Si potranno togliere legalmente le mani dal volante, ma bisognerà sempre essere pronti a intervenire: questa, in sintesi, la novità più importante delle nuove normative svizzere sulla guida autonoma e assistita annunciate nei giorni scorsi.

A primavera scorsa il Parlamento svizzero ha approvato la revisione della Legge federale sulla circolazione stradale, creando le condizioni quadro, e il 18 ottobre scorso il Governo federale ha pubblicato due ordinanze, una sulla guida automatizzata e una sugli aiuti finanziari a soluzioni innovative per i trasporti su strade pubbliche, che definiscono le modalità di attuazione della legge in questione. Ora si avvia il processo di consultazione, che durerà fino al 2 febbraio 2024.

Le novità principali dell’ordinanza sulla guida automatizzata sono due:

• La prima è che i veicoli appositamente attrezzati con sistemi di guida assistita (non autonoma; l’ordinanza usa il termine automatizzata per indicare la guida assistita) consentiranno al conducente di togliere legalmente le mani dal volante nelle situazioni opportune, pur restando sempre responsabile della condotta del veicolo. Oggi ci sono vari sistemi di guida assistita che lo consentono tecnicamente, ma non legalmente (anche se il mantenimento di corsia è affidato all’auto, il conducente ha l’obbligo legale di tenere le mani sul volante).
• La seconda è che il parcheggio automatizzato senza conducente sarà legalmente possibile negli spazi appositi. Le auto adeguatamente equipaggiate potranno quindi essere lasciate a un punto specifico di un parcheggio apposito e andranno a cercarsi da sole un posto per parcheggiare.

Chi ha in mente di comprarsi oggi una Tesla, una Mercedes o una Ford e mettersi a leggere il giornale o fare un pisolino mentre l’auto lo porta a destinazione farà bene a smorzare le proprie attese: neppure sistemi di punta come Autopilot e FSD, Drive Pilot e BlueCruise (dei costruttori che ho citato sopra) consentono di farlo, né tecnicamente (salvo sabotaggi da incoscienti) né legalmente. Il conducente resta legalmente responsabile della condotta del veicolo sempre e comunque e deve essere pronto a intervenire in ogni momento (l’unica possibile eccezione, che io sappia, è Drive Pilot di Mercedes, ma solo in particolari condizioni di guida, e resta ancora da vedere se la nuova normativa svizzera consentirà questo tipo di responsabilità del costruttore).

Un altro aspetto interessante è che i sistemi di assistenza alla guida dovranno essere omologati e spetterà alle case costruttrici dimostrare che funzionano correttamente, garantendo sicurezza e fluidità del traffico per tutti gli utenti delle strade.

Per chi vuole consultare il testo ufficiale delle ordinanze e i rapporti esplicativi, che contengono molti riferimenti normativi utili e anche informazioni sullo stato dell’arte e della legge in altri paesi europei, sono a disposizione in italiano nell’apposita pagina del sito dell’Ufficio federale delle strade. Il comunicato stampa è disponibile in italiano.

Dal Rapporto esplicativo sull’ordinanza sulla guida automatizzata, pagina 4, cito questo paragrafo fondamentale, che chiarisce una situazione spesso fraintesa da molti utenti di auto dotate di assistenti di guida (ho aggiunto io i grassetti):

In Svizzera l’attuale situazione giuridica esclude la possibilità di utilizzare su strada i sistemi di automazione conformemente alla loro destinazione d’uso. La legge sulla circolazione stradale (LCStr) prescrive che il conducente debba costantemente padroneggiare il veicolo in modo da potersi conformare ai suoi doveri di prudenza (dovere di controllo) [Art. 31 cpv. 1], il che implica nello specifico il divieto di lasciare il volante [Art. 3 cpv. 3 ordinanza sulle norme della circolazione stradale (ONC; RS 741.11)]. Finora i veicoli a guida automatizzata hanno pertanto circolato in Svizzera solo con autorizzazioni eccezionali nel quadro di esperimenti.

Segnalo anche altri paragrafi importanti:

I veicoli devono in particolare essere dotati di un registratore di guida che rilevi le interazioni tra sistema di automazione e conducente od operatore e tenga traccia degli eventi che si verificano mentre è attivo il sistema di automazione. È inoltre stabilito chi ha diritto ad accedere ai dati rilevati dal registratore di guida e a che scopo [pag. 5]

L’utilizzo di sistemi di automazione implica anche l’acquisizione di nuove competenze e conoscenze e ciò vale sia per i veicoli che continuano a necessitare di un conducente sia per quelli che ne sono privi. Per non intralciare inutilmente la diffusione di veicoli a guida automatizzata, si rinuncia a un apposito esame di guida e si prescrive una formazione obbligatoria unicamente per i veicoli senza conducente. Chi guida o monitora un veicolo a guida automatizzata è tenuto a conoscere le funzionalità del sistema e prendere visione delle istruzioni d’uso del costruttore, cui spetta l’obbligo di fornirne di idonee. Chi acquista un veicolo a guida automatizzata deve essere informato dal rivenditore sull’utilizzo conforme del sistema di automazione e sui dati memorizzati al riguardo. Nel caso di veicoli privi di conducente, l’operatore o la persona che se necessario guida manualmente un veicolo sprovvisto di comandi convenzionali (ad es. mediante telecomando) deve seguire una formazione presso il costruttore [pag. 8]

Sono intervenuto a Ticinonews sulla questione, cercando di riassumerla in termini semplici e pratici. La registrazione e la trascrizione sono qui sul sito di Ticinonews.

Fonti aggiuntive: TVsvizzera, Corriere del Ticino.

Oggi (12 settembre) è stata annunciata ufficialmente l’apertura di un’istanza Mastodon della Cancelleria federale svizzera: social.admin.ch. Qui sotto trovate il testo del comunicato stampa in italiano.

Notate le osservazioni sull’indipendenza da singole imprese e sulla protezione dei dati personali, ossia tutto il contrario dei social network commerciali, che creano dipendenza da un singolo fornitore e raccolgono dati personali come parte essenziale del loro modello commerciale. L’apertura su Mastodon è un passo molto interessante del governo per offrire informazioni ai cittadini senza costringerli a iscriversi a social network ficcanaso.

La Confederazione dà avvio a un esperimento pilota su Mastodon

Berna, 12.09.2023 - La Cancelleria federale ha aperto un’istanza su Mastodon. Nell’ambito della comunicazione governativa intende così sperimentare un media sociale organizzato in modo decentralizzato. Su questa istanza, Consiglio federale e dipartimenti possono gestire dei conti ufficiali (account). La durata dell’esperimento pilota è limitata a un anno.

Da molti anni il Consiglio federale e l’Amministrazione federale utilizzano i media sociali per comunicare. Questi ultimi li supportano nell’adempimento del mandato legale d’informazione permettendo loro di raggiungere parti di popolazione, soprattutto i più giovani, che sarebbero difficilmente raggiungibili su altri canali.

Nell’ambito di un esperimento pilota, la Cancelleria federale ha deciso di aprire un’istanza su Mastodon. Denominata «social.admin.ch», tale istanza è a disposizione del Consiglio federale e dei dipartimenti affinché possano registrare i loro conti ufficiali. Gli utenti che dispongono di un conto presso un’altra istanza possono seguire i conti registrati sull’istanza social.admin.ch e leggere i relativi contenuti, conformemente alla logica e agli usi di Mastodon.

Attualmente il DFAE, il DFI e il DEFR prevedono di gestire uno o più conti ufficiali sull’istanza social.admin.ch. La Cancelleria federale stessa ne gestisce uno per il portavoce del Consiglio federale.

