Da oggi in poi il rischio è che i green pass potranno averli (illegalmente) anche i non vaccinati. A meno che non si intervenga velocemente per porre un freno a ciò che è accaduto e che da ieri sera sta facendo capire a tutti i paesi europei che c’è un bel problema di cui dovranno occuparsi con la massima urgenza. Da ieri, infatti, ha iniziato a circolare online, prima in forum specializzati e poi su Twitter, un Green Pass valido ma evidentemente falso: è intestato ad Adolf Hitler, anno di nascita: 01/01/1900. Quello che a prima vista sembrava un semplice fotomontaggio, in realtà è il risultato di un’operazione più complessa perché il codice QR da cui è stato verificato il Green Pass di Adolf Hitler è a tutti gli effetti funzionante.
Le app di verifica vedono a tutti gli effetti i green pass falsi come validi: un bel problema
Molte app di verifica del Green Pass, tra cui l’italiana VerificaC19, rilasciata dal ministero della Salute, considerano infatti questo certificato di Adolf Hitler autentico: nel momento in cui si inquadra il codice, sullo schermo compare una cornice verde che segnala la sua validità. Un bel problema: significa senