Come funziona VerificaC19, l’app per leggere il Green pass

L’app si chiama VerificaC19 e funziona con una crittografia asimmetrica che consente di leggere il Green Pass senza divulgare informazioni sensibili sul suo possessore. Visti i molti dubbi e paure, vediamo come funziona l’app a livello tecnico: cosa è contenuto davvero nel QR code? Come fa l’app a garantire la privacy? Si può condividere il QR code online?

Entriamo nel merito di questa particolare tecnologia e rispondiamo a tutte le domande più comuni.

L’app VerificaC19

L’app è stata rilasciata dal Ministero della Salute, dal Ministero per l’Innovazione Tecnologica e la Digitalizzazione, dell’Economia e delle Finanze e dal Commissario Straordinario per l’Emergenza COVID-19. 

L’app consente agli esercenti e operatori di negozi, bar, strutture alberghiere e altri a verificare la validità di:

  • Certificazioni verdi COVID-19 prodotte in Italia dalla Piattaforma nazionale-DGC del Ministero della salute;
  • Certificati europei digitali COVID (“EU Digital COVID Certificate”) rilasciati dagli altri Stati Membri dell’Unione Europea.

Come funziona la verifica del Green Pass nell’app

A livello tecnico, la verifica del Green Pass tramite app funziona grazie alla crittografia asimmetrica a chiave pubblica/privata. In sostanza, l’app VerificaC19 “vede” il tuo QR code e ne ricava una chiave pubblica alfanumerica.

L’app VerificaC19 confronta poi questa chiave pubblica che ha appena “visto” con l’elenco ufficiale di chiavi pubbliche valide per gli Stati Membri, identificate in modo univoco tramite il codice KID (Key Identifier). 

Per poter operare questo confronto, ogni 24 ore l’app VerificaC19 interroga questo gateway europeo (DGCG) e scarica la lista delle chiavi usate da tutti i singoli Stati per firmare i Green Pass. Ogni giorno aggiorna il proprio elenco, togliendo le chiavi non più valide e aggiungendo quelle nuove.

L’app salva i dati del tuo Green Pass?

Come si vede, l’app VerificaC19 non salva in locale i dati dei singoli Green Pass.

Salva solo le chiavi pubbliche ufficiali, che servono per capire se il codice QR è valido.

Se qualcuno leggesse la chiave pubblica, vedrebbe solo un codice alfanumerico incomprensibile, che l’app è in grado di collegare solo al tuo nome, cognome e data di nascita, senza sapere nulla sui dettagli della tua vaccinazione. Questo passaggio è possibile solo grazie alla crittografia asimmetrica.

Cos’è la crittografia asimmetrica a chiave pubblica/privata

come funziona l'app per leggere il green pass? Pizero Design

La crittografia a chiave pubblica/privata presuppone l’esistenza di due chiavi:

  • quella privata, contenuta nel QR code, che deve essere tenuta segreta ed è personale;
  • quella pubblica, disponibile a tutti e che consente di verificare l’autenticità di un file firmato con la chiave privata. 

Si dice “asimmetrica” perché prevede l’esistenza di entrambe le chiavi, e perché le due non sono uguali. 

Crittografia simmetrica

Invece nella crittografia simmetrica sono presenti solo chiavi private: l’emittente codifica il proprio messaggio utilizzando una lunga chiave privata e lo invia al destinatario, che è in possesso della stessa chiave privata e può decifrare il messaggio.

Chiunque veda il messaggio in transito non ne capirà il contenuto, perché non possiede la chiave privata.

Il problema della crittografia simmetrica è lo scambio sicuro della chiave privata, che in alcuni contesti non può essere garantito: ecco perché nasce la crittografia asimmetrica.

Esempi di crittografia asimmetrica: la firma digitale

La crittografia asimmetrica si usa ad esempio nella firma digitale. Qui, l’utente deve inviare al destinatario un documento, una firma digitale e una chiave pubblica.

Inizialmente, il mittente sottopone al tool di firma digitale il proprio documento. Il tool di firma digitale attraverso un algoritmo di hash estrae da questo documento la cosiddetta impronta digitale o digest, cioè una stringa di testo di lunghezza fissa, che costituisce una vera e propria sintesi del testo.

