La card non è un mezzo ma lo scopo: erogherà «diritti» solo agli schedati

La tessera ci trasforma in utenti virtuali e un'apposita norma consente lo scambio di dati senza consenso. Così sarà usata per altri fini, dal fisco alle multe. E per l'euro digitale. Mancano solo tre giorni all'entrata in vigore del decreto green pass, quello più estensivo, e che toccherà tutti i lavoratori italiani. Sia pubblici che privati. Al di là delle proteste, non sappiamo che succederà dall'indomani. Possiamo però immaginare che ancor più cittadini si troveranno a installare sul proprio smartphone il lasciapassare verde. In queste settimane abbiamo raccontato i bachi della legge, descritto il caos dentro le aziende e l'incertezza che gli imprenditori si troveranno ad affrontare per gestire organizzazione e produttività. Fino a oggi, però, non ci siamo soffermati sul significato di questa diffusione capillare, sull'impatto che essa avrà al netto delle implicazioni vaccinali o pandemiche. Mai prima d'ora agli italiani era stato chiesto di partecipare a un così grande esperimento digitale, in grado di trasformare ciascuno di noi in un utente virtuale. Tracciato, tracciabile e identificabile anche senza il riconoscimento facciale. E dalla scorsa settimana senza il consenso. Non a caso dentro il decreto Aperture è stato inserito un apposito articolo che consente alla pubblica amministrazione di acquisire dati per una motivazione e usarli per un'altra. Compresa la possibilità di condividere il database con altri enti dello Stato. Fatta la premessa, la domanda da farsi è: che cosa è il green pass? Prima di arrivare alla risposta attraverso l'approfondimento della genesi del lasciapassare verde e del suo sviluppo normativo nel nostro ordinamento, bisogna affermare che il green pass è congegnato come strumento win-win, capace di pescare titolari di certificazione sia tra i vaccinati, sia tra i novax destinati ai tamponi e tra i guariti, e con portata intrinsecamente universale; visto che, con la pandemia appunto, tutti hanno almeno uno dei tre status sanitari. Il green pass nudo e crudo è quindi un account che mira ad attestare il possesso di determinate condizioni in base alle quali un utente può dirsi abilitato e verificato rispetto a una piattaforma che eroga diritti e libertà (vedi il semaforo verde) concessi dal gestore. In questo caso il gestore della piattaforma è lo Stato, la piattaforma è proprietaria e a totale controllo statale, i diritti e le libertà di accesso a un determinato luogo vengono restituiti sotto forma di concessione da parte del gestore stesso. Quindi, bisogna richiamarsi innanzitutto al Regolamento (Ue) 2021/953 del 14 giugno 2021, nonché al complesso documentale elaborato - già da marzo scorso - a corredo dello sviluppo digitale dell'Eu digital 2 Covid certificate e delle specifiche tecniche attraverso cui è stata sviluppata l'infrastruttura informatica portante: il Digital green certificate gateway (Dgcg). Tale documentazione descrive dettagliatamente i meccanismi del gateway europeo, la rete di database e altre risorse informatiche di cui si compone la Dgcg, in ordine all'interoperabilità dei certificati verdi e alla capacità di riconoscimento reciproco tra Stati membri, definiti come semplici punti di backend della rete. Stesso discorso per la governance a chiave pubblica e la gestione del consenso e della fiducia all'interno della rete, oltre che tra l'emittente della certificazione, il validatore e il green certificate holder. Un monumentale sforzo questo (essenzialmente riconducibile ai tecnocrati dell'e-Health network, il gruppo di soggetti pubblici istituito dalla Direttiva 2011/24/Eu), a cui aderiscono su base volontaria gli enti degli Stati membri che si occupano di sanità digitale, frutto sia degli sviluppi ante Covid avutisi, già a partire dal 2017 (programmazione 2018-2021) nei sistemi di identità digitale, sia di quanto fatto l'anno scorso con lo sviluppo dell'Efgs, o Eu federation gateway service, per permettere l'interoperabilità tra i sistemi di contact tracing degli Stati membri; che ha trovato piena compiutezza, formulazione e implementazione pratica nei mesi precedenti l'atto normativo istitutivo della certificazione verde, e, solo dopo, successiva copertura para legislativa attraverso l'adozione in blocco di tutta la documentazione di dettaglio tecnico sopra menzionata, da parte della Decisione esecutiva della Commissione il 28 giugno 2021. Il governo Draghi, già dallo scorso aprile con il decreto Sostegni, poi a maggio e giugno, rispettivamente con l'introduzione della governance per il Pnrr ex decreto 31 maggio 2021 e con il decreto del 17 giugno 2021, ha tirato in piedi, non certo dal nulla, la ciclopica macchina della piattaforma nazionale Digital green certificate (Pn-Dgc) per l'emissione, il rilascio e la verifica dei certificati verdi. Ha reso interoperabili le banche dati dell'anagrafe nazionale vaccinale (Anv), quelle regionali e le ha collegate al sistema della tessera sanitaria gestita dal ministero dell'Economia e dell'Eu-Dgcg sopra menzionata, facendo diventare il tutto il gateway portante dell'intera infrastruttura digitale. Il compito della certificazione è stato affidato, per l'Italia, al Poligrafico della Zecca dello Stato. Dal difficile esame delle fonti, se ne ricava che tanto la Eu-Dgcg quanto la Pn-Dgc (semplice diramazione di backend), tramite cui l'Italia ha fatto il processo di onboarding per interfacciarsi al gateway europeo, sono infrastrutture a chiave pubblica (Public key infrastructure, o Pki). Sono, cioè, insiemi, l'uno portante e l'altro periferico, di processi, risorse