A carteirinha digital de vacinação está a caminho. É suposto ser baseado em criptografia e código fonte aberto para garantir mais segurança contra falsificações. No entanto, os fabricantes de segurança e a TÜV Süd estão cépticos em relação à carteira de vacinação via app.
O Conselho Europeu decidiu oferecer um certificado de vacinação digital. Até agora, as vacinas só eram registadas com autocolantes, carimbos e assinaturas em cartões de vacinação em papel. Os especialistas advertem, no entanto, que estes não são à prova de falsificação e podem ser copiados. Mas a carteira de vacinação digital também pode se tornar um alvo para os falsificadores. É por isso que a carteira de vacinação, seja analógica ou digital, deve ser suficientemente segura para evitar uso indevido ou roubo de identidade.
O cartão de vacinação digital é um suplemento voluntário da caderneta de vacinação amarela. É gerado no consultório do médico ou num centro de vacinação sob a forma de um código de barras 2D, também chamado de ficha de vacinação. O usuário escaneia isto diretamente ou o leva com ele em uma impressão em papel para escanear mais tarde através de uma aplicação gratuita. O aplicativo salva o certificado de vacinação localmente no smartphone. O código de barras só pode ser digitalizado uma vez e o certificado de vacinação é então ligado ao smartphone que o digitalizou.
Isto significa que o usuário pode decidir por si mesmo se e quando quer excluir seus dados. "Além disso, os dados devem ser armazenados de forma criptografada. Estas são condições positivas do ponto de vista da proteção de dados", diz Angela Lechermann, Team Leader Data Protection Consulting Services da TÜV Süd Akademie. "No entanto, a questão que se coloca é como garantir que os dados dos vacinados são protegidos quando lidos. Isto é especialmente verdade para viagens a países que são considerados países terceiros não seguros ao abrigo da lei de protecção de dados. Ao mesmo tempo, também é difícil cancelar a coleta de dados digitais após a pandemia. Isto é especialmente problemático porque envolve dados particularmente sensíveis de acordo com o artigo 9º do PIBR. Este processamento é proibido em princípio e só é permitido com excepções muito restritas"
Para os prestadores de serviços que queiram verificar o estado da vacinação, está planeada uma aplicação de verificação. Com ele, eles podem digitalizar o código de barras. Alternativamente, a verificação com a carteira de vacinação analógica é sempre possível. Com ambas as formas de identificação, uma identificação com foto também deve ser apresentada para verificação.
Thorsten Urbanski, especialista em segurança da Eset, é céptico quanto ao procedimento de verificação, no entanto: "É utópico acreditar que todo restaurante ou loja sempre vai pedir para ver uma carteira de identificação para verificar o estado da vacinação. Já existem procedimentos que são utilizados pelos provedores de pagamento, por exemplo. Por meio de um sistema back-end e verificações de plausibilidade, por exemplo, pode ser evitada a utilização simultânea de cartões de crédito em diferentes países ou cidades. Um sistema semelhante seria obrigatório para a carteira de vacinação digital ou o uso do código QR, tendo em conta a conformidade da protecção de dados. Ao verificar a carteira de vacinação via código QR e comparação de banco de dados, uma comparação deve ser feita com um sistema back-end. No entanto, isto pressupõe que a verificação por um segundo dispositivo através da aplicação regista os dados de localização durante o respectivo processo de verificação e os transmite à instância a ser correspondida. O rastreamento que ocorre, por sua vez, deve ser completamente anônimo"
Também Christine Schönig, Diretora Regional de Engenharia de Segurança CER em Check Point, adverte que "a discussão sobre a proporcionalidade entre digitalização e proteção de dados não deve ser simplesmente deixada de fora da equação"
Para garantir a proteção mais abrangente possível contra duplicação, a prova digital de vacinação é protegida criptograficamente contra alterações. Andreas Philipp, Gerente de Desenvolvimento de Negócios da Primekey, vê outro ponto positivo para a segurança do certificado de vacinação digital no uso do código fonte aberto, como já foi usado para o aplicativo de alerta Cororna: "Isso definitivamente contribuirá para a transparência, porque o código fonte pode então ser visto por especialistas independentes em segurança de TI e verificado quanto a vulnerabilidades ou backdoors"
Na Europa, o regulamento eIDAS, também chamado de serviços de identificação eletrônica e de confiança para transações eletrônicas (IVT) na Alemanha, está em vigor desde 2016. Isto fornece a base no que diz respeito às assinaturas electrónicas e à prestação de serviços de confiança, contribuindo assim para a protecção contra a falsificação. "Se os procedimentos técnicos, bem como as normas nele estabelecidas, forem implementados de forma consciente, então o passaporte digital de vacinação já está muito bem protegido contra a falsificação", diz Philipp.
Código fonte aberto e cooperação com a comunidade de código aberto ajudam a garantir que as vulnerabilidades possam ser identificadas e fechadas mais rapidamente. "Isto também se aplica a vulnerabilidades que permitiriam a contrafacção. A transparência no aplicativo Corona foi positivamente destacada pelo Chaos Computer Club, um grande sucesso! Se o cartão digital de vacinação pode construir sobre isso, então muito já foi alcançado", acrescenta Philipp.
Outra maneira de completar o cartão digital de vacinação, Schönig vê, é ler nos dados da cartilha de vacinação amarela e assim melhorar a autenticidade da informação. Ela acrescenta: "Infelizmente, porém, os registros de vacinação na caderneta amarela são facilmente falsificáveis e isso não deve acontecer da mesma forma com a carteira de identificação digital"