Pubblicazione iniziale: 2021/10/27 00:00. Ultimo aggiornamento: 2021/10/28 13:40.

Sto ricevendo numerose segnalazioni di codici QR come quello qui accanto, che alcune applicazioni di verifica dei “green pass” considerano validi ma che sono intestati ad Adolf Hitler. Successivamente si sono aggiunti altri codici QR intestati a Topolino, a Spongebob e ad altri.

Provate a scansionare i primi tre codici QR di questo articolo con l’app italiana VerificaC19 o con l’app svizzera equivalente, CovidCheck: restituiscono HITLER come cognome, ADOLF come nome e 01.01.1900 (oppure 01.01.1930) come data di nascita. Cosa più importante, queste app di verifica li accettano come validi.

A prima vista sembrerebbe essere una gravissima violazione dell’affidabilità del sistema dei green pass o certificati Covid digitali, che minerebbe alla base la fiducia nel sistema di verifica. In teoria, infatti, soltanto gli enti o operatori sanitari autorizzati hanno le chiavi crittografiche private che consentono di generare green pass validi e rendono impossibile alterare un green pass esistente immettendovi per esempio un nome differente (questa è la procedura di richiesta di autorizzazione in Svizzera, per esempio). Ma affermazioni straordinarie richiedono prove straordinarie, che per ora scarseggiano.

Questo è un altro codice QR (segnalato da @reversebrain) che fornisce lo stesso risultato, anche qui con il nome e cognome interamente in maiuscolo:

Questo, invece, risulta valido ma intestato a Adolf Hitler (in minuscolo tranne le iniziali), con data di nascita 01.01.1930:

Secondo le prime analisi (grazie @fuomag9 e alla sua app Green Pass Decoder), l’ente emittente indicato nei primi due codici QR sarebbe la CNAM francese (Caisse Nationale d’Assurance Maladie), ma secondo queste fonti e i commenti qui sotto il dato potrebbe essere stato immesso da chiunque abbia una chiave privata valida per l’emissione dei certificati Covid. La chiave privata, infatti, consente di firmare un certificato inserendovi qualunque valore o testo a piacere.

Il primo codice viene interpretato da Green Pass Decoder così:

{
	1:"CNAM",
	4:1697234400,
	6:1635199742,
	-260:{
		1:{
			"v":[
				{
					"ci":"URN:UVCI:01:FR:T5DWTJYS4ZR8#4",
					"co":"FR",
					"dn":2,
					"dt":"2021-10-01",
					"is":"CNAM",
					"ma":"ORG-100030215",
					"mp":"EU/1/20/1528",
					"sd":2,
					"tg":"840539006",
					"vp":"J07BX03"
				}
			],
			"dob":"1900-01-01",
			"nam":{
				"fn":"HITLER",
				"gn":"ADOLF",
				"fnt":"HITLER",
				"gnt":"ADOLF"
			},
			"ver":"1.3.0"
		}
	}
}

Il secondo codice viene letto da Green Pass Decoder come se fosse identico al primo, mentre il terzo viene decifrato come segue:

{
	4:1685101990,
	6:1635098906,
	1:"PL",
	-260:{
		1:{
			"v":[
				{
					"dn":1,
					"ma":"ORG-100001417",
					"vp":"J07BX03",
					"dt":"2021-07-11",
					"co":"PL",
					"ci":"URN:UVCI:01:PL:1/AF2AA5873FAF45DFA826B8A01237BDC4",
					"mp":"EU/1/20/1525",
					"is":"Centrum e-Zdrowia",
					"sd":1,
					"tg":"840539006"
				}
			],
			"nam":{
				"fnt":"HITLER",
				"fn":"Hitler",
				"gnt":"ADOLF",
				"gn":"Adolf"
			},
			"ver":"1.0.0",
			"dob":"1930-01-01"
		}
	}
}

Secondo queste info, dob è la data di nascita, fn è il cognome, gn è il nome, co è il paese di vaccinazione, dn è il numero di dosi ricevute, dt è la data di vaccinazione, is è l’ente che ha emesso il green pass, ma è il produttore del vaccino, mp è l’identificativo di prodotto del vaccino, sd è il numero totale di dosi, tg è la malattia coperta dal vaccino, vp indica vaccino o profilassi, ver è la versione dello schema, 4 indica la scadenza del codice e 6 indica la data di generazione del codice.

Su Raidforums c’è una discussione molto lunga e tecnica secondo la quale sembrerebbe che siano state trovate le chiavi private (o che siano state generate per forza bruta). Open ha indagato e dice che sembra che un utente polacco di Raidforums abbia creato un codice QR a nome di Hitler per dimostrare di essere in grado di farlo e offre il servizio a pagamento.

Se così fosse, chiunque potrebbe ottenere un green pass fraudolento e l’intero sistema sarebbe da buttare e rifare da capo (o almeno sarebbe necessario revocare tutte le chiavi private attuali e cambiarle) e in ogni caso il green pass avrebbe perso gran parte della sua credibilità presso l’opinione pubblica non esperta.

Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.”

--- 

2021/10/27 1:25. VerificaC19 non riconosce più come validi i codici QR mostrati qui sopra, o perlomeno questo è quello che dice l’app sul mio telefono Android, mentre altre persone mi dicono che la loro app continua a ritenerli validi:

L’app svizzera CovidCheck, invece, li riconosce ancora validi. 

---

2021/10.27 9:20. Oggi alle 9 circa ho registrato questi due video che documentano la situazione a quel momento (il rumore che sentite nei video è prodotto dalla mia gatta MiniCalzini, che è sorda e quindi non sa quanto è rumorosa quando fa le fusa):

 

---

2021/10/27 12:10. Ansa parla di chiavi sottratte e dice che “le chiavi che sono state sottratte sono state annullate e, di conseguenza, sono stati invalidati tutti i green pass generati con quei codici.”

---

2021/10/27 13:00. Ne parla anche Il Post. Sembra ormai piuttosto chiaro, anche da alcune verifiche tecniche che mi sono arrivate confidenzialmente, che almeno la chiave privata francese e quella polacca usate per firmare questi codici QR sono state rubate o ottenute in qualche altro modo.

Intanto c’è anche un altro codice QR, stavolta intestato a Rokotepassieu (cognome) Ota Yhteyttä Wickr (nome) con data di nascita 06.12.1917. Dai commenti mi dicono che Rokote in finlandese vuol dire “vaccino”, quindi Rokotepassieu starebbe per “Passi Vaccino EU”, e Ota Yhteyttä Wickr dovrebbe voler dire “contattami su Wickr”). Viene tuttora riconosciuto come valido da CovidCheck ma non da VerificaC19 (perlomeno sul mio telefono Android):

---

2021/10/27 14:15. VerificaC19 ora non riconosce più come valido il mio green pass svizzero. La faccenda si fa personale.