A questo punto bisogna firmare in digitale questa stringa di testo: per farlo, il tool utilizza la chiave privata dell’utente.

Ora il mittente spedisce questa firma, il documento e la chiave pubblica.

La persona che riceve:

  • Decifra la firma digitale con la chiave pubblica e ottiene il digest (il contenuto del messaggio);
  • Sottopone il testo del documento a un algoritmo di hash e ottiene un altro digest;
  • Confronta i due digest. Se sono uguali, il documento è stato firmato in modo corretto.

Ricordiamo che tutti questi passaggi non vengono svolti manualmente, ma da apposite applicazioni e programmi con interfacce che possiamo facilmente comprendere.

La crittografia del Green Pass e rischi per la privacy

come funziona l'app per leggere il green pass? Pizero Design

Un processo simile a quello descritto sopra vale per il Green Pass. Questo documento è firmato con la tua chiave privata, ma l’app dell’esercente vede solo la chiave pubblica, che gli consente di verificare se il tuo Green Pass è valido, ma non gli consente – come abbiamo detto – di capire perché hai ricevuto il Green Pass (tampone, guarigione o vaccino).

Cosa c’è nel QR code?

Il QR code è un codice a barre bidimensionale, che contiene alcune informazioni e una firma digitale.

È possibile usarlo sia in formato cartaceo che digitale, ma il suo contenuto non cambia: attraverso la scansione del tuo QR code in una apposita app (VerificaC19), l’esercente di un locale può verificare l’autenticità e validità della Certificazione che ha prodotto il tuo Green Pass. 

Il funzionamento è simile al processo di lettura della firma digitale che abbiamo descritto sopra.

Cosa vede l’esercente dalla scansione del mio Green Pass?

L’esercente, dopo aver scansionato con l’app il Green Pass, può visualizzare la tua data di nascita, il tuo nome e il tuo cognome, e sapere se il tuo Green Pass è valido o meno. Queste informazioni non verranno mantenute nella memoria dell’app né diffuse, e quindi l’esercente non potrà tracciarle. Inoltre, l’app lavora offline, quindi questi dati non possono “finire online”.

Si può pubblicare il QR code del Green Pass sui social?

Anche se il QR code del Green Pass contiene solo alcune informazioni private, non è il caso di pubblicarlo sui social: infatti, chiunque potrebbe ricavare la tua data di nascita esatta, insieme a nome e cognome. Inoltre, con un po’ più di competenza informatica è possibile ricavare dal QR code anche il motivo per cui si ha il Green Pass, ad esempio vaccinazione e fornitore del vaccino, numero di dosi, eventuale tampone e data di scadenza del documento.

Nessuna informazione sensibile, come malattie o ricoveri, ma comunque il Garante della Privacy invita a non condividere questi dati pubblicamente.

Si può scannerizzare il Green Pass con una comune app per lettura di QR code?

È sconsigliabile, come è sconsigliabile pubblicarlo sui social. Infatti, l’app in sé ci restituirà un codice lunghissimo e apparentemente indecifrabile. Però, chi sa come decifrarlo potrebbe ottenere le informazioni contenute nel QR code, come la vostra data di nascita, nome, cognome, tipo di vaccinazione o tampone ricevuto, data di scadenza del Green Pass. 

Non abbiamo la garanzia che questa app di scansione del QR code tratti i vostri dati con la riservatezza necessaria, quindi meglio attenersi aI canali ufficiali: l’app VerificaC19 per il Green Pass è stata approvata dalle autorità competenti.

Per l’esercente: come usare l’app VerificaC19

L’uso dell’app per l’esercente non richiede nessuna competenza tecnica. È sufficiente avviare l’app e configurarla seguendo le istruzioni guidate.

Quindi, basta toccare “avvia scansione” e inquadrare il QR code della persona che entra.

Dopo qualche secondo, comparirà una schermata che indica se il certificato è valido.

come funziona l'app per leggere il green pass? Pizero Design

Vuoi aumentare il livello di sicurezza della tua azienda?

Oppure ti piacerebbe approfondire l’argomento della crittografia?

Contatta Pizero Design per una consulenza!