Passi falsi del passaporto del vaccino che non dovremmo ripetere

I mandati sui vaccini stanno diventando sempre più urgenti da parte dei funzionari della sanità pubblica e di vari governi. Man mano che vengono implementati, dobbiamo proteggere gli utenti dei passaporti dei vaccini e coloro che non vogliono utilizzare, o non possono utilizzare, un mezzo digitalmente scansionabile per dimostrare la vaccinazione. Non possiamo permettere che gli strumenti utilizzati per lottare per la salute pubblica vengano sovvertiti in sistemi per perpetuare l'iniquità o come copertura per la raccolta di dati non correlati e non necessari.

Nell'ultimo anno, l'EFF ha monitorato le proposte di passaporto per i vaccini e il modo in cui sono state implementate. Noi abbiamo obiezioni -e specialmente quando srotolato dalle aziende tech opportunisti che stanno già creando disuguaglianza digitale e cattiva gestione dati degli utenti . Speriamo di poter impedire loro di trasformarsi in un altro livello di monitoraggio degli utenti.

La prova cartacea della vaccinazione solleva meno preoccupazioni, così come una foto digitale di una carta cartacea visualizzata sullo schermo di un telefono. Di molto più preoccupante sono le credenziali di vaccinazione scansionabili, che potrebbero essere utilizzate per tracciare i movimenti fisici delle persone attraverso le porte e nel tempo. Pertanto, ci opponiamo a qualsiasi utilizzo di credenziali di vaccinazione scansionabili. Come minimo, tali sistemi devono avere un'alternativa cartacea, codice open source e garanzie di progettazione e policy per ridurre al minimo il rischio di tracciabilità.

L'anno scorso i "passaporti di immunità" sono stati proposti e talvolta implementati prima ancora che la scienza fosse ben sviluppata sull'immunità e la vaccinazione COVID-19. Pare che molti governi e aziende private siano stati guidati meno dalla salute pubblica e dalla scienza informate, quanto dalla necessità di promuovere il movimento economico. Alcune organizzazioni e governi hanno persino colto l'occasione per creare un nuovo sistema di verifica digitale per i vaccinati. La trasparenza e la protezione necessarie sono mancate e quindi sono stati definiti confini chiari per impedire che si trasformino in un sistema di sorveglianza non necessario. Anche se riconosciamo che molti sistemi di credenziali per i vaccini sono stati implementati in buona fede, ci sono diversi esempi di seguito di passi falsi pericolosi che speriamo non si ripetano.

Excelsior Pass dello Stato di New York

Lanciata ad aprile, questa applicazione mobile opzionale ha avuto un'adozione graduale. Tre problemi chiave sono emersi con questa distribuzione.

Innanzitutto, IBM non è stata trasparente su come è stata creata questa applicazione. Invece, la società ha utilizzato parole d'ordine vaghe come "tecnologia blockchain" che non dipingono un quadro dettagliato su come stanno proteggendo i dati degli utenti.

In secondo luogo, il Surveillance Technology Oversight Project (STOP), un membro dell'Electronic Frontier Alliance, ha scoperto un contratto che lo Stato di New York aveva con IBM, delineando una "fase 2" del passaporto. Avrebbe non solo un prezzo significativamente più alto (da $ 2,5 milioni a $ 27 milioni), ma un'espansione su ciò che Excelsior può contenere, come le patenti di guida e altri documenti sanitari.

In terzo luogo, un mese dopo il lancio dell'Excelsior Pass è stato introdotto un disegno di legge per proteggere i dati Covid. È passato all'Assemblea dello Stato di New York, ma non è mai stato adottato dal Senato dello Stato di New York. Le protezioni avrebbero dovuto passare prima che lo stato lanciasse l'Excelsior Pass.

Un percorso "chiaro" per centralizzare le credenziali di vaccinazione con altri dati personali

CLEAR è già presente nei principali aeroporti degli Stati Uniti come unica compagnia privata nel programma Registered Traveler di TSA. Quindi questa azienda è stata preparata per il lancio del suo Health Pass , che ha lo scopo di facilitare lo screening Covid collegando i dati sanitari all'identificazione digitale basata sulla biometria. Il modello di business originale di CLEAR è nato da una precedente corsa alla sicurezza, in un mondo post-11 settembre. Ora sono lì per il prossimo compito di sicurezza affrettato: la verifica delle vaccinazioni per il viaggio. Nelle parole del responsabile degli affari pubblici di CLEAR, Maria Comella, ad Axios :

“L'affidabile piattaforma di identità biometrica di CLEAR è nata l'11 settembre per aiutare milioni di viaggiatori a sentirsi al sicuro durante il volo. Ora, la tecnologia touchless di CLEAR è in grado di collegare l'identità alle informazioni sulla salute per aiutare le persone a sentirsi sicure di tornare in ufficio”.

Un'app per la prenotazione di ristoranti, OpenTable , ha appena annunciato l'intenzione di integrare le credenziali di vaccinazione di CLEAR nel proprio sistema. Non c'è limite logico al modo in cui le identificazioni digitali centralizzate come quelle create da CLEAR potrebbero diffondersi nelle nostre vite facilitando la prova della vaccinazione e con essa nuovi vettori per tracciare i nostri movimenti e attività.