---

2021/10/27 16:40. La vicenda è approdata anche in Svizzera (LaRegione; RSI.ch). Intanto  Insicurezzadigitale.com segnala un sito nel Dark Web (la parte di Internet accessibile via Tor) che venderebbe green pass falsi a partire da 250 euro.

𝗨𝗽𝗱𝗮𝘁𝗲 #𝗚𝗿𝗲𝗲𝗻𝗣𝗮𝘀𝘀 𝗳𝗮𝗹𝘀𝗶: creato un sito sotto #Tor per la vendita.
🔹 https://t.co/Gne0kqYkmk
Via, @nuke86 pic.twitter.com/eGf3hIdwO5

— Claudio (@sonoclaudio) October 27, 2021

 

Per chiunque fosse tentato di acquistarne uno sentendosi particolarmente furbo, ho due spunti di riflessione:

• Il primo è che se sei disposto a violare la legge e a pagare 250 euro per qualcosa che potresti avere gratis semplicemente vaccinandoti, sei il bersaglio perfetto per gli spennapolli che popolano il Dark Web.
• Il secondo è che se lo comperi, non illuderti che duri più di qualche ora: basta che un singolo agente di polizia o addetto alla sicurezza ne compri uno per sapere quale chiave privata è stata usata per generare i green pass falsi e revocare quella chiave e con essa tutti i green pass truffaldini. Ma i soldi che hai mandato ai truffatori non saranno altrettanto revocabili.
  

---

2021/10/27 20:40. Mi è stata segnalata da fonte confidenziale l’esistenza di un codice QR che viene riconosciuto come green pass valido, sia da VerificaC19 sia da Covid-Check, ed è intestato a Mickey Mouse, data di nascita 31 dicembre 2001. Eccolo.

2021/10/28 00:25. Mi è arrivata la segnalazione di un altro codice QR falso ma validato dall’app di verifica svizzera, stavolta a nome di Spongebob Squarepants, nato l’1/10/1900, vaccinato il 27 settembre 2021 nel Regno Unito, con Ministry of Health come emittente del certificato, tecnicamente valevole fino al 27 settembre 2022.

.@DavidPuente @disinformatico Greenpass a nome di Spongebob Squarepants. Generati da portale; questo screenshot viene da 4chan. Il pass é valido con VerificaC19 (28/10 01:11pm con update del 27 alle 11:43) pic.twitter.com/0XiKefUoNj

— Andrea Santaniello 🏴‍☠️ (@lupetto_) October 27, 2021

Sulla base di tutto questo, di questa analisi di Denys Vitali, di quest’altra analisi, del fatto che i green pass falsi sono apparentemente firmati dalle chiavi di numerosi paesi differenti e anche di alcune informazioni ricevute da fonti confidenziali, sembra che la spiegazione più plausibile (per ora, sottolineo, ipotetica) sia questa:

• alcuni membri di piccole organizzazioni sanitarie autorizzate a emettere i certificati Covid avrebbero deciso di abusare della fiducia concessa loro e della scarsità di controlli interni (logici e fisici) e quindi avrebbero creato questi codici QR falsi per burla o per soldi.
• Altri truffatori, nei forum online di criminali, avrebbero deciso di dire di poter generare green pass a pagamento e avrebbero usato questi green pass farlocchi come “dimostrazione” delle loro capacità. Gli allocchi pagherebbero e poi i truffatori scapperebbero coi soldi, senza consegnare il green pass promesso.

In tal caso, i  green pass corrispondenti sarebbero formalmente “veri”, nel senso che sarebbero stati emessi da persone autorizzate, e non ci sarebbe stata alcuna sottrazione massiccia di chiavi crittografiche private di paesi multipli o sfruttamento di qualche falla tecnica del sistema o (ancora più improbabile) bruteforcing per trovare queste chiavi. 

Quello degli addetti disonesti è insomma uno scenario che rispetta il Rasoio di Occam.

---

2021/10/28 11:25. Matteo Flora ha pubblicato un video nel quale mostra una tecnica che consentirebbe a quasi chiunque di generare un’anteprima del green pass, senza salvarla, potendo quindi creare codici QR validi ma falsi senza lasciarne traccia nel sistema. Questa sarebbe una falla procedurale davvero grossa, che ha parecchi indizi a supporto. Ecco il video:

---

2021/10/28 13:40. Sono stati trovati almeno sei punti di accesso al sistema di generazione delle anteprime dei green pass, lasciati stupidamente accessibili a chiunque. A questo punto è estremamente improbabile che siano state rubate chiavi crittografiche: i truffatori hanno semplicemente usato quello che gli addetti ai lavori hanno stupidamente lasciato in giro. Non c’è alcun bisogno di rubare chiavi, se la porta è aperta.

---

 Se scoprite altri dettagli, segnalatemeli nei commenti; aggiornerò questo articolo man mano che avrò informazioni più dettagliate e sicure.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Ultimo aggiornamento: 2021/06/29 13:30. 

Da qualche giorno parecchie persone hanno cominciato a festeggiare l’arrivo dei certificati Covid digitali, quelli dotati di codice QR, pubblicandone le immagini sui social network. È una pessima idea, come dice bene l’avvocato Guido Scorza, componente del Garante della Privacy italiano.

Come al solito, in questi casi arrivano le obiezioni: ma tanto il certificato contiene solo il nome e il cognome e la data di nascita (non è vero), ma cosa vuoi che se ne facciano dei miei dati, eccetera eccetera.

Chiarisco come stanno realmente le cose: il Garante della Privacy italiano ha tweetato che

#GreenPass Il QR code del pass vaccinale contiene informazioni personali e sanitarie, non visibili ma potenzialmente leggibili e utilizzabili da chiunque, anche attraverso specifiche app: è rischioso esporlo sui social network #ituoidati #GarantePrivacy pic.twitter.com/KpCx57IPNF

— Garante Privacy (@GPDP_IT) June 24, 2021

Sempre l’avvocato Scorza scrive su Agendadigitale.eu che il codice QR “è una miniera di dati personali invisibili a occhio nudo ma leggibili da chiunque avesse voglia di farsi i fatti nostri....Chi siamo, se e quando ci siamo vaccinati, quante dosi abbiamo fatto, il tipo di vaccino, se abbiamo avuto il Covid e quando, se abbiamo fatto un tampone, quando e il suo esito e tanto di più.”