Mastodon presenta alcune caratteristiche allettanti per la comunicazione a livello governativo. La piattaforma è organizzata in modo decentralizzato e non lavora su un server centrale. Per questo essa si sottrae al controllo sia di una singola impresa sia delle autorità statali di censura. Mastodon rispetta la protezione dei dati. La sorte dei dati degli utenti è decisa dai gestori delle istanze. Molti di loro sono trasparenti; nel rilevare i dati si limitano a quanto strettamente necessario per la gestione dell’istanza ed escludono esplicitamente la vendita e il commercio di dati. Anche l’istanza della Cancelleria federale sarà gestita nel rispetto della protezione dei dati.

I media sociali sono in rapida evoluzione. La Confederazione segue costantemente questi sviluppi anche per verificare se prendere in considerazione nuove piattaforme o piattaforme esistenti non ancora utilizzate dall’Amministrazione federale quali canali d’informazione. L’esperimento pilota con Mastodon va visto in questo contesto. Non ha ripercussioni sull’utilizzo di altre piattaforme di media sociali da parte del Consiglio federale o dell’Amministrazione federale. La durata dell’esperimento è limitata a un anno. L’ulteriore modo di procedere sarà deciso alla luce delle esperienze acquisite.

Per i non svizzeri: DFAE è il Dipartimento federale degli affari esteri; DFI è il Dipartimento federale dell’interno (@EDI_DFI@social.admin.ch); DEFR è il Dipartimento federale dell’economia, della formazione e della ricerca.

L’account Mastodon del portavoce del Consiglio federale, André Simonazzi, è @gov@social.admin.ch.

Per chi volesse iscriversi a Mastodon (gratuitamente e senza dare dati personali a nessuna azienda, ottimo sostituto dell’ormai impresentabile e inutilizzabile Twitter/X), ho preparato una miniguida facile facile.

Stamattina sono stato ospite del programma Modem della Radiotelevisione Svizzera (Rete Uno) per parlare della serie di attacchi informatici che hanno colpito numerosi siti istituzionali nazionali, su due filoni: distributed denial of service da una parte e ransomware con esfiltrazione e pubblicazione di dati sensibili. 

Potete riascoltare la puntata qui sotto:

Questo è il mio rapido riassunto delle informazioni pubblicate sugli attacchi noti fin qui, sugli aggressori e sulle misure di difesa possibili.

• Ci sono rivendicazioni di un gruppo filorusso che si fa chiamare NoName. Il Centro Nazionale per la Cibersicurezza conferma “legami con la Russia del gruppo responsabile” (RSI).
• Il gruppo NoName ha un canale Telegram pubblicamente accessibile, dove annuncia i propri attacchi in inglese (NoName057(16) Eng) e in russo (NoName057(16)).  
• 15 giugno: NoName rivendica DDOS contro RUAG e “ZVV – la  rete di trasporto che copre il cantone di Zurigo e le aree adiacenti – Svizzera turismo e SwissID, i cui siti web sono risultati temporaneamente inaccessibili.” (RSI). 
• 14 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un altro comunicato stampa sull’attacco ai danni di Xplain, nel quale precisa che “tra i dati di Xplain rubati e criptati vi erano probabilmente anche dati operativi dell’Amministrazione federale”, diversamente da quanto annunciato inizialmente. “Le diverse autorità e organizzazioni interessate devono chiarire se i dati trafugati sono attuali e se la loro pubblicazione possa comportare implicazioni di ampia portata. [...] Dato che sono stati colpiti dati operativi, diversi servizi dell’Amministrazione federale hanno sporto denuncia penale o stanno prendendo in considerazione misure simili. Ciò permetterebbe di chiarire per quale motivo i dati dell’Amministrazione federale sono finiti nel sistema della ditta Xplain”. Un’ipotesi è che si tratti di dati condivisi con Xplain per risolvere questioni tecniche (cose per esempio del tipo “questo allegato in una mail inviata da un cliente fa scattare l’antivirus/l’antispam, ti giro la mail per fartela analizzare”).
  
• 14 giugno: NoName rivendica DDOS al sito della Città di Bellinzona, effettuato con circa 1500 computer al ritmo di 70.000 richieste/secondo (RSI).
• 14 giugno: NoName rivendica DDOS ai siti del Canton Basilea Città, città di Zurigo, San Gallo (RSI) (La Regione).
• 13-14 giugno: pubblicati nel dark web “altri dati operativi sottratti in precedenza all’Amministrazione federale. Questi attacchi di tipo ransomware erano stati inflitti a fine maggio ai danni di Xplain, ditta svizzera che fornisce software per le autorità e avevano interessato, tra gli altri, l'Ufficio federale di polizia (Fedpol) e l'Ufficio federale della dogana e della sicurezza dei confini (UDSC), nonché le FFS e le autorità di polizia cantonali.” (RSI). Attribuito al gruppo che si fa chiamare Play. “Non vi sono tuttavia ancora prove che i sistemi federali siano stati attaccati direttamente. Visto che sono stati colpiti dati operativi, diversi servizi dell’amministrazione federale hanno sporto denuncia penale o stanno prendendo in considerazione misure simili. Ciò permetterebbe di chiarire per quale motivo questi dati sono finiti nel sistema della ditta Xplain, una società che sviluppa, tra l'altro, applicazioni per i servizi cantonali di esecuzione delle pene.” (RSI).
• 14 giugno: NoName rivendica DDOS contro il sito dell’aeroporto di Ginevra (Swissinfo).
  
• 8 giugno: NoName rivendica DDOS contro il sito del Parlamento svizzero, Parlament.ch (Swissinfo). Non è corretto dire che il gruppo di criminali informatici si è “intrufolato”, come scrive La Regione: un DDOS non sfonda le difese, non entra nel sito, ma lo rende inaccessibile agli utenti legittimi.
• 8 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un comunicato stampa sull’attacco ai danni di Xplain.
• 3 giugno: “L'esercito svizzero, l'Ufficio federale della dogana e della sicurezza dei confini (UDSC), l'Ufficio federale di polizia (Fedpol) e diversi corpi di polizia cantonali sono indirettamente toccati da un attacco cibernetico. Secondo rivelazioni pubblicate sabato dal quotidiano romando Le Temps, l'aggressione ha visto come vittima Xplain, una società informatica bernese a cui facevano riferimento tutte le entità in questione... Si parla di sei file compressi contenenti migliaia di documenti, provenienti dalla società con sede a Interlaken (BE) specializzata in servizi di sicurezza informatica... UDSC e Fedpol hanno confermato a Keystone-ATS che sono state divulgate delle informazioni, minimizzando la portata di quanto accaduto: l'Ufficio delle dogane sostiene che non sono stati sottratti dati interni, bensì elementi legati alla corrispondenza con clienti, mentre Fedpol afferma che l'attacco non ha interessato i suoi progetti, ma soltanto "dati di simulazione anonimizzati a scopo di test".” (Tvsvizzera.it)
• L’attacco contro Xplain sembra un classico caso di supply chain attack, nel quale l’aggressore prende di mira un fornitore di servizi o risorse tecniche del bersaglio effettivo e lo usa per raggiungere quel bersaglio. Tecnica molto efficace, usata già per esempio per i grandi attacchi di Solarwinds e NotPetya.
• A fine maggio il gruppo Play ha fatto ransomware a Xplain (annuncio pubblico del gruppo il 23 maggio) e ha colpito anche i media: CH Media e NZZ (The Local). Colpiti indirettamente anche le FSS e il Cantone di Argovia (RSI) il Dipartimento dell'istruzione di Basilea Città, l'amministrazione comunale di Rolle (Vd), “l'Università di Neuchâtel e il caseificio Cremo nel Cantone di Friburgo” (La Regione).