Ovviamente CLEAR non è l'unica azienda che attira apertamente grandi clienti del governo per unire sistemi di prova di vaccinazione scansionabili in sistemi di identificazione digitale e archiviazione dati più grandi. Ad esempio, il National Healthcare System nel Regno Unito ha stipulato un contratto con Entrust, un'altra società che ha apertamente contemplato la possibilità di trasformare le credenziali di vaccinazione in sistemi di identificazione nazionali (a cui l'EFF si oppone ). Senza leggi federali che proteggano adeguatamente la privacy dei nostri dati, ci viene chiesto di fidarci della parola di aziende orientate al profitto che continuano a crescere attraverso la raccolta e la monetizzazione dei nostri dati in tutte le forme.

Allo stesso modo, le compagnie aeree statunitensi utilizzano passaporti vaccinali, soggetti a politiche che riservano la prerogativa aziendale di vendere a terzi i dati sui clienti . Quindi qualsiasi scansione delle informazioni sulla salute dei passeggeri può essere aggiunta ai profili delle migliaia che viaggiano ogni anno.

L'approccio dell'Illinois

In Illinois all'inizio di questo mese, il sistema statale "Vax Verify" è stato lanciato per offrire credenziali digitali ai cittadini vaccinati. Un difetto lampante è l'utilizzo di Experian, il controverso data broker , per verificare l'identità di chi accede al portale. Il portale richiede anche i numeri di previdenza sociale (opzionale) per semplificare il processo con Experian.

Molti americani sono stati bersagli di truffe basate sul Covid , quindi uno dei principali consigli è di congelare il credito durante questo periodo turbolento. Questo consiglio è offerto sul sito Web di Experian , ad esempio. Tuttavia, per accedere a Vax Verify dell'Illinois, gli utenti devono sbloccare il loro credito con Experian per completare la registrazione. Ciò dà la priorità a una credenziale vaccinale digitale rispetto alla protezione del credito dell'utente.

Per impostazione predefinita, il sistema condivide anche lo stato di immunizzazione con terze parti. La pagina delle FAQ spiega che gli utenti possono revocare retroattivamente il cosiddetto “consenso” a questa condivisione.

Una nuova iniquità

Abbiamo espresso preoccupazione per i "passaporti dei vaccini" e i "passaporti di immunità" utilizzati per anteporre i profitti dell'azienda alle vere soluzioni sanitarie della comunità e amplificare l'ingiustizia.

Purtroppo, abbiamo visto molti prendere la strada sbagliata. E potrebbe peggiorare. Con oltre cento candidati al vaccino COVID-19 in fase di sperimentazione clinica in tutto il mondo, i produttori di questi nuovi sistemi digitali stanno sostenendo una "catena di fiducia" che contrassegni come validi solo alcuni laboratori e istituzioni sanitarie. Questo nuovo marcatore lascerà deliberatamente alle spalle molte persone in tutto il mondo i cui sistemi potrebbero non essere in grado di aderire ai requisiti creati da questi nuovi sistemi digitali di prova dei vaccini. Ad esempio, molti di questi nuovi sistemi comportano elementi di governance dell'infrastruttura a chiave pubblica per la crittografia a chiave pubblica, che crea un elenco di chiavi pubbliche "attendibili" associate a laboratori sanitari "affidabili". Ma la definizione di "affidabilità" tecnica non è stata concordata o applicata prima del Covid, sollevando preoccupazioni sul fatto che l'imposizione di tali sistemi nel mondo impedirà a centinaia di milioni di persone di ottenere visti o addirittura di viaggiare, tutto perché il loro paese i laboratori potrebbero non superare questi ostacoli tecnici non necessari. Un esempio potrebbe essere il sistema di certificazione digitale COVID dell'UE . Ciò richiede un elenco significativo di requisiti tecnici per ottenere l'interoperabilità che includa disponibilità dei dati, formati di archiviazione dei dati e protocolli di comunicazione e serializzazione dei dati specifici.

Questa dipendenza primaria dai passaporti digitali spinge efficacemente alla presentazione di opzioni cartacee per i viaggi internazionali e potenzialmente anche per i viaggi nazionali. Svalutano la carta come un adeguato controllo della prova di vaccinazione perché il verificatore non può scansionare una chiave pubblica. L'unica opzione cartacea praticabile è stampare il codice QR delle credenziali verificate digitalmente, che ancora bloccano le persone in questi nuovi sistemi di verifica.

Questi nuovi sistemi basati sulla fiducia, se implementati in modo da squalificare automaticamente le persone che hanno ricevuto vaccinazioni autentiche, causeranno effetti disastrosi negli anni a venire. Crea un mondo in cui alcune persone possono muoversi facilmente e coloro che hanno già avuto difficoltà con i visti sperimenteranno un altro muro da scalare. I vaccini dovrebbero essere uno strumento per riaprire le porte. I passaporti digitali per i vaccini, come li abbiamo visti distribuiti finora, hanno molte più probabilità di chiuderli.

Questo post è stato aggiornato il 9/2/21 per riflettere la scoperta più recente del costo potenziale per il NY Excelsior Pass. Fonte: https://www.nytimes.com/2021/08/19/nyregion/new-york-excelsior-pass-cost.html