tecnologiche e protocolli informatici che consentono a terze parti fidate di verificare e farsi garanti dell'identità di un utente, oltre che di associare una chiave crittografica pubblica a un utente sotto forma di una certificazione (attraverso la cosiddetta crittografia a chiave pubblica, o a doppia chiave asimmetrica, una per codificare e l'altra per decodificare i dati). Peraltro, tutta l'infrastruttura si fonda sulla piena interoperabilità strutturale della rete e della semantica delle certificazioni, resa necessaria dall'azione intraeuropea a cui è destinata. L'interoperabilità strutturale è garantita dal fatto che la rete Pki non è una Pki tradizionale di tipo gerarchico, bensì una cosiddetta rete di fiducia, o Web of trust, in cui tutti i partecipanti sono pari-ordinati e con uguali permessi di emettere certificati. Un fattore che si rende necessario per sostenere almeno due pilastri: 1 la decentralizzazione con cui debbono operare i partecipanti (emittenti di certificazione, le autorità di certificazione, holder di pass verde); 2 il controllo centralizzato da parte del medesimo gateway, sia per il ruolo di soggetto certificatore di ultima istanza, sia per quello, che i documenti europei chiamano col nome tedesco di Secretariat, di vero e proprio registro pubblico (accessibile) o blockchain in cui si sostanzia la componente di database distribuito. In pratica, il cuore stesso del green pass si basa sulla tecnologia della blockchain, destinata a conservare e aggiornare tutte le chiavi pubbliche di firma attribuite alle autorità di certificazione designate nei singoli Stati membri per convalidare i certificati verdi, prima della loro definitiva convalida, nonché tutte le aggregazioni alle chiavi private corrispondenti all'identità di ciascun Dgc holder abilitato dal possesso certificato di una delle tre condizioni di rilascio del pass (vaccinazione, tampone negativo o guarigione). L'interoperabilità semantica invece, cioè la capacità dell'intero sistema di leggere e interpretare un certificato verde emesso da qualsiasi emittente, è realizzata attraverso una struttura dati comune, una terminologia standard, un formato neutrale rispetto al contenuto e un consenso comune sul significato di ogni campo dati, allo scopo di garantire che i dati sanitari contenuti dal Dgcg siano rappresentati in maniera uniforme e pienamene machine readable in tutti gli Stati membri. Tale insieme Pki infrastrutturale basato su crittografia asimmetrica a chiave pubblica e il formato delle certificazioni, su cui si basa tutto il sistema del green pass europeo e italiano si palesa, pertanto, grazie a questa forte interoperabilità (finanche con i framework in corso di sviluppo a livello internazionale come quello dell'Oms datato agosto 2021) come un sistema complessivamente dotato di modularità e scalabilità, costruito cioè come idoneo ad adattarsi a picchi di carico improvvisi senza diminuire il livello di servizio, e già pronto «for instance, to additional usage scenarios, use cases and types of certificates», adatto quindi anche a impieghi addizionali, usi, scenari e tipologie di certificazione diverse. Combinando gli aspetti tecnologici del green pass con le caratteristiche dettate dalle norme, può dunque sintetizzarsi che la certificazione verde abbia due dimensioni. Dal punto di vista statico ha funzione sanitaria. Mentre dal punto di vista dinamico è uno strumento che censisce un utente su una rete di accesso (il gateway europeo), in grado di validare la presenza di determinate condizioni agganciandole (ancorandole cioè con il sistema della crittografia asimmetrica) con certezza a una determinata persona. Per poi emettere una certificazione abilitante a diverse forme di impiego; quali, ad esempio, quelle inaugurate a partire dall'articolo 3 del decreto 23 del luglio scorso (rubricato proprio: Impiego certificazioni verdi Covid-19), per l'accesso a ristoranti, spettacoli aperti al pubblico, musei, piscine, e fiere, poi estese con successivi provvedimenti espansivi ad altre forme di utilizzo. È facile allora concludere che il Gp account non è null'altro che la stessa identità digitale pubblica degli utenti, o portatori di certificazione verde, da custodire nei portafogli digitali Ios e Android istallati sui cellulari. Inoltre, tale Id account sembra proprio essere subordinato nel rilascio alla tenuta di una determinata condotta o al possesso di un determinato status da porre in essere sulla propria persona senza alcuna reale possibilità di libera scelta. Insomma, siamo di fronte a uno strumento di censimento anagrafico nella sua forma più evoluta. Il cittadino diventa così un Id account a cui sarà possibile collegare funzioni, servizi e diritti di varia natura. È legittimo dunque porsi la domanda di fondo. Il green pass serve a spingere la vaccinazione di massa o il contrario? Dinanzi a una siffatta potenza del lasciapassare verde e l'immensa impalcatura della blockchain si può forse dedurre che la vaccinazione non sia il suo fine ultimo o surrettizio. Ma che il green pass sia fine a sé stesso. E una volta messo a terra, non ci sarà marcia indietro. È chiaro che una volta ottenuta e rilasciata a tutti gli italiani l'Id digitale pubblica, per ora condizionata a condotte sanitarie, tale identità digitale possa essere in futuro non solo condizionabile, ma anche plasmabile facilmente per altre esigenze. Controlli fiscali, pagamenti, multe. Anche se la più importante si candida a essere l'applicazione dell'euro digitale, che così come previsto dalla Bce non potrebbe mai essere introdotto senza un'autostrada blockchain come quella del green pass.