Infatti è vero che l’app usata dai verificatori (Covid Check per Android e iOS in Svizzera; VerificaC19 per iOS e Android in Italia) visualizza soltanto nome, cognome e data di nascita, ma il codice QR contiene molte più informazioni, che possono essere lette prendendole dalle foto postate sui social network e usando appositi programmi di analisi, che sono già in circolazione e sono facili da realizzare, visto che le specifiche del contenuto dei codici QR sono ovviamente e necessariamente pubbliche e il codice sorgente delle app di verifica è altrettanto necessariamente aperto. Questo contenuto è descritto in dettaglio su Dday.it.

Pubblicare queste foto sui social consente ai malintenzionati di fare raccolta di massa di dati sanitari. Come spiega Guido Scorza, questi dati consentono di “desumere che la persona ha patologie incompatibili con la vaccinazione o è contraria al vaccino. E di qui negare impieghi stagionali, tenere lontani da un certo luogo, insomma per varie forme di discriminazione. O anche per fare truffe mirate o per fare profilazione commerciale. Immaginiamo la possibilità che questi dati finiscano in un database venduto e vendibile.”

Immaginate, giusto per fare il primo esempio che mi viene in mente, un truffatore che vi telefona a casa e si spaccia per un operatore sanitario e si rende credibile recitandovi il vostro nome e cognome, la data di nascita e quando avete fatto la vaccinazione e con quale vaccino. A quel punto probabilmente vi fiderete di qualunque cosa vi chieda di fare. Pensate anche ai vostri familiari o genitori, che magari non sono smaliziati quanto voi.

----

2021/06/29 13.30: Full Fact segnala un esempio di come i malviventi possono sfruttare la situazione: nel Regno Unito alcuni truffatori chiedono via mail soldi per ottenere il certificato Covid, che è invece gratuito.

Emails that look like they are from the NHS are asking people to pay money for a digital pass in order to show your vaccination status. Several police forces have warned that this is a scam.

You can access the NHS Covid Pass for free online, and will not be asked to pay for it. pic.twitter.com/W6OqqjXHdr

— Full Fact (@FullFact) June 29, 2021

----

Non solo: “questa prassi potrebbe facilitare la circolazione di QR-Code falsi che frustrerebbero l’obiettivo circolazione sicura perseguito con i green pass.”

Insomma, le aziende che sviluppano i software sanitari e queste app anti-Covid si fanno in quattro per rispettare tutte le normative e proteggere i dati degli utenti, e tutto questo lavoro rischia di essere stato fatto invano perché sono gli utenti stessi a spiattellare i propri dati su Internet.

Avete ricevuto il “green pass”? Buon per voi. Ditelo e basta; non c’è bisogno di postare una foto. Ci crediamo.

Ultimo aggiornamento: 2021/06/25 15:25.

La fissa dei giornalisti per i termini inglesi ha creato l’errore del “green pass”, che è il nome sbagliato di quello che in realtà si chiama certificato Covid digitale europeo, il documento concepito per consentire di varcare le frontiere interne europee in modo agevolato. Il green pass, invece, è il permesso israeliano di accesso ad attività commerciali e uffici per i vaccinati; la possibilità di attraversare frontiere nazionali non c’entra nulla.

Questo certificato europeo consentirà di attestare l’avvenuta vaccinazione, la guarigione o il risultato negativo di un test a partire dall’1 luglio a livello europeo. Il certificato equivalente svizzero, compatibile con quello europeo, è già pronto e in Canton Ticino è stato distribuito in forma elettronica a tutti i vaccinati con un SMS ieri (circa un migliaio di persone hanno ricevuto l’SMS il giorno precedente come prova generale). Stamattina circa la metà dei certificati era già stata scaricata, secondo il sito ufficiale del Canton Ticino.

Chi volesse richiedere questo certificato trova tutte le informazioni del caso presso www.ti.ch/certificato.

A me l’SMS è arrivato alle 19.29. Il messaggio conteneva un link personalizzato: l’ho seguito e sono arrivato a questa pagina di registrazione.

Qui ho immesso il mio indirizzo di mail, ho spuntato la casella Desidero ottenere un certificato COVID e letto l’informativa sulla privacy linkata nella pagina.

Pochi secondi dopo ho ricevuto questa risposta, che è una pagina standard pubblica:

Qualche altro secondo più tardi mi è arrivata una mail contenente un link personalizzato per scaricare il certificato:

Cliccando sul link mi è stato chiesto di immettere il mio numero di cellulare e poi di immettere il codice a sei cifre che ho ricevuto via SMS sul telefonino. A quel punto è comparso un pulsante Scarica.

Il certificato è arrivato sotto forma di PDF in formato A4 con questo aspetto:

Contiene i dati essenziali in italiano e in inglese: la malattia per la quale sono stato vaccinato; il numero di dosi; il tipo, prodotto e fabbricante del vaccino (Comirnaty è il marchio registrato del vaccino Pfizer/BioNTech); la data e il paese di vaccinazione; il mio nome, cognome e data di nascita; e un URN (Uniform Resource Name) abbinato a un codice QR. Le specifiche tecniche dell’URN sono pubblicate qui.

---

Questo certificato, autenticato dall’Ufficio federale della sanità pubblica (grazie alla firma digitale generata usando i miei dati) mi darà accesso a grandi eventi e manifestazioni in Svizzera (nei casi previsti) e dovrebbe facilitare l’attraversamento delle frontiere, perché basterà una scansione del codice QR e un controllo di un documento d’identità per documentare che sono vaccinato.

Il foglio A4 non è molto pratico da portare in giro, per cui ho provato subito l’app apposita che fa da “portadocumenti”, ossia Covid Certificate (Android; iOS). Ne avevo parlato in anteprima qualche giorno fa. 

Ho lanciato l’app, ho letto le brevi informazioni di presentazione e poi ho cliccato su Aggiungere. L’app mi ha chiesto (ovviamente) il permesso di accedere alla fotocamera, che ho accettato solo per questa volta, e ho fatto la scansione del codice QR dal PDF stampato (si può fare anche partendo dal PDF visualizzato su uno schermo).

Qualche foto (l’app saggiamente non consente screenshot, per cui accontentatevi di queste immagini fatte di corsa):

---

Sono insomma a posto: ho il certificato su PDF, su carta e nell’app (che, fra l’altro, consente di archiviare più di un certificato, come ho verificato con quello della Dama del Maniero). Mi resta solo da levarmi una curiosità: come funziona la verifica?