Il link in questione è http://lever***scramble.cn/Manor-v2w/tb.php?oo=zo1676573320813 (con age al posto dei tre asterischi), che porta poi a 50xun9d(punto)cn. Già il suffisso CN, che indica la Cina, dovrebbe far riflettere: perché mai Manor dovrebbe gestire i suoi concorsi attraverso un sito cinese? Ma forse gli utenti distratti non si accorgeranno del suffisso .cn, visivamente abbastanza simile a .ch, e i truffatori contano proprio sulla disattenzione delle vittime.

Il “concorso” dapprima fa fare un gioco (che in realtà è truccato, per cui si “vince” sempre) e poi chiede di mandare una copia del link/invito ad almeno 20 contatti su WhatsApp o Messenger per poter accedere ai “premi”, che ammonterebbero (dicono i truffatori) a 2000 franchi. Se mandiamo questo link/invito, esponiamo i nostri amici e colleghi alla stessa trappola, di cui probabilmente si fideranno perché arriva da una persona di cui si fidano.

In realtà ho visto che non c'è bisogno di mandare questi inviti: se si clicca tante volte si passa lo stesso al livello successivo. La barra di progressione alla fine arriva al 100% senza aver dato i contatti di nessuno.

Dopo aver chiesto di “registrare” un’app, inizia il bombardamento pubblicitario. La truffa sembra consistere proprio in questo: sfruttare un nome molto conosciuto (quello della Manor) per sembrare credibili e convincere il maggior numero possibile di persone a seguire le istruzioni e condividere il link, in modo da incassare denaro per la visualizzazione di pubblicità.

Ovviamente Manor, che ha già smentito ogni legame con questo “concorso”, ne può subire un danno reputazionale.

Ho già segnalato a Google il sito truffaldino; chiedo anche a voi di fare altrettanto usando l’apposita opzione del vostro browser oppure andando a questo link per Firefox.

Ve la condivido subito, così non perderete tempo anche voi: se siete ex clienti UPC passati a Sunrise e di colpo il servizio cessa di funzionare, assicuratevi prima di tutto che il vostro TV Box sia marchiato Sunrise. Se è ancora marchiato UPC, ditelo subito all’assistenza clienti e fatevene mandare uno marchiato Sunrise. Insistete e siate inamovibili. Qui sotto spiego perché.

---

Piccola premessa per i non svizzeri: in quasi tutta la Confederazione la TV è diffusa via cavo coassiale da molti anni, dapprima in formato analogico e poi in formato digitale. Le tipiche antenne sui tetti, così diffuse in altri paesi, qui sono rarissime. Oggi c’è la concorrenza dei canali TV satellitari e dello streaming via Internet, ma “la via cavo”, come si chiama comunemente qui, è ancora diffusissima. Sul coassiale viaggia anche Internet, e qui al Maniero Digitale ho una connessione di questo tipo che mi offre un gigabit in download e 100 megabit in upload.

Il mio provider, sia per Internet sia per la TV, è Sunrise. Prima avevo UPC, ma UPC si è fusa con Sunrise e così alcuni mesi fa sono diventato cliente Sunrise (e in questa migrazione sta, temo, l’origine di tutte le mie tribolazioni).

La migrazione inizialmente è andata bene: è cambiato il software sul TV Box (il ricevitore che prende il segnale digitale dal cavo coassiale e lo passa alla TV tramite cavo HDMI), la Dama del Maniero ed io abbiamo continuato a ricevere i programmi TV, e anche il servizio Internet è stato erogato senza interruzioni (a parte il tempo di installare un nuovo “modem” per gestire la connessione a 1 gigabit).

---

Il 5 dicembre scorso la Dama mi ha segnalato che la sua Apple TV personale (foto qui accanto, che mostra solo il monitor ma non l’Apple TV vera e propria) non le permetteva più di vedere i programmi TV tramite l’apposita app di Sunrise. Compariva sullo schermo la dicitura “Accesso non possibile - Per utilizzare la Sunrise TV App sulla tua piattaforma TV, hai bisogno di un abbonamento attuale a Sunrise TV con o senza Sunrise TV box”, seguita dalla richiesta di digitare di nuovo nome utente e password. Anche il TV Box non dava più accesso, con un codice di errore CS9993. Un guasto strano, visto che la Apple TV riceve il servizio TV di Sunrise via Internet (e la connessione a Internet era perfettamente funzionante) mentre il TV Box riceve il servizio TV di Sunrise tramite cavo coassiale.

Ho pensato a un errore di digitazione delle credenziali (erano giuste), poi a un errore di software (ho rimosso e reinstallato l’app di Sunrise), poi a un difetto della Apple TV (ho reinstallato il sistema operativo e ho fatto tutti gli aggiornamenti), ma niente da fare. Intanto il diagnostico del TV Box dava segnale inesistente sul cavo (cosa impossibile, visto che Internet funzionava).

Dopo aver aspettato qualche giorno pensando che potesse trattarsi di un malfunzionamento temporaneo del servizio, il 9 dicembre ho iniziato il calvario delle chiamate al servizio clienti: gentilissimo, per carità, e dotato di pazienza infinita, ma chiaramente gestito da persone che devono seguire un diagramma di flusso scritto da altri e non sanno come funziona l’hardware. Ho spiegato il problema, precisando che ero un ex utente UPC, descrivendo dettagliatamente tutti i sintomi e aggiungendo che avevo già provato a reinstallare sia l’app sia il sistema operativo sulla Apple TV. Ma gentilmente e pazientemente mi hanno chiesto di rifare tutto quanto da capo. Ovviamente non è servito a nulla.

Poi gentilmente e pazientemente hanno provato a cambiarmi nome utente e password tramite i loro sistemi, e io pazientemente ho immesso le nuove credenziali nell’Apple TV. Altrettanto ovviamente, non è servito a nulla neanche questo. La Apple TV ha continuato a non dare accesso ai servizi Sunrise. 

Intanto il TV Box (lo scatolotto nero appena visibile sotto il televisore, sulla destra, nella foto qui accanto) aveva cambiato errore: a questo punto dava il codice Errore del conto CS1011 e diceva “Non siamo in grado di recuperare i dettagli del tuo account. Per favore contattaci”. Cosa che appunto stavo facendo, ma non stava servendo a nulla.

Siamo andati avanti così per un paio di giorni, con infiniti tentativi di cambio password e nome utente e persino con un reset da remoto del modem (fatto prima che io li potessi fermare e costatomi una mezza giornata per reimpostare tutta la configurazione), mentre io dicevo che era chiaro che era inutile continuare a tentare con cambi di password perché non si trattava di un errore nel mio dispositivo o nel suo software ma c’era un problema nella loro gestione degli accessi. Infatti se immettevo nell’Apple TV le credenziali giuste compariva “Accesso non riuscito”; se invece sbagliavo intenzionalmente le credenziali, mi diceva “Nome utente o password non valido”.

Paradossalmente, però, le credenziali funzionavano perfettamente se immesse nell’app Sunrise per telefonini o nel sito Web di Sunrise per vedere la TV in streaming tramite browser.

Dopo l’ennesimo tentativo infruttuoso di rianimare l’Apple TV, l’assistenza clienti telefonica si è arresa e ha finalmente deciso di inviare un tecnico al Maniero.

