

Il green pass europeo, ribattezzato “Certificato Eu Covid-19” dopo l’ok del Parlamento Europeo del 29 aprile scorso, per poter vedere la luce dovrà necessariamente confrontarsi con due ostacoli: uno tecnico e uno politico.

Green pass: tutte le date della sperimentazione tecnica

Il primo test inizierà proprio oggi, 10 maggio 2021: un primo gruppo di 15 stati membri (tra cui Francia, Italia, Germania ed Estonia) darà avvio alla sperimentazione (senza il coinvolgimento dei cittadini) del Gateway, l’infrastruttura ideata dalla Commissione per verificare la validità dei certificati senza moltiplicare né centralizzare gli archivi.

L’interoperabilità dei Certificati Eu Covid-19

La struttura reggente l’interoperabilità dei Certificati Eu Covid-19 può essere così delineata: la scansione da parte delle autorità del QR-Code non permette l’accesso diretto, né tantomeno il download dei dati personali dell’interessato sul dispositivo di verifica. Tale dispositivo attraverso una chiave pubblica si connette, mediante il Gateway installato nel data center della Commissione, ai singoli database nazionali, per verificare la veridicità del Certificato e l’autenticità dei sigilli elettronici. Se le condizioni necessarie alla validità del pass sono integrate: semaforo verde. Diversamente il pass non è valido e dovranno essere applicate al soggetto tutte le restrizioni sanitarie locali del caso.

L’esame tecnico proseguirà a grandi passi secondo un’incalzante scansione di date: alla fine di maggio la sperimentazione partirà in un secondo gruppo di Stati (tra cui si annoverano Portogallo, Irlanda e Danimarca); successivamente si uniranno Slovacchia, Ungheria, Norvegia e Liechtenstein.

La dead line è fissata al primo giugno: data entro la quale è prevista la piena operatività dei sistemi di interscambio. Il corretto funzionamento dell’infrastruttura permetterà, dunque, a tutti gli stati di rilasciare i certificati entro la fine di giugno.

Gli ostacoli tecnici alla realizzazione del green pass

La sperimentazione tecnica assume i contorni di un vero e proprio ostacolo alla realizzazione del green pass per il coinvolgimento diretto degli Stati membri.

Tutti avranno a disposizione su GitHub[1] gli elementi dell’infrastruttura sviluppati da Sap e T-System investite dell’incarico direttamente da Bruxelles:

  1. i modelli base per il certificato digitale;
  2. l’app per conservarlo sullo smartphone;
  3. il codice che permetterà ai cittadini di mostrare il certificato;
  4. il parallelo codice necessario ad una corretta verifica da parte degli addetti ai controlli.

Tuttavia, pur partendo dagli stessi elementi tecnici, non tutti gli Stati membri sono in grado di far fronte allo sforzo tecnologico richiesto con tempestività e prontezza operativa, fondamentali nella corsa verso la fine del mese di giugno.

Il diretto coinvolgimento degli stati apre le porte anche a valutazioni che vanno ben oltre l’elemento tecnico.

L’architettura del Gateway, la struttura del certificato e il controllo continuo richiesto dal Parlamento Europeo dovrebbero risolvere le questioni privacy che affliggevano il progetto sul nascere, lasciando però irrisolti nodi come la durata della copertura vaccinale – e di conseguenza del pass –, la validità dei test e le finestre temporali entro cui effettuarli (48 o 72 ore). Tutti temi che inevitabilmente assumono caratteri e contenuti diversi da Paese a Paese.

Passaporto vaccinale e GDPR: il parere delle istituzioni europee

Tutti i nodi politici del certificato verde digitale

Sulla scorta dell’esperienza delle app di contact tracing (come l’italiana Immuni), sappiamo che avere tutte le carte “tecniche” in regola non è sufficiente per poter decollare: il green pass europeo dovrà, infatti, far fronte anche ai diversi, talvolta contrastanti, indirizzi politici nazionali.

Molto probabilmente non si ripresenterà la tiepida accoglienza che a suo tempo è stata riservata alle app di tracciamento, soprattutto in Italia. Ciononostante, la situazione di adeguamento nazionale si prospetta comunque complessa.