La verifica usa l’apposita app Covid Check (Android; iOS), che è liberamente installabile da chiunque. Ho provato a scansionare il mio certificato Covid stampato, e l’app mi ha mostrato soltanto queste informazioni: validità, nome, cognome e data di nascita. Idem quello della Dama. Questo vuol dire che i verificatori non sanno se la persona che verificano è vaccinata o ha fatto il Covid o ha fatto un tampone negativo.

Dai commenti qui sotto risulta che l’app verifica soltanto i codici QR rilasciati dall’autorità sanitaria svizzera: quelli di altri paesi vengono letti ma non verificati.

Un dettaglio interessante: l’app di verifica funziona anche senza connessione a Internet. Sembra quindi che il controllo avvenga completamente in locale, senza mandare dati ad alcun server centrale, tutelando quindi fortemente la riservatezza (l’informativa sulla privacy dell’app di verifica è qui). 

Mi restano solo due dubbi:

• Il primo è che non ho capito come funziona la revocabilità: visto che per poter sapere se un certificato è stato revocato presumo che debba scaricare periodicamente (da dove? Quando?) dei dati per sapere quali certificati sono stati revocati. Secondo l’informativa di privacy di Covid Check, “Le applicazioni per la conservazione dei certificati COVID-19 necessitano dell’elenco dei certificati di firma per verificare la validità dei certificati memorizzati nell’app. Le applicazioni per la verifica dei certificati COVID-19 necessitano dell’elenco dei certificati di firma per verificare la validità dei certificati scansionati. Il sistema d’informazione elabora solo i certificati di firma, quindi non tratta dati personali... L’UFIT gestisce un sistema d’informazione che permette di comparare i certificati con quelli revocati e che a tal fine contiene l’identificativo univoco dei certificati revocati. L’elenco degli identificativi dei certificati revocati è messo a disposizione delle applicazioni per la verifica e la conservazione dei certificati COVID-19. Questo elenco consente alle applicazioni per la conservazione dei certificati COVID-19 di verificare la validità e lo stato di revoca dei certificati COVID-19 archiviati nell’app. L’elenco consente alle applicazioni per la verifica dei certificati COVID-19 di verificare la validità e lo stato di revoca dei certificati scansionati con l’app. Dall’identificativo del certificato non è possibile risalire alle persone, quindi nessun dato personale è trattato in questo sistema.”
  
• Il secondo è questa segnalazione di Tio.ch secondo la quale l’“applicazione di verifica utilizzata da terzi può in teoria essere programmata non solo per controllare la validità o meno di un certificato, ma anche per leggere i dati relativi alla salute dell'utente”, tanto che l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha proposto una versione “light”del certificato che non conterrebbe dati sanitari ma sarebbe validata comunque dalla firma digitale.
  

In attesa di risolvere quest’ultimo dubbio, ora non mi resta che trovare un grande evento al quale partecipare (ma pare che non ci saranno restrizioni ridotte per chi ha il certificato Covid) oppure tentare l’attraversamento della frontiera (possibilmente dopo il primo luglio, quando in teoria le app di verifica dei certificati Covid saranno interoperabili).

----

2021/06/25 15:25. AgendaDigitale ha pubblicato un interessante confronto tecnico e giuridico fra il certificato Covid svizzero e quello italiano/UE. In sintesi: quello italiano offre maggiori tutele.

Stamattina l’Ufficio federale della sanità pubblica svizzero ha annunciato l‘avvio di un test pubblico di sicurezza per SwissCovid, l’app di tracciamento di prossimità finora usata per consentire di allertare anonimamente chi è stato vicino a una persona risultata poi positiva.

Avvio del Public Security Test per la funzione check-in nell’app #SwissCovid. Contribuite a verificare la sicurezza della nuova funzione e comunicate i risultati dei vostri test tramite il sito web dell’NCSC. https://t.co/nfqKVI5fTU

— BAG – OFSP – UFSP (@BAG_OFSP_UFSP) June 9, 2021

Il tweet è piuttosto ermetico: che cos’è la “funzione check-in”? E perché viene aggiunta a SwissCovid? Sono sempre un po’ sospettoso quando vedo aggiunte di questo genere, perché temo il classico feature creep che ha spesso conseguenze impreviste.

Questo è quello che ho trovato finora: l’annuncio del Centro Nazionale di Cibersicurezza dice che

Tra breve l'app SwissCovid sarà completata con l'applicazione «NotifyMe», che potrà essere impiegata nel quadro di eventi e riunioni. Il codice sorgente di SwissCovid verrà pertanto ampliato. 

e linka delle FAQ che citano CrowdNotifier (altre info qui), che parlano di un tracciamento di presenza (non più di prossimità) sicuro, decentrato e protettivo della privacy, allo scopo di  (traduco) “semplificare e accelerare il processo di notifica delle persone che hanno condiviso un luogo semipubblico con una persona positiva alla SARS-CoV-2 per un tempo prolungato, senza introdurre nuovi rischi per gli utenti e i luoghi.”

La documentazione di Crowd Notifier prosegue dicendo che (traduco) “i sistemi esistenti di tracciamento di prossimità (app di tracciamento dei contatti come SwissCovid, Corona Warn App e Immuni) notificano soltanto un sottoinsieme di queste persone: quelle che sono state abbastanza vicine per abbastanza tempo. Gli eventi attuali hanno reso evidente la necessità di notificare tutte le persone che hanno condiviso uno spazio con una persona positiva alla SARS-CoV-2.”

Sembra insomma che si voglia introdurre in SwissCovid una nuova funzione che generi una notifica semplicemente quando si va in un luogo affollato nel quale risulta poi che c’era qualche persona positiva al Covid, anche se non si è stati vicini alla persona per periodi prolungati.

A giudicare dagli schemi pubblicati, che vedete in testa a questo articolo, ci sono dei codici QR che vengono generati dal proprietario del luogo (o locale) e vengono scansionati dai visitatori.

Si tratta di una proposta, per ora, e il suo scopo è (traduco) “fornire un’alternativa al crescente uso di app con intenzioni analoghe che sono basate su una raccolta invasiva o che si prestano ad abusi da parte delle autorità.”

La questione è aperta e delicata: le app di questo genere consentono, se realizzate male, tracciamenti di massa decisamente inaccettabili. Se ci saranno novità, le segnalerò qui. Se scoprite qualcosa, i commenti sono come sempre a vostra disposizione.

I certificati COVID svizzeri, che facilitano gli spostamenti da un paese all’altro e la partecipazione ai grandi eventi, sono ancora in fase sperimentale (arriveranno entro fine mese, sia in forma digitale sia in forma cartacea). Sono però già disponibili per lo scaricamento le due app per la gestione di questi certificati.