Ci siamo ingegnati guardando la TV via browser e tramite il servizio concorrente (Zattoo) in attesa della Fatidica Visita.

---

Il 19 dicembre è arrivato il tecnico della Cablex, l’azienda che fa l’assistenza in loco per i clienti Sunrise. ha fatto qualche test di base, confermando che il segnale sul cavo coassiale era ottimo, ha ascoltato pazientemente la mia spiegazione dei sintomi e ha visto che non stavo vaneggiando, e inizialmente ha alzato bandiera bianca: un Apple TV che non accettava le credenziali e un TV Box che non riusciva a recuperare i dettagli dell’account erano chiari indicatori di un problema di gestione delle credenziali stesse (ma che sorpresa), però il servizio tramite browser che le accettava era un controsenso. In ogni caso, tutto indicava un problema nel backend di Sunrise.

All’ultimo momento, però, gli è caduto l’occhio sul frontale del TV Box e si è accorto che era ancora marchiato UPC. Era ancora quello vecchio, di quando eravamo clienti UPC. Sunrise avrebbe dovuto mandarci quello nuovo, ma non lo aveva fatto. E quello vecchio aveva continuato a funzionare per mesi, e quindi io non mi ero posto il problema di doverlo eventualmente sostituire.

Il tecnico ha ordinato subito per telefono un TV Box nuovo, e ha spiegato che tutto si sarebbe risolto installandolo: infatti la gestione dell’autenticazione dell’account dipende non solo da nome utente e password, ma anche dalla presenza online del TV Box abbinato all’account (l’abbinamento è basato sul MAC Address del TV Box). In altre parole, il messaggio della app di Sunrise su Apple TV “Per utilizzare la Sunrise TV App sulla tua piattaforma TV, hai bisogno di un abbonamento attuale a Sunrise TV con o senza Sunrise TV box” è totalmente ingannevole: il TV Box ci vuole eccome.

Non abbiamo pagato nulla e il TV Box nuovo è arrivato il giorno dopo: non appena installato, tutto ha ripreso a funzionare, anche la Apple TV.

---

La spiegazione più probabile di questo gran garbuglio è che quando UPC e Sunrise si sono fuse, il backend di UPC è rimasto attivo in parallelo a quello di Sunrise per un periodo di transizione (e quindi il vecchio TV Box ha continuato a funzionare); alla fine di questo periodo, però, il vecchio backend è stato disattivato e quindi chi aveva ancora il vecchio TV Box si è trovato senza servizio di colpo e soprattutto senza motivo apparente.

Tutto si sarebbe risolto immediatamente se il servizio clienti avesse prestato attenzione alla mia segnalazione del fatto che ero un ex cliente UPC e mi avesse chiesto se avevo ricevuto un TV Box aggiornato; se i messaggi diagnostici fossero stati almeno vagamente informativi invece di creare confusione; o se qualcuno avesse notato che c’era una discrepanza fra il numero di utenti ex UPC e il numero di TV Box nuovi inviati. Insomma, se siete ex clienti UPC e ora siete clienti Sunrise, mi raccomando: per prima cosa controllate che sul vostro TV Box (lo scatolotto nero) ci sia il marchio Sunrise e non quello UPC.

Spero che questi appunti possano essere utili ad altre anime dannate.

Pubblicazione iniziale: 2022/11/29 13:33. Ultimo aggiornamento: 2022/12/13 9:10.

La Provincia di Como ha pubblicato il 28 novembre un articolo (copia permanente) a firma di Marco Palumbo che titola “Svizzera, stop ai veicoli elettrici e in autostrada si va a 100 all’ora”. Il titolo fa sembrare che sia una descrizione della situazione attuale o prossima ventura (il sottotitolo parla di “misure in vigore dal 12 dicembre”), e ovviamente gli ottusangoli che odiano le auto elettriche ne gongolano pateticamente (sulla scia per esempio di Francesca Totolo).

Un articolo su HWupgrade (copia permanente) segue la stessa falsariga, usando il titolo “Clamoroso dietrofront della Svizzera: auto elettriche vietate, limite a 100 km/h e riscaldamento a 18 gradi” per un articolo a firma di Massimiliano Zocchi. 

L’8 dicembre Il Sole 24 Ore ha titolato “Auto elettriche: la Svizzera vicina al divieto di circolazione. Svezia stop agli incentivi”, a firma di Giulia Paganoni (copia permanente).

Ma tutti questi titoli sono falsi e ingannevoli. Abito in Svizzera (vicino a Lugano) e ho un’auto elettrica. Posso dire, con la certezza dell’esperienza diretta sul posto, che non c’è nessuna restrizione alla circolazione delle automobili elettriche.

L’articolo de La Provincia spiega che l’idea di limitare l’uso dei veicoli elettrici per gestire la penuria energetica è solamente un’ipotesi. Cito infatti dall’articolo in questione:

[...] l’esecutivo federale ha persino paventato l’ipotesi di introdurre «il divieto di circolazione delle auto elettriche, in caso di penuria energetica»

Il presunto “divieto” non è in vigore oggi e non è previsto che entri automaticamente in vigore dal 12 dicembre. 

La frase virgolettata da Marco Palumbo sembra essere tratta da questo documento PDF del Consiglio Federale, che è un documento consultivo, non dispositivo: è una sorta di FAQ sulle misure per contrastare la penuria di energia elettrica.

Fra le tante misure in consultazione, si propone di limitare a 100 km/h la velocità sulle strade nazionali (attualmente il limite autostradale è 120 km/h) perché “chi viaggia sotto i 100 km/h dovrà ricaricare di meno le batterie, riducendo così il consumo di elettricità.” Quindi nessuno “stop”, ma semmai una eventuale limitazione dei consumi.

Inoltre la condizione di “penuria persistente” citata dal documento è una situazione assolutamente eccezionale. Chi volesse approfondire la questione invece di fermarsi a un titolo sensazionalistico può leggere queste fonti: Energia - situazione attuale (Ufficio federale per l’approvvigionamento economico del Paese); Provvedimenti in caso di penuria di elettricità (Dipartimento federale dell’economia, della formazione e della ricerca); Energia: in consultazione le misure per far fronte a un’eventuale penuria di elettricità (Consiglio Federale); Ticinonews; La Regione; TVsvizzera.it.

2022/12/13 9:10. Sulla questione è intervenuto oggi il Corriere del Ticino con un editoriale di Paride Pelli che nota che “Se non si tratta di fake news, poco ci manca”.

Pubblicazione iniziale: 2022/09/12 10:26. Ultimo aggiornamento: 2022/09/16 8:35.

In breve: La foto del manifesto che invita gli svizzeri a segnalare i vicini che tengono il riscaldamento a più di 19 gradi è un falso. Nessun manifesto o invito del genere è stato diffuso dalle autorità della Confederazione, che hanno formalmente smentito l’immagine.

Si tratta quasi sicuramente di un fotomontaggio realizzato inserendo digitalmente il falso manifesto in una fotografia stock di una bacheca per manifesti. 

In dettaglio: Sta circolando in maniera virale su Internet e in particolare sui social network l’immagine di un presunto manifesto che reca il logo ufficiale della Confederazione Svizzera, il numero del servizio stampa e informazioni dell’Ufficio Federale dell’Energia, la dicitura “Heizt der Nachbar über 19 Grad? Dann informieren Sie uns” (“Il vicino tiene il riscaldamento a più di 19 gradi? Allora avvisaci”) e la promessa di anonimato e di una ricompensa di 200 franchi (circa 200 euro).

