La carta di vaccinazione digitale è in arrivo. Si suppone che sia basato sulla crittografia e sul codice open source per garantire una maggiore sicurezza contro la falsificazione. Tuttavia, i produttori di sicurezza e TÜV Süd sono scettici sulla carta di vaccinazione via app.
Il Consiglio europeo ha deciso di offrire un certificato di vaccinazione digitale. Finora, le vaccinazioni sono state registrate solo con adesivi, timbri e firme su schede di vaccinazione cartacee. Gli esperti avvertono, tuttavia, che questi non sono a prova di falsificazione e possono essere copiati. Ma la carta di vaccinazione digitale potrebbe anche diventare un bersaglio per i falsari. Ecco perché la carta di vaccinazione, analogica o digitale, deve essere sufficientemente sicura per evitare l'uso improprio o il furto di identità.
La carta di vaccinazione digitale è un supplemento volontario al libretto di vaccinazione giallo. Viene generato nell'ufficio del medico o in un centro di vaccinazione sotto forma di un codice a barre 2D, chiamato anche token di vaccinazione. L'utente lo scannerizza direttamente o lo porta con sé su una stampa cartacea per scannerizzarlo in seguito tramite un'applicazione gratuita. L'app salva il certificato di vaccinazione localmente sullo smartphone. Il codice a barre può essere scannerizzato solo una volta e il certificato di vaccinazione è poi collegato allo smartphone che lo ha scannerizzato.
Questo significa che l'utente può decidere da solo se e quando vuole cancellare i suoi dati. "Inoltre, i dati devono essere memorizzati in forma criptata. Queste sono condizioni positive dal punto di vista della protezione dei dati", dice Angela Lechermann, Team Leader Data Protection Consulting Services di TÜV Süd Akademie. "Tuttavia, si pone la questione di come ci si assicura che i dati dei vaccinati siano protetti quando vengono letti. Questo è particolarmente vero per i viaggi in paesi che sono considerati paesi terzi non sicuri secondo la legge sulla protezione dei dati. Allo stesso tempo, è anche difficile cancellare la raccolta di dati digitali dopo la pandemia. Questo è particolarmente problematico perché si tratta di dati particolarmente sensibili secondo l'articolo 9 del GDPR. Questo trattamento è vietato in linea di principio e consentito solo con eccezioni molto strette."
Per i fornitori di servizi che vogliono controllare lo stato di vaccinazione, è prevista una app di controllo. Con esso, possono scannerizzare il codice a barre. In alternativa, la verifica con la carta di vaccinazione analogica è sempre possibile. Con entrambe le forme di identificazione, un documento d'identità con foto deve anche essere presentato per la verifica.
Thorsten Urbanski, esperto di sicurezza di Eset, è scettico sulla procedura di verifica, tuttavia: "È utopistico credere che ogni ristorante o negozio chiederà sempre di vedere una carta d'identità per verificare lo stato di vaccinazione. Ci sono già procedure che vengono utilizzate dai fornitori di pagamenti, per esempio. Per mezzo di un sistema di back-end e di controlli di plausibilità, per esempio, si può impedire l'uso simultaneo di carte di credito in diversi paesi o città. Un sistema simile sarebbe obbligatorio per la carta di vaccinazione digitale o l'uso del codice QR, tenendo conto della conformità della protezione dei dati. Quando si verifica la carta di vaccinazione attraverso il codice QR e il confronto del database, si deve fare un confronto con un sistema di back-end. Tuttavia, questo presuppone che la verifica da parte di un secondo dispositivo tramite app registri i dati di localizzazione durante il rispettivo processo di verifica e li trasmetta all'istanza da abbinare. Il tracciamento che avviene, a sua volta, deve essere completamente anonimo."
Anche Christine Schönig, Regional Director Security Engineering CER di Check Point, avverte che "la discussione sulla proporzionalità tra digitalizzazione e protezione dei dati non deve essere semplicemente lasciata fuori dall'equazione."
Per garantire la protezione più completa possibile contro la duplicazione, la prova digitale della vaccinazione è protetta in modo crittografico contro le modifiche. Andreas Philipp, Business Development Manager di Primekey, vede un altro punto a favore della sicurezza del certificato di vaccinazione digitale nell'uso di codice open source, come è già stato utilizzato per l'app di avvertimento Cororna: "Questo contribuirà sicuramente alla trasparenza, perché il codice sorgente può essere visualizzato da esperti di sicurezza IT indipendenti e controllato per vulnerabilità o backdoor."
In Europa, il regolamento eIDAS, chiamato anche identificazione elettronica e servizi fiduciari per le transazioni elettroniche (IVT) in Germania, è in vigore dal 2016. Questo fornisce la base per quanto riguarda le firme elettroniche e la fornitura di servizi di fiducia e contribuisce così alla protezione contro la falsificazione. "Se le procedure tecniche e gli standard in esso stabiliti sono implementati coscienziosamente, allora il passaporto digitale di vaccinazione è già molto ben protetto contro la falsificazione", dice Philipp.
Il codice sorgente aperto e la cooperazione con la comunità open source aiutano a garantire che le vulnerabilità possano essere identificate e chiuse più rapidamente. Questo vale anche per le vulnerabilità che permetterebbero la contraffazione". La trasparenza dell'applicazione Corona è stata positivamente evidenziata dal Chaos Computer Club, un grande successo! Se la carta di vaccinazione digitale può basarsi su questo, allora è già stato fatto molto", aggiunge Philipp.
Un altro modo per completare la carta di vaccinazione digitale, secondo Schönig, è quello di leggere i dati del libretto giallo di vaccinazione e migliorare così l'autenticità delle informazioni. Aggiunge: "Purtroppo, però, le registrazioni delle vaccinazioni nel libretto giallo delle vaccinazioni sono facilmente falsificabili e questo non deve accadere allo stesso modo con la carta d'identità digitale."