La prima è l’app per gli utenti, quella che custodisce il certificato (anche per più persone) e si usa per esibirlo, si chiama Covid Certificate ed è qui per iOS (installabile anche su iPad, dalla versione 12.0 e successive) e qui per dispositivi Android (compatibile con Android 7.0 e successivi).

La seconda app è quella che serve per verificare i certificati; è usabile da chiunque per scansionare e verificare la validità dei certificati esibiti e si chiama Covid Certificate Check. La trovate qui per Android (7.0 e successivi) e qui per iOS (12.0 e successivi).

In attesa di poter usare queste app, diffidate delle imitazioni e delle app quasi omonime presenti negli Store: installate soltanto le versioni originali, che si possono riconoscere dal nome dello sviluppatore, che è l’Ufficio federale della sanità pubblica (UFSP/BAG).

Per tutti i dettagli sul funzionamento dei certificati COVID potete leggere questo mio articolo.

Pubblicazione iniziale: 2021/06/04 1:17. Ultimo aggiornamento: 2021/06/17 15:30.

Chiunque può testare la sicurezza del software che gestirà il “certificato Covid” svizzero che certificherà l’avvenuta vaccinazione, la guarigione o il risultato negativo di un test e sarà necessario o facilitante per esempio per viaggiare oltre frontiera e per partecipare alle grandi manifestazioni (secondo le modalità dettagliate qui e in queste FAQ). Il codice sorgente e la documentazione sono disponibili per l’esame qui su GitHub.

La versione svizzera del certificato Covid sarà compatibile con quella dell’UE (spesso chiamata impropriamente green pass dai giornalisti che si sono ispirati male a un sistema israeliano) e viceversa; sarà introdotta gradualmente a partire dal 7 giugno. 

2021/06/17:15.30. Il certificato è stato distribuito.

Il certificato Covid sarà in sostanza un codice QR non falsificabile, stampato su carta (o fornito come PDF) oppure contenuto all’interno di un’apposita app che fa da wallet. Il certificato conterrà una firma elettronica della Confederazione che consente la verifica del certificato stesso senza trasmettere o salvare dati personali.

L’app per gli utenti si chiamerà Covid Certificate; dovrebbe essere pubblicata dall’Ufficio Federale della Sanità Pubblica (UFSP) e dovrebbe quindi comparire per esempio qui nel Play Store Android (ci sarà anche una versione iOS) dal 7 giugno 2021. L’app sarà gratuita (fonte: Dipartimento Federale delle Finanze).

Ci sarà anche un’app per verificare i certificati, chiamata Covid Certificate Check,* e ci sarà un sito riservato ai generatori autorizzati di questi certificati, presso www.covidcertificate.admin.ch (attualmente non operativo).**

 

Il progetto è stato affidato alla società zurighese Ubique (la stessa che ha prodotto SwissCovid) e ad altre due aziende svizzere, basandosi sul protocollo sviluppato dall’EPFL e sotto la supervisione dell’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT), scrive Le Temps.

Ecco qualche screenshot dalla versione Android non definitiva dell’app per gli utenti in italiano (le altre lingue disponibili sono tedesco, francese e inglese):

 

Queste, invece, sono immagini non definitive dell’app per verificatori:

 

Il funzionamento dovrebbe essere grosso modo il seguente.

L’utente richiederà il certificato, che sarà disponibile entro fine giugno e verrà fornito dai centri di vaccinazione, dai medici, dagli ospedali, dalle farmacie e dai centri di test (come spiega la RSI) e potrà importarlo nell’app Covid Certificate facendone una scansione. Chi verrà vaccinato con l’ultima dose prima della fine di giugno (come me) dovrà consultare il sito del Cantone per informazioni su come richiedere il certificato; chi verrà vaccinato dopo la fine di giugno riceverà il certificato automaticamente in forma elettronica (o, su richiesta, in PDF sul posto), come descritto qui.

L’utente esibirà questo certificato su richiesta (nei casi previsti) a un verificatore, che userà l’app di verifica Covid Certificate Check per leggere il codice QR ed accertarsi che il certificato sia autentico e non sia stato revocato.

Il verificatore che usa l’app potrà vedere solo “il nome, il cognome, la data di nascita e l’indicazione della validità del certificato COVID” (comunicato stampa del 4/6).

Il PDF conterrà un grande codice QR e alcuni dati stampati in chiaro: nome, cognome e data di nascita del titolare; numero di dose, marca, fabbricante del vaccino; data di vaccinazione; paese; ente emittente. L’app, invece, mostrerà solo il codice QR e il nome e la data di nascita della persona, perlomeno nella schermata principale.

In termini di privacy, non ci sarà un archivio centrale: ogni persona dovrà provvedere a custodire il proprio certificato sul proprio dispositivo digitale o su carta. “I dati personali non sono salvati a livello centrale dall’Amministrazione federale e quelli necessari per la firma elettronica del certificato vengono cancellati dal sistema della Confederazione non appena il certificato è stato generato e trasmesso”, dice il suddetto comunicato stampa, e non viene fatto alcun tracciamento delle verifiche. In caso di smarrimento del certificato bisognerà richiederne uno nuovo.

---

La decisione di effettuare un test di sicurezza pubblico è stata annunciata dall’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT). Ulteriori dettagli verranno resi pubblici oggi (venerdì 4 giugno) e verranno pubblicati qui sul sito dell’UFSP.

Si tratta di un progetto open source di massima trasparenza: come dicevo, il codice sorgente è già liberamente esaminabile e disponibile su GitHub; le condizioni e regole di partecipazione al test di valutazione della sicurezza, con le relative garanzie di non perseguibilità, sono pubblicate sul sito del Centro Nazionale per la Cibersicurezza insieme al modulo per la notifica dei problemi riscontrati e all’elenco di quelli già scoperti (fra i quali figura una password hardcoded).

Il periodo di verifica pubblica è iniziato il 31 maggio scorso e complementa i test già condotti dall’Istituto Nazionale di Test per la Cibersicurezza (NTC). Non sono previste ricompense (niente bug bounty, insomma).

Oltre al codice sorgente delle app per Android e iOS e dei servizi di generazione dei certificati, con la documentazione delle loro architetture, su GitHub si trovano anche le presentazioni che descrivono l’aspetto, i principi e la tabella di marcia dell’app e del documento cartaceo.