L’Ufficio Federale dell’Energia ha dichiarato di non avere nulla a che fare con questa immagine e ne ha preso formalmente le distanze, secondo quanto riferito da 20min.ch e da Mimikama.at, che vi invito a leggere per i dettagli. Non si sa chi sia l’autore del falso, ma Mimikama nota che la sua prima apparizione è stata notata in un forum russo.

La Regione segnala che “Fra chi ci è cascato con tutte le scarpe, troviamo anche dei politici, come l’europarlamentare italiano, in quota Lega, Marco Campomenosi”. È troppo chiedere ai politici di essere più responsabili nell'uso dei social? Perché è difficile lottare contro le fake news se sono loro stessi a condividerle. 

 ---

21:20. L’indagine tecnica del collega David Puente, pubblicata su Open, ha trovato la fonte di entrambe le immagini usate per costruire quella falsa, rileva che il falso manifesto è stato promosso con forza dalla propaganda russa e che anche Maria Giovanna Maglie (opinionista ed ex giornalista Rai) ha condiviso la bufala.

---

2022/09/15 00:15. La Regione riferisce che la polizia federale svizzera ha “aperto ufficialmente un’inchiesta dopo aver ricevuto una denuncia per uso abusivo dello stemma e altri elementi della Confederazione.” Il Dipartimento federale dell’ambiente, dei trasporti, dell’energia e delle comunicazioni (DATEC) ha pubblicato sul proprio sito un avviso (copia permanente): “Notizia falsa - Da sabato circolano sui social media falsi post nei quali si invita a segnalare alla Confederazione i casi in cui un vicino riscalda la propria casa oltre i 19 gradi. La Confederazione non ha nulla a che fare con questo appello e ne prende le distanze in ogni forma. Il logo della Confederazione e il numero di telefono riportati sull'immagine sono stati utilizzati in modo abusivo. Non esistono manifesti né appelli di questo genere della Confederazione, si tratta ovviamente di un caso di manipolazione. La Confederazione ha avviato accertamenti a riguardo.”

Maggiori informazioni e analisi dettagliate sono su RSI e Swissinfo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Il Centro nazionale per la cibersicurezza (NCSC) della Confederazione Svizzera ha annunciato oggi che l’amministrazione federale ha acquisito una piattaforma centrale per gestire dei bug bounty “allo scopo di potenziare la sicurezza dell’infrastruttura IT e ridurre i ciber-rischi in modo efficace ed economicamente vantaggioso”. L’annuncio è stato dato anche dal Dipartimento federale delle finanze.

Secondo lo schema classico dei bug bounty, gli hacker verranno invitati a testare la sicurezza dei sistemi informatici dell’amministrazione rispettando un regolamento e dei vincoli di riservatezza. Il progetto verrà gestito in collaborazione con la società lucernese Bug Bounty Switzerland SA. I dettagli delle condizioni di partecipazione non sono ancora stati resi pubblici.

Non è la prima esperienza federale del genere: per esempio, nel 2021 è stato realizzato un progetto pilota che ha scoperto dieci vulnerabilità (una delle quali era considerata critica) nei sistemi informatici del Dipartimento federale degli affari esteri e del Parlamento. Un analogo test pubblico di sicurezza è stato effettuato a giugno 2021 per verificare la sicurezza dell’app Covid Certificate di gestione dei certificati Covid. Nel 2019 un bug bounty organizzato dalla Posta svizzera per testare il sistema di voto elettronico, offrendo premi fino a 50.000 CHF, ha rivelato errori che hanno poi portato alla sospensione del progetto di e-voting.

I bug bounty possono sembrare strani ai non addetti ai lavori: vengono spesso considerati l’equivalente di pagare uno scassinatore per far valutare la sicurezza di una cassaforte. In realtà il paragone andrebbe fatto coinvolgendo un fabbro più che uno scassinatore. In ogni caso, si è visto che il sistema funziona e costa relativamente poco, tant’è vero che praticamente tutte le società informatiche più grandi del mondo offrono bug bounty, spesso molto sostanziosi.

Fonti aggiuntive: La Regione, RSI, Swissinfo, Netzwoche, Bugbounty.

Pagina del sito dell’Amministrazione federale delle contribuzioni della Confederazione.

Ho scritto subito una mail chiedendo rettifica, ma prima ho immortalato questa perla, segnalata da Cherubina Ravasi e @latraduzionedim.

10:25. La perla è già stata corretta a tempo di record.

16.15. Per restare in tema di tacchini e di traduzioni farlocche, Marco e SpiderVan mi segnalano nei commenti una spettacolare stupidaggine di traduzione in Rambo a 1:06:28: lo sceriffo va in un bar e, secondo la traduzione italiana, ordina un tacchino.

Nessuno che si sia chiesto se avesse senso ordinare un tacchino in un locale del genere. E ci è andata bene che il labiale era corto, altrimenti chissà, avremmo potuto assistere allo spettacolo di Brian Dennehy che ordina un tacchino selvatico. Perché in originale chiede un Wild Turkey, che è una nota marca di whiskey.

Da pochi giorni, quindi, ho tre cittadinanze: svizzera, britannica e italiana. Non è obbligatorio rinunciare a nessuna, ma credo che cercherò di semplificare la mia posizione. Qui ho messo radici solide e mi sento a casa.

Cosa assai importante, da oggi ho diritto di voto in Svizzera e potrò quindi partecipare più direttamente alla vita politica del paese e avere voce nelle scelte locali e federali che toccano me e la mia famiglia.

Per chi si stesse chiedendo cos’è l’attinenza che si legge nell’immagine c’è un apposito spiegone. E sì, in burocratese svizzero italiano si dice acquistare la cittadinanza. La procedura di naturalizzazione è descritta qui.

Il Centro nazionale per la cibersicurezza svizzero (NCSC) ha pubblicato pochi giorni fa un avviso che segnala il ritorno di Emotet, un malware che il Centro non esita a definire “il malware più pericoloso al mondo”.

Si parla di ritorno perché a gennaio 2021 Europol aveva annunciato un’importante operazione contro Emotet che aveva permesso di mettere offline i server di comando e controllo e di smantellare la botnet associata a questo malware.

Ma l’NCSC riferisce che “negli ultimi giorni esperti di sicurezza di tutto il mondo hanno segnalato nuovi attacchi perpetrati con questo malware. Da un paio di giorni Emotet è presente anche in Svizzera.” Gli attacchi si basano sull’invio di mail con “allegati Excel contenenti macro nocive” e i mittenti hanno indirizzi con dominio .ch. Il Centro raccomanda pertanto di “di bloccare subito i documenti di Microsoft Office sui gateway di posta elettronica (.xlsm, .docm)”.

Un elenco dei siti infettati da Emotet è disponibile qui presso Abuse.ch.

Emotet è nato come trojan dedicato alla penetrazione dei sistemi informatici delle vittime con lo scopo di ottenere le credenziali di accesso ai loro conti bancari, ma con il passare del tempo i suoi vari gestori lo hanno trasformato in un cosiddetto dropper: un malware che fa da puro agente di penetrazione e poi, una volta arrivato a destinazione, scarica il malware vero e proprio.

Ê anche nato un vero e proprio mercato di compravendita dei siti infettati: spesso un gruppo criminale usa Emotet per entrare in un sistema informatico e poi ne vende il controllo a un altro gruppo, e così via: l’ultimo della catena di acquisti lo usa poi per installare un classico ransomware che cifra i dati della vittima, alla quale viene poi chiesto un riscatto per sbloccare i dati.

Emotet viene considerato particolarmente pericoloso anche perché il suo aspetto può ingannare anche un utente piuttosto smaliziato.