I Paesi si stanno muovendo in ordine sparso e disomogeneo e la Commissione non sembra avere intenzione di richiamare all’unità. Ogni Stato membro, infatti, avrà la possibilità di decidere se sviluppare ex novo un’applicazione a cui abbinare il green pass, se includerlo in un’app già esistente per servizi pubblici, se sfruttare i modelli già offerti da Sap o T-System o se “fare in proprio”.

L’unico vincolo, a garanzia della non discriminazione, parrebbe essere quello di garantire il rilascio e l’accettazione di un pass sia in forma digitale, che cartacea.

La linea assunta del Parlamento Europeo è quella di una necessaria accettazione dei certificati rilasciati da altri stati membri con riferimento ai vaccini autorizzati in UE dall’EMA (attualmente Pfizer-BioNTech, Moderna, AstraZeneca e Janssen), lasciando tuttavia agli stati membri – ancora una volta – la possibilità di decidere se accettare anche i certificati di vaccinazione rilasciati in altri stati membri per i vaccini elencati dall’Organizzazione Mondiale della Sanità (OMS) per uso di emergenza.

La stessa libertà è riconosciuta, salvo il rispetto di alcune condizioni come la previa informazione della Commissione, in merito all’applicazione di eventuali misure restrittive anche a chi esibisce un Certificato valido.

Su tale linea, ad esempio, ad un viaggiatore potrebbe essere richiesto di fare un tampone, mentre si trova in vacanza, a seguito della scadenza della validità di quello con cui ha varcato i confini nazionali.

Italia: i punti interrogativi sul green pass

Il Parlamento Europeo nell’assumere ufficialmente la propria posizione negoziale sulla proposta della Commissione ha espressamente dichiarato di voler assicurare che il certificato UE sia pienamente armonizzato a qualsiasi iniziativa istituita dagli stati membri.

Tuttavia, le criticità tecniche e politiche poste dai Certificati Eu Covid-19 si pongono in piena antitesi con le speranze del Parlamento, soprattutto con riferimento al nostro paese.

Il prossimo 15 maggio inizieranno i primi test del sistema informativo nazionale interoperabile a livello europeo, la cui implementazione è stata affidata a Sogei, società in-house del ministero delle Finanze per l’informatica. Tuttavia, il contesto in cui la sperimentazione tecnica si inserisce non può definirsi fertile.

In effetti, proprio da lunedì sarà pienamente operativo il Pass italiano previsto dal Decreto riaperture, nei confronti del quale non solo le Regioni, ma anche il Garante per la protezione dei dati personali ha espresso le proprie profonde perplessità.

Dalla previsione normativa, infatti, emergono delle serie criticità tecniche considerando che la piattaforma nazionale in sperimentazione non sarà in grado, nel breve periodo, di supportare il rilascio e la verifica dei certificati, che nelle more, saranno identificati nelle certificazioni rilasciate dalle strutture sanitarie pubbliche e private, dalle farmacie, dai medici di medicina generale e pediatri di libera scelta, ponendo peraltro significativi rischi in ordine alla reale efficacia della misura.

Al contempo, l’intervento normativo, così come redatto da Palazzo Chigi, è sintomo di un inquadramento del green pass del tutto avulso dalle necessarie valutazioni in tema di garanzie e di corretto approccio al trattamento dei dati personali, soprattutto quelli c.d. sensibili, in un contesto in cui la protezione dei dati è una materia sulla quale è sempre maggiore l’attenzione e le pretese di tutela del cittadino.

Oggi nulla è scritto: la sperimentazione inizierà a breve e sono possibili nuovi interventi normativi volti ad un allineamento del pass italiano alla normativa e alle attenzioni richieste a livello europeo. Tuttavia, la possibile concretizzazione delle criticità tecniche e politiche nella cornice italiana è di facile immaginazione.

 

NOTE

  1. Servizio web e cloud-based fondamentale per la conservazione dei codici sorgenti e per il controllo delle modifiche apportate.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5