Frugando un pochino nella documentazione si trovano anche la guida rapida e le istruzioni per i “superutenti” (gli incaricati di generare i certificati) e per la loro formazione. Nulla che interessi al comune cittadino, ma interessante per chi vuole studiare le procedure interne del sistema.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Il governo degli Stati Uniti accusa TikTok, il popolarissimo social network di proprietà della cinese Bytedance, di essere un rischio per la sicurezza dei cittadini statunitensi, perché raccoglie dati personali, e vuole quindi bandirlo. Lo stesso vale per un’altra app cinese, WeChat di Tencent.

Ad agosto il presidente Trump ha firmato un executive order, ossia un provvedimento legislativo presidenziale, che in sostanza obbliga TikTok a vendere la propria attività statunitense a un’azienda nazionale; se non lo fa, le sue transazioni negli Stati Uniti verranno bloccate. La questione è ora in mano alle autorità giudiziarie del paese e procede a colpi di rinvii e appelli.

Un ban di TikTok comporterebbe la scomparsa della sua app dagli store ufficiali, ma non necessariamente dagli smartphone degli utenti, e questo è concretamente un rischio di sicurezza peggiore degli imprecisati e non documentati rischi per la sicurezza nazionale asseriti dal governo statunitense. 

Bandire un’app, infatti, significa che chi decide di tenerla sul proprio smartphone non può più aggiornarla in modo ufficiale e quindi non può ricevere le correzioni che ne sistemano i difetti e ne migliorano la sicurezza. 

Significa anche che gli utenti che vogliono continuare a usare l’app, o la vogliono installare su un nuovo dispositivo, saranno indotti a cercarla nei siti “alternativi” di scaricamento, con il rischio di installare versioni alterate o infettanti dell’app o addirittura delle app completamente differenti che ne scimmiottano il nome e il logo. Queste app fasulle sono uno dei canali preferiti di diffusione di malware da parte dei criminali informatici.

Non è teoria: TikTok e altre applicazioni sono già state oggetto di blocco in India, ma gli utenti non hanno affatto lasciato la piattaforma e quindi oggi ci sono centinaia di milioni di persone che usano un’app priva di aggiornamenti correttivi.

È arrivata la versione 13.7 di iOS e iPadOS, e gli utenti iPhone che la installano sono un po’ confusi e preoccupati perché questo aggiornamento integra le notifiche di esposizione come misura anti-pandemia.

Molti si chiedono che conseguenze ci siano per chi ha già installato un’app come Immuni o SwissCovid, e per chi non l’ha ancora fatto o non vuole farlo.

In estrema sintesi: per chi ha già installato un’app anti-pandemia non cambia quasi nulla. Tutto funziona come prima e non c’è da fare nulla. 

Però c’è un bonus in arrivo: le app di paesi differenti che usano il supporto software creato da Apple e Google (come SwissCovid e Immuni, appunto) diventeranno interoperabili, vale a dire che un’app di un paese funzionerà anche all’estero e telefonini dotati di app differenti si scambieranno correttamente le notifiche, sempre in maniera strettamente anonima e volontaria.

Per chi non ha ancora installato una di queste app, installare l’aggiornamento di iOS, con la sua funzione Exposure Notifications Express, significa che l’iPhone diventerà capace di fare da solo il tracciamento delle esposizioni, ma soltanto se gliene diamo il permesso (la funzione è opt-in) e siamo in un paese che partecipa a questo tracciamento.

Se gli diamo questo permesso, il telefonino inizierà ad accumulare dati sulle esposizioni e potrà avvisare l’utente in caso di possibile esposizione a contagi anche senza aver installato un’app apposita. Ma il telefonino in questo caso si limiterà a invitare l’utente a installare un’app anti-pandemia. 

In altre parole, le app come SwissCovid o Immuni continueranno a servire per completare il sistema di protezione sanitaria anche dopo questo aggiornamento di iOS.

Va ricordato che questa funzione è presente solo in iOS, il sistema operativo per iPhone; non è presente in iPadOS (il sistema operativo per iPad).

Per gli utenti Android, invece, l’aggiornamento corrispondente arriverà entro fine settembre e Google genererà automaticamente un’app basata sulle impostazioni decise dalle autorità sanitarie locali.

---

Fra l’altro, se vi state chiedendo se Immuni, SwissCovid e le altre app analoghe stiano funzionando e siano efficaci, segnalo questo dato fornito dall’Ufficio Federale della Sanità Pubblica: a luglio in Svizzera almeno 13 casi positivi sono stati trovati esclusivamente grazie all’app, che ha avvisato queste persone della possibile esposizione al contagio. E il numero di coloro che sono stati avvisati dall’app e anche dal contact tracing tradizionale è molto più alto.

Secondo Marcel Salathé, epidemiologo membro della task force federale contro il coronavirus, se si raddoppiasse il numero di installazioni e attivazioni di SwissCovid questi numeri si quadruplicherebbero e la rapidità di segnalazione dell’app consentirebbe di garantire una quarantena rapida ed efficace. Al 2 settembre 2020 sono attive 1.590.000 installazioni di SwissCovid. Immuni, invece, al 9 agosto 2020 contava 4,7 milioni di download (che non sono necessariamente tutte installazioni distinte e attive).

 

Fonti: Punto Informatico, Telefonino.net, Apple, Punto Informatico, Ars Technica.

Due settimane fa Fortnite è stato rimosso dall’App Store di Apple e da Google Play. Chi l’aveva già installato sui propri dispositivi Apple ha potuto continuare a giocare; chi non l’aveva fatto è rimasto escluso.

Inevitabilmente è partita la speculazione: iPhone e iPad con Fortnite preinstallato sono apparsi sui siti di aste online a prezzi da capogiro. Ma chi li ha comprati si troverà presto di nuovo a piedi. Gli utenti iPhone, iPad e Mac verranno infatti esclusi dal prossimo aggiornamento di Fortnite, che include fra l’altro i personaggi della Marvel.

Questo caos nasce dalla lite legale in corso fra Epic Games, proprietaria di Fortnite, e Apple, a proposito dei metodi di pagamento disponibili nel gioco: Apple vuole l’esclusiva e il 30% degli incassi, come per tutte le app ospitate nel suo App Store, e Epic Games non ci sta più. Anche Microsoft si è schierata con Epic Games.

Apple ora ha bloccato anche lo sviluppo degli aggiornamenti di Fortnite su App Store, per cui il Capitolo 2 - Stagione 4 (versione 14.00) non è stato rilasciato sui dispositivi con il logo della mela.

Apple has blocked your ability to update Fortnite on the App Store, and has said they will terminate our ability to develop Fortnite for Apple devices. As a result, Chapter 2 - Season 4 (v14.00) will not release on Apple devices on August 27.