This is what it looks like out of the box on Windows 11. How on Earth is the user supposed to know this is malicious?

Trusted App ✅
Publisher Adobe Inc pic.twitter.com/eEntoWgCch

— Kevin Beaumont (@GossiTheDog) December 1, 2021

L’NCSC prosegue dicendo che una volta che Emotet è entrato in un sistema informatico “è quasi impossibile liberarsene. Ha un’elevata capacità di adattamento ed è ad esempio in grado di leggere i contatti e i contenuti delle e-mail nelle caselle di posta elettronica dei sistemi infetti”. I dati raccolti con questa tecnica consentono di “lanciare altri attacchi. Le nuove vittime ricevono e-mail fasulle apparentemente inviate da collaboratori, soci d’affari o conoscenti e vengono convinte ad aprire un documento Word e ad attivare le macro Office.”

Paradossalmente, le reti informatiche che maggiormente ospitano i siti di distribuzione di malware sono proprio quelle di Microsoft, come segnala Abuse.ch:

The top networks hosting malware distribution sites in November 2021 were...

6'961 MICROSOFT 🇺🇸
5'031 CHINA169 🇨🇳
1'973 CHINANET 🇨🇳
1'894 BSNL 🇮🇳
1'177 UNIFIEDLAYER 🇺🇸
900 WIND Telecom 🇩🇴
698 PUBLIC-DOMAIN-REGISTRY 🇮🇳
591 GOOGLE 🇺🇸
374 ALIBABA 🇨🇳
311 DROPBOX 🇺🇸

— abuse.ch (@abuse_ch) December 1, 2021

Il Centro nazionale per la cibersicurezza propone infine dei consigli per proteggersi da Emotet:

• Siate prudenti anche quando ricevete e-mail da mittenti apparentemente noti, in particolare se contengono allegati e link.
• Se sospettate che l’e-mail è fasulla contattate direttamente il mittente per verificare l’attendibilità del contenuto.
• Bloccate i documenti Office contenenti macro sui programmi di posta elettronica e proxy.
• Installate subito tutti gli aggiornamenti di sicurezza disponibili per i sistemi operativi, i browser, client di posta elettronica e programmi di Office.
• Proteggete gli accessi VPN tramite un’autenticazione a due fattori e installate le patch su tutti i dispositivi esposti.
• Effettuate regolarmente un backup dei dati su un supporto di archiviazione esterno e custoditelo offline.
• Conservate almeno due generazioni di backup.
• Le imprese dovrebbero continuamente sorvegliare gli attacchi sulle proprie reti.
• Inviate le e-mail nocive a reports@antiphishing.ch oppure segnalatele al servizio di contatto dell’NCSC tramite l’apposito modulo.

Protonmail è un servizio svizzero di e-mail molto conosciuto, che ha la fama di proteggere le identità dei suoi utenti e la segretezza delle loro comunicazioni. Forse avete notato un esempio di questa fama nel più recente Delirio del Giorno, in cui un mio hater ha pensato di rendersi anonimo usando appunto Protonmail. Ma un suo utente è stato identificato e poi arrestato dalla polizia francese. Come è possibile?

Le promesse di privacy di Protonmail sono molto forti: il servizio dichiara di non raccogliere dati degli utenti e di usare la crittografia end-to-end. O meglio, dichiarava. A gennaio 2021, infatti, Protonmail scriveva sulla propria pagina iniziale: “Non sono necessarie informazioni personali per creare il tuo account di mail sicuro. Per impostazione predefinita, non conserviamo log IP che possono essere collegati al tuo account di mail anonimo.” In originale: “No personal information is required to create your secure email account. By default, we do not keep any IP logs which can be linked to your anonymous email account.”

Ma oggi e da pochi giorni al posto di questa dichiarazione ce n‘è un’altra di tono ben più blando e vago: “Protonmail è mail che rispetta la privacy e mette al primo posto le persone (non i pubblicitari). I tuoi dati appartengono a te, e la nostra crittografia lo garantisce. Forniamo anche un gateway per la mail anonima.” In originale: “ProtonMail is email that respects privacy and puts people (not advertisers) first. Your data belongs to you, and our encryption ensures that. We also provide an anonymous email gateway.”

È infatti emerso che Protonmail ha risposto a una richiesta legale vincolante dei Dipartimento federale di giustizia e polizia di fornire alla polizia svizzera l’indirizzo IP di un utente e i dettagli dei dispositivi usati da quell’utente per accedere a quella casella di mail. Questi dati hanno consentito l’identificazione dell’utente e il suo successivo arresto.

La polizia svizzera ha eseguito un mandato ottenuto dalle autorità francesi, che tramite lnterpol l’hanno trasmesso ai colleghi svizzeri. La persona coinvolta è legata a un gruppo denominato Youth for Climate, secondo quanto segnalato da Secoursrouge.org e da Andy Yen di Protonmail. 

Yen ha anche pubblicato su Reddit una dichiarazione sulla vicenda che fornisce ulteriori dettagli, e Protonmail ha anche diffuso un lungo approfondimento specifico sul proprio sito, dal quale cito questa precisazione: “... secondo la legge svizzera, Proton può essere obbligata a raccogliere informazioni su account appartenenti a utenti che sono oggetto di un’indagine penale svizzera. Questo ovviamente non viene fatto di default, ma soltanto se Proton riceve un ordine legale per un account specifico.”

Dal punto di vista tecnico generale, va ricordato che la cifratura end-to-end protegge il contenuto dei messaggi, ma non nasconde la loro origine. In condizioni normali, l’indirizzo IP dal quale l’utente si collega a Protonmail, per esempio, è sufficiente a rintracciarlo e identificarlo. Anche il tipo di browser usato per l’accesso lascia tracce usabili per fare fingerprinting: marca, versione, lingua utilizzata e altro ancora. Chi ha queste esigenze deve ricorrere a soluzioni che mascherino questi dati.

L’informativa sulla privacy di Protonmail, aggiornata pochi giorni fa, dice ora chiaramente che in caso di violazione della legge svizzera Protonmail può essere obbligata a monitorare o registrare l’indirizzo IP di una persona coinvolta in un’indagine penale svizzera.

In altre parole: se per caso pensavate di poter usare Protonmail in modo assolutamente anonimo semplicemente aprendo un account, tenete presente che non è affatto così semplice.

Fonte aggiuntiva: The Register.

L’azienda dichiara di non aver pagato il riscatto richiesto (400.000 dollari) ed è tornata online dopo una breve pausa grazie alla disponibilità di copie di backup dei dati.

Alcuni dati degli utenti, però, sono stati trafugati dai criminali e quindi sono a spasso in Rete, probabilmente in vendita al miglior offerente.

Non ho trovato dettagli tecnici sull’attacco, a parte l’indicazione che la richiesta di riscatto è stata recapitata a Comparis “sotto forma di un URL impiantato in un’area sicura del sistema informatico”.

Ho ricevuto da Comparis una mail di avviso (ho rimosso alcuni link e dettagli personali), disponibile in copia anche sul sito, che parla pittorescamente di “grande energia criminale”:

Cara lettrice, caro lettore

Le inviamo questo messaggio perché da noi è registrato il suo indirizzo e-mail topone@pobox.com.

Il 7 luglio, il Gruppo Comparis è stato oggetto di un attacco informatico, compiuto con grande energia criminale. Comparis e le sue consociate hanno immediatamente adottato tutte le misure necessarie alla protezione di tutti i dati.

In seguito al cosiddetto attacco ransomware sono stati bloccati vari sistemi informatici del Gruppo Comparis. Nel frattempo il sito web comparis.ch è di nuovo disponibile, funziona normalmente ed è garantito.

Purtroppo, dalle analisi dei dati ora effettuate risulta che gli autori dell’attacco sono riusciti ad accedere ad alcuni dati interni e rilevanti sulla clientela del Gruppo Comparis (p. es. indirizzi e-mail dei nostri utenti).

Lei cosa può fare?

Ha un account da noi? Allora le consigliamo di cambiare la sua password il prima possibile.

Se i suoi dati sono stati interessati dall’attacco, non possiamo escludere che possano essere utilizzati da terzi per scopi commerciali o fraudolenti. La polizia cantonale di Zurigo offre qui una panoramica sul fenomeno (disponibile solo in tedesco). In generale le consigliamo di essere estremamente prudente se la contatteranno terzi che si fanno passare per collaboratori di banche o compagnie assicurative e le chiederanno di fornire determinate informazioni. La preghiamo inoltre di comunicarci eventi del genere per consentirci di segnalarli alle autorità incaricate delle indagini.

Ulteriori informazioni sull’attacco a Comparis sono disponibili nelle nostre FAQ. Per informazioni generali, poi, può consultare la pagina web della polizia cantonale di Zurigo Polizia per la criminalità informatica – Problemi frequenti (disponibile solo in tedesco).

Prendiamo molto sul serio l’accaduto. Abbiamo adottato immediatamente ogni misura necessaria per la protezione di tutti i dati. Il Gruppo Comparis si è già rivolto alle autorità preposte al perseguimento penale, ha sporto denuncia penale e collabora a stretto contatto con gli specialisti in criminalità informatica della polizia di Zurigo. Anche l’Incaricato federale della protezione dei dati e della trasparenza è stato informato.

Ci scusiamo per tutti gli inconvenienti causati.

Cordiali saluti,

Il team Comparis 

Inoltre fate molta attenzione a eventuali prese di contatto telefoniche, via mail o sui social network di persone che si spacciano per rappresentanti di banche o servizi, e della stessa Comparis, e sembrano credibili perché hanno alcune informazioni su di voi. Queste informazioni possono essere state acquisite da attacchi come questi. In caso di telefonate o SMS, infine, non fidatevi del numero che compare: può essere facilmente falsificato.

Fonti aggiuntive: La Regione, Swissinfo, Tages-Anzeiger.

Ultimo aggiornamento: 2021/06/25 15:25.

La fissa dei giornalisti per i termini inglesi ha creato l’errore del “green pass”, che è il nome sbagliato di quello che in realtà si chiama certificato Covid digitale europeo, il documento concepito per consentire di varcare le frontiere interne europee in modo agevolato. Il green pass, invece, è il permesso israeliano di accesso ad attività commerciali e uffici per i vaccinati; la possibilità di attraversare frontiere nazionali non c’entra nulla.

Questo certificato europeo consentirà di attestare l’avvenuta vaccinazione, la guarigione o il risultato negativo di un test a partire dall’1 luglio a livello europeo. Il certificato equivalente svizzero, compatibile con quello europeo, è già pronto e in Canton Ticino è stato distribuito in forma elettronica a tutti i vaccinati con un SMS ieri (circa un migliaio di persone hanno ricevuto l’SMS il giorno precedente come prova generale). Stamattina circa la metà dei certificati era già stata scaricata, secondo il sito ufficiale del Canton Ticino.

Chi volesse richiedere questo certificato trova tutte le informazioni del caso presso www.ti.ch/certificato.

A me l’SMS è arrivato alle 19.29. Il messaggio conteneva un link personalizzato: l’ho seguito e sono arrivato a questa pagina di registrazione.

Qui ho immesso il mio indirizzo di mail, ho spuntato la casella Desidero ottenere un certificato COVID e letto l’informativa sulla privacy linkata nella pagina.

Pochi secondi dopo ho ricevuto questa risposta, che è una pagina standard pubblica:

Qualche altro secondo più tardi mi è arrivata una mail contenente un link personalizzato per scaricare il certificato:

Cliccando sul link mi è stato chiesto di immettere il mio numero di cellulare e poi di immettere il codice a sei cifre che ho ricevuto via SMS sul telefonino. A quel punto è comparso un pulsante Scarica.

Il certificato è arrivato sotto forma di PDF in formato A4 con questo aspetto:

Contiene i dati essenziali in italiano e in inglese: la malattia per la quale sono stato vaccinato; il numero di dosi; il tipo, prodotto e fabbricante del vaccino (Comirnaty è il marchio registrato del vaccino Pfizer/BioNTech); la data e il paese di vaccinazione; il mio nome, cognome e data di nascita; e un URN (Uniform Resource Name) abbinato a un codice QR. Le specifiche tecniche dell’URN sono pubblicate qui.

---

Questo certificato, autenticato dall’Ufficio federale della sanità pubblica (grazie alla firma digitale generata usando i miei dati) mi darà accesso a grandi eventi e manifestazioni in Svizzera (nei casi previsti) e dovrebbe facilitare l’attraversamento delle frontiere, perché basterà una scansione del codice QR e un controllo di un documento d’identità per documentare che sono vaccinato.

Il foglio A4 non è molto pratico da portare in giro, per cui ho provato subito l’app apposita che fa da “portadocumenti”, ossia Covid Certificate (Android; iOS). Ne avevo parlato in anteprima qualche giorno fa. 

Ho lanciato l’app, ho letto le brevi informazioni di presentazione e poi ho cliccato su Aggiungere. L’app mi ha chiesto (ovviamente) il permesso di accedere alla fotocamera, che ho accettato solo per questa volta, e ho fatto la scansione del codice QR dal PDF stampato (si può fare anche partendo dal PDF visualizzato su uno schermo).

Qualche foto (l’app saggiamente non consente screenshot, per cui accontentatevi di queste immagini fatte di corsa):

---

Sono insomma a posto: ho il certificato su PDF, su carta e nell’app (che, fra l’altro, consente di archiviare più di un certificato, come ho verificato con quello della Dama del Maniero). Mi resta solo da levarmi una curiosità: come funziona la verifica?

La verifica usa l’apposita app Covid Check (Android; iOS), che è liberamente installabile da chiunque. Ho provato a scansionare il mio certificato Covid stampato, e l’app mi ha mostrato soltanto queste informazioni: validità, nome, cognome e data di nascita. Idem quello della Dama. Questo vuol dire che i verificatori non sanno se la persona che verificano è vaccinata o ha fatto il Covid o ha fatto un tampone negativo.

Dai commenti qui sotto risulta che l’app verifica soltanto i codici QR rilasciati dall’autorità sanitaria svizzera: quelli di altri paesi vengono letti ma non verificati.

Un dettaglio interessante: l’app di verifica funziona anche senza connessione a Internet. Sembra quindi che il controllo avvenga completamente in locale, senza mandare dati ad alcun server centrale, tutelando quindi fortemente la riservatezza (l’informativa sulla privacy dell’app di verifica è qui). 