More info: https://t.co/O1bgKgkZCp

— Fortnite (@FortniteGame) August 26, 2020

Chi ha dispositivi Android o PlayStation, Xbox One, Nintendo Switch e PC Windows, invece, può scaricare l’aggiornamento.

Questa situazione in sostanza spacca in due il mondo dei giocatori, secondo Engadget: da una parte, chi ha un dispositivo Apple, che si trova quindi fermo alla versione 13.40 (Capitolo 2 - Stagione 3) di Fortnite e potrà giocare solo con gli altri utenti Apple fermi alla medesima versione; dall’altra, tutti gli altri. Ci sono anche problemi e limitazioni nello scambio di regali digitali fra giocatori.

Ribadisco la raccomandazione già fatta all’inizio di questa battle royale fra Apple ed Epic Games: non scaricate Fortnite o suoi aggiornamenti da altre fonti, neppure se ve le hanno consigliate siti o amici. State sul sito ufficiale, Epicgames.com. Aggiungo, inoltre, di non abboccare a crack o altri trucchi che promettono di sbloccare il vostro dispositivo Apple per permettervi di installarvi il nuovo Fortnite: sono sicuramente delle trappole. Se ci tenete tanto a giocare alla nuova versione, procuratevi un dispositivo non Apple.

Pubblicazione iniziale: 2020/08/14 8:49. Ultimo aggiornamento: 2020/08/14 16:30. 

Poche ore fa Fortnite, uno dei giochi online più popolari del momento, è stato rimosso prima dall’App Store di Apple e poi anche da Google Play.

Chi l’ha già installato sul proprio iPhone/iPad ce l’ha ancora, ma non può scaricare aggiornamenti; chi vorrebbe installarlo sul proprio iPhone/iPad semplicemente non può.

Gli utenti Android possono ancora installare Fortnite passando dal sito di Epic Games o dal Samsung Galaxy Store (se hanno uno smartphone Samsung). Il gioco resta disponibile, almeno per ora, su PlayStation, Xbox One, Nintendo Switch, PC e Mac.

Importante: non scaricate Fortnite o suoi aggiornamenti da altre fonti, neanche se consigliate da amici. State sul sito ufficiale, Epicgames.com. I criminali informatici approfitteranno inevitabilmente della situazione e diffonderanno versioni infette del gioco.

Ma cos’è successo per scatenare questa rimozione forzata? Epic Games ha rilasciato un aggiornamento che consente ai giocatori di comprare a prezzo scontato i v-Bucks, la moneta interna del gioco, direttamente da Epic Games stessa, senza passare dai sistemi di pagamento di Apple, che si prendono il 30%. Questo è vietato dal regolamento dell’App Store, e quindi Apple ha rimosso il gioco; Google Play, invece, non esige l’esclusiva, però ha proceduto lo stesso alla rimozione di Fortnite perché comunque i giochi ospitati da Google Play devono consentire acquisti tramite l’in-app billing Google Play. Anche Google chiede il 30%.

Chiaramente è in corso una prova di forza fra Fortnite, Apple e Google. Epic Games contesta il sostanziale duopolio e ritiene che il 30% sia una commissione decisamente troppo alta; in tal senso ha depositato un’azione legale (PDF) contro Apple [2020/08/14 16:30: ora anche contro Google (PDF)].

Staremo a vedere gli sviluppi legali ed economici: per ora Epic Games sta decisamente vincendo la campagna mediatica, con un video che fa il verso a una famosissima pubblicità di Apple, che nel 1984 si presentava come la compagnia che scardinava i monopoli e ora viene presentata da Epic Games come una monopolista essa stessa.


Il video originale è questo:


Maggiori informazioni sono su Gizmodo (che nota un possibile problema legale, in base al quale Apple avrebbe violato le proprie regole), The Register, BBC, Ars Technica e ancora Gizmodo.

Ultimo aggiornamento: 2020/07/01 21:00.

È già disponibile il video della conferenza pubblica Cos’è il contact tracing e perché riguarda tutti che si è tenuta oggi a Lugano, al Parco Ciani grazie a a Lugano Living Lab.

I due panel di esperti sono stati moderati da Giada Marsadri e Andrea Arcidiacono, dopo i saluti del sindaco di Lugano Marco Borradori.

Il primo panel, Contact tracing: tra sorveglianza, sfera privata e visioni per la società, ha avuto come ospiti Massimo Banzi (co-fondatore di Arduino), Philip Di Salvo (ricercatore e giornalista), Christian Garzoni (direttore sanitario della Clinica Luganese Moncucco), Markus Krienke (professore di filosofia moderna e di etica sociale alla Facoltà di Teologia di Lugano) e Patrizia Pesenti (Avvocato, Vicepresidente consiglio di amministrazione Credit Suisse Switzerland).

Il secondo panel, ​App SwissCovid: il punto della situazione, ha radunato il sottoscritto, Gianni Cattaneo (avvocato specialista in diritto della protezione dei dati), Matteo Colombo (Presidente dell’Associazione italiana dei Data Protection Officer), Clelia Di Serio (professore di epidemiologia e statistica medica, Università della Svizzera Italiana, Università Vita-Salute San Raffaele (Milano)), e Sang-II Kim (capo della nuova Divisione Trasformazione digitale, Ufficio federale della sanità pubblica).

Il video qui sotto è già posizionato a 34:12 per saltare le immagini mostrate in attesa dell’inizio dello streaming. Il secondo panel inizia a 1:53:35.



C’è anche la versione con traduzione simultanea in inglese:



Sul canale Youtube di Lugano Living Lab trovate anche i due panel separati con le relative versioni tradotte in inglese.

Su Photoshelter trovate invece un po' di foto dell’evento.

Oggi avrò il piacere di partecipare a una conferenza pubblica non virtuale, ma disponibile anche in streaming, insieme agli esperti del settore, dedicata al contact tracing e alle app che aiutano a tracciare i contatti eccessivamente ravvicinati e prolungati che facilitano i contagi.

La conferenza si tiene a Lugano, al Parco Ciani, dalle 17. Trovate tutti i dettagli qui.

Credit: @PolGalbusetti.

Mi sono arrivate alcune segnalazioni di utenti dell’app anti-coronavirus italiana, Immuni, che dicono di essersi spaventati perché hanno visto sul proprio telefonino Android un avviso che dice ”Il tuo telefono ha rilevato 1 potenziale esposizione”.

L’app Immuni, tuttavia, non mostra alcun avviso “Rilevata esposizione a rischio con una persona COVID-19 positiva” e indica solo “Servizio attivo”.