Mi restano solo due dubbi:

• Il primo è che non ho capito come funziona la revocabilità: visto che per poter sapere se un certificato è stato revocato presumo che debba scaricare periodicamente (da dove? Quando?) dei dati per sapere quali certificati sono stati revocati. Secondo l’informativa di privacy di Covid Check, “Le applicazioni per la conservazione dei certificati COVID-19 necessitano dell’elenco dei certificati di firma per verificare la validità dei certificati memorizzati nell’app. Le applicazioni per la verifica dei certificati COVID-19 necessitano dell’elenco dei certificati di firma per verificare la validità dei certificati scansionati. Il sistema d’informazione elabora solo i certificati di firma, quindi non tratta dati personali... L’UFIT gestisce un sistema d’informazione che permette di comparare i certificati con quelli revocati e che a tal fine contiene l’identificativo univoco dei certificati revocati. L’elenco degli identificativi dei certificati revocati è messo a disposizione delle applicazioni per la verifica e la conservazione dei certificati COVID-19. Questo elenco consente alle applicazioni per la conservazione dei certificati COVID-19 di verificare la validità e lo stato di revoca dei certificati COVID-19 archiviati nell’app. L’elenco consente alle applicazioni per la verifica dei certificati COVID-19 di verificare la validità e lo stato di revoca dei certificati scansionati con l’app. Dall’identificativo del certificato non è possibile risalire alle persone, quindi nessun dato personale è trattato in questo sistema.”
  
• Il secondo è questa segnalazione di Tio.ch secondo la quale l’“applicazione di verifica utilizzata da terzi può in teoria essere programmata non solo per controllare la validità o meno di un certificato, ma anche per leggere i dati relativi alla salute dell'utente”, tanto che l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha proposto una versione “light”del certificato che non conterrebbe dati sanitari ma sarebbe validata comunque dalla firma digitale.
  

In attesa di risolvere quest’ultimo dubbio, ora non mi resta che trovare un grande evento al quale partecipare (ma pare che non ci saranno restrizioni ridotte per chi ha il certificato Covid) oppure tentare l’attraversamento della frontiera (possibilmente dopo il primo luglio, quando in teoria le app di verifica dei certificati Covid saranno interoperabili).

----

2021/06/25 15:25. AgendaDigitale ha pubblicato un interessante confronto tecnico e giuridico fra il certificato Covid svizzero e quello italiano/UE. In sintesi: quello italiano offre maggiori tutele.

Pubblicazione iniziale: 2021/06/04 1:17. Ultimo aggiornamento: 2021/06/17 15:30.

Chiunque può testare la sicurezza del software che gestirà il “certificato Covid” svizzero che certificherà l’avvenuta vaccinazione, la guarigione o il risultato negativo di un test e sarà necessario o facilitante per esempio per viaggiare oltre frontiera e per partecipare alle grandi manifestazioni (secondo le modalità dettagliate qui e in queste FAQ). Il codice sorgente e la documentazione sono disponibili per l’esame qui su GitHub.

La versione svizzera del certificato Covid sarà compatibile con quella dell’UE (spesso chiamata impropriamente green pass dai giornalisti che si sono ispirati male a un sistema israeliano) e viceversa; sarà introdotta gradualmente a partire dal 7 giugno. 

2021/06/17:15.30. Il certificato è stato distribuito.

Il certificato Covid sarà in sostanza un codice QR non falsificabile, stampato su carta (o fornito come PDF) oppure contenuto all’interno di un’apposita app che fa da wallet. Il certificato conterrà una firma elettronica della Confederazione che consente la verifica del certificato stesso senza trasmettere o salvare dati personali.

L’app per gli utenti si chiamerà Covid Certificate; dovrebbe essere pubblicata dall’Ufficio Federale della Sanità Pubblica (UFSP) e dovrebbe quindi comparire per esempio qui nel Play Store Android (ci sarà anche una versione iOS) dal 7 giugno 2021. L’app sarà gratuita (fonte: Dipartimento Federale delle Finanze).

Ci sarà anche un’app per verificare i certificati, chiamata Covid Certificate Check,* e ci sarà un sito riservato ai generatori autorizzati di questi certificati, presso www.covidcertificate.admin.ch (attualmente non operativo).**

Il progetto è stato affidato alla società zurighese Ubique (la stessa che ha prodotto SwissCovid) e ad altre due aziende svizzere, basandosi sul protocollo sviluppato dall’EPFL e sotto la supervisione dell’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT), scrive Le Temps.

Ecco qualche screenshot dalla versione Android non definitiva dell’app per gli utenti in italiano (le altre lingue disponibili sono tedesco, francese e inglese):

Queste, invece, sono immagini non definitive dell’app per verificatori:

Il funzionamento dovrebbe essere grosso modo il seguente.

L’utente richiederà il certificato, che sarà disponibile entro fine giugno e verrà fornito dai centri di vaccinazione, dai medici, dagli ospedali, dalle farmacie e dai centri di test (come spiega la RSI) e potrà importarlo nell’app Covid Certificate facendone una scansione. Chi verrà vaccinato con l’ultima dose prima della fine di giugno (come me) dovrà consultare il sito del Cantone per informazioni su come richiedere il certificato; chi verrà vaccinato dopo la fine di giugno riceverà il certificato automaticamente in forma elettronica (o, su richiesta, in PDF sul posto), come descritto qui.

L’utente esibirà questo certificato su richiesta (nei casi previsti) a un verificatore, che userà l’app di verifica Covid Certificate Check per leggere il codice QR ed accertarsi che il certificato sia autentico e non sia stato revocato.

Il verificatore che usa l’app potrà vedere solo “il nome, il cognome, la data di nascita e l’indicazione della validità del certificato COVID” (comunicato stampa del 4/6).

Il PDF conterrà un grande codice QR e alcuni dati stampati in chiaro: nome, cognome e data di nascita del titolare; numero di dose, marca, fabbricante del vaccino; data di vaccinazione; paese; ente emittente. L’app, invece, mostrerà solo il codice QR e il nome e la data di nascita della persona, perlomeno nella schermata principale.

In termini di privacy, non ci sarà un archivio centrale: ogni persona dovrà provvedere a custodire il proprio certificato sul proprio dispositivo digitale o su carta. “I dati personali non sono salvati a livello centrale dall’Amministrazione federale e quelli necessari per la firma elettronica del certificato vengono cancellati dal sistema della Confederazione non appena il certificato è stato generato e trasmesso”, dice il suddetto comunicato stampa, e non viene fatto alcun tracciamento delle verifiche. In caso di smarrimento del certificato bisognerà richiederne uno nuovo.

---

La decisione di effettuare un test di sicurezza pubblico è stata annunciata dall’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT). Ulteriori dettagli verranno resi pubblici oggi (venerdì 4 giugno) e verranno pubblicati qui sul sito dell’UFSP.

Si tratta di un progetto open source di massima trasparenza: come dicevo, il codice sorgente è già liberamente esaminabile e disponibile su GitHub; le condizioni e regole di partecipazione al test di valutazione della sicurezza, con le relative garanzie di non perseguibilità, sono pubblicate sul sito del Centro Nazionale per la Cibersicurezza insieme al modulo per la notifica dei problemi riscontrati e all’elenco di quelli già scoperti (fra i quali figura una password hardcoded).

Il periodo di verifica pubblica è iniziato il 31 maggio scorso e complementa i test già condotti dall’Istituto Nazionale di Test per la Cibersicurezza (NTC). Non sono previste ricompense (niente bug bounty, insomma).

Oltre al codice sorgente delle app per Android e iOS e dei servizi di generazione dei certificati, con la documentazione delle loro architetture, su GitHub si trovano anche le presentazioni che descrivono l’aspetto, i principi e la tabella di marcia dell’app e del documento cartaceo.

Frugando un pochino nella documentazione si trovano anche la guida rapida e le istruzioni per i “superutenti” (gli incaricati di generare i certificati) e per la loro formazione. Nulla che interessi al comune cittadino, ma interessante per chi vuole studiare le procedure interne del sistema.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.