Chi ha chiamato l’helpdesk di Immuni per sapere cosa fare ha ricevuto la risposta che questo avviso, proveniente da Google Play Services e non da Immuni, va ignorato.

Per chi si stesse chiedendo cosa c’entra Google Play Services con le app anti-coronavirus, ricordo che Google, insieme ad Apple, fornisce il software (le cosiddette API o Application Programming Interface(s)) che consente ai telefonini Android di funzionare con le app di tracciamento di prossimità.

Secondo Punto Informatico, è normale che sul telefonino Android compaia il messaggio “Il tuo telefono non ha rilevato potenziali esposizioni”:

L’avviso è mostrato su dispositivi Android da Google Play Services e non deve destare alcun allarme. Anzi, rappresenta la conferma di come Immuni sia in esecuzione correttamente sullo smartphone e che nei sette giorni precedenti non si è entrati in contatto con persone potenzialmente in grado di trasmettere la malattia.

Ma allora se vedo il messaggio “ha rilevato 1 potenziale esposizione” cosa vuol dire? Significa che secondo il software di Google (che, appunto, fornisce il supporto ad Immuni) il mio telefono ha rilevato il segnale anonimizzato del telefono di una persona che è poi risultata positiva, ma che per i criteri di Immuni l’esposizione non è stata tale da costituire un rischio?

Secondo quello che ho trovato e la documentazione (grazie a Tukler per la dritta), è proprio così: il software di Apple/Google analizza i dati che ha raccolto e accumulato sul telefonino e dichiara quali e quanti sono i casi di esposizione potenzialmente a rischio a secondo i suoi criteri, ma poi spetta all’app valutare questi contatti secondo i suoi criteri. Quindi l’avviso di Google Play Services non deve allarmare.

Sto indagando ancora, ma una cosa è già chiara: questo messaggio rischia di creare ansie e confusioni.


A proposito delle API fornite da Apple e Google, se volete vederle all’opera:

• iOS: Impostazioni - Privacy - Salute - Raccolta log di esposizione al COVID-19 - Controlli esposizione elenca, giorno per giorno, il “numero di chiavi corrispondenti”, ossia il numero di potenziali esposizioni.
• Android: Impostazioni - Google - Notifiche di esposizione al COVID-19 - Notifiche relative al COVID-19.

Fonti aggiuntive: Apple, HDblog.it.

Ultimo aggiornamento: 2020/07/04 20:40.

Dopo un periodo di prova tecnica estesa, l’app di tracciamento di prossimità SwissCovid è disponibile al pubblico dal 25 giugno come versione 1.0.5, 1.0.0.

Questi sono i link per scaricarla e installarla su qualsiasi smartphone recente, che supporti iOS 13.5 o Android 6 o superiori, ossia circa l’80% degli smartphone in Svizzera, secondo dati riportati da Sang-Il Kim, Capo della Divisione Trasformazione Digitale:

• iOS: https://apps.apple.com/ch/app/id1509275381
• Android: https://play.google.com/store/apps/details?id=ch.admin.bag.dp3t 

L’app è disponibile in italiano, tedesco, francese, retoromancio, inglese, spagnolo, portoghese, serbo, croato, albanese e bosniaco. Nelle prime ore è stata scaricata circa 150.000 volte. Le statistiche delle installazioni attive sono consultabili qui su Admin.ch e indicano ad oggi (25/6) circa 570.000 installazioni su una popolazione di 8,5 milioni di abitanti, ossia il 6,7% [2020/06/28 16:20. L’app è arrivata a 806.570 installazioni, ossia circa il 10% dei residenti nella Confederazione (RSI); 2020/07/04 20:40 È arrivata a 1.007.199 attivazioni (RSI)].

Per scaricare la versione iOS può essere necessario associare il proprio Apple ID all’App Store svizzero, come descritto qui.

Ci sono alcune piccole modifiche rispetto alle versioni sperimentali: in particolare la distanza di prossimità è stata ridotta da due metri a 1,5. Anche alcune diciture sono state cambiate: per esempio, lo stato dell’app ora non dice più “Tracciamento attivo” come prima ma dice più semplicemente “App attiva” e aggiunge il chiarimento importante che “SwissCovid resta attiva anche quando l’app viene chiusa”.

Se si vuole disattivare temporaneamente l’app, si tocca la freccia accanto a Incontri e si sposta il selettore Tracciamento verso sinistra. Per riattivarla si sposta il selettore verso destra.

Le risposte alle domande più frequenti sono pubblicate sul sito dell’Ufficio Federale della Sanità Pubblica qui. Da queste risposte segnalo in particolare questa: “Secondo la decisione del Parlamento, le persone che hanno ricevuto dall’app SwissCovid una segnalazione di essere state a stretto contatto con una persona infetta devono potersi sottoporre al test gratuitamente.” Inoltre è prevista una indennità di perdita di guadagno per chi riceve l’ordine (da un medico) di mettersi in quarantena. Questa indennità non spetta a chi riceve la notifica dall’app e sceglie di limitarsi all’isolamento volontario senza rivolgersi al medico.


I miei articoli dedicati all’app sono raccolti qui. Un ottimo riassunto della situazione è su Swissinfo.ch.

Ricordo che i truffatori sono sempre in agguato e quindi bisogna diffidare di qualunque messaggio sanitario che non venga comunicato direttamente dall’app. GovCERT.ch ha già diramato un promemoria multilingue in proposito, fornendo il link della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI al quale inviare segnalazioni di eventuali app truffaldine o ingannevoli:

Today, BAG officially released the SwissCovid App 🇨🇭. For security reasons, we recommend to install the App from official App-Stores only:https://t.co/xeCNWGlmcs

Report us suspicious Apps using our web form:https://t.co/AoseC0QF6x https://t.co/gw6KP4R7yn

— GovCERT.ch (@GovCERT_CH) June 25, 2020

Stamattina molte persone in Svizzera mi hanno segnalato, mentre ero in diretta su Rete Tre, di aver ricevuto un SMS inatteso che li invitava a visitare il sito Ufsp-coronavirus.ch. Posso confermare il mio “niente panico” iniziale: l’SMS è stato inviato da Swisscom per conto dell’Ufficio Federale della Sanità Pubblica, che ha successivamente chiarito la vicenda in un tweet.

L’SMS per l’app #SwissCovid è stato inviato da Swisscom direttamente ai suoi clienti. L’UFSP non dispone di numeri telefonici privati e ringrazia per la collaborazione.

— BAG – OFSP – UFSP (@BAG_OFSP_UFSP) June 26, 2020

Fonti aggiuntive: RSI.ch, 20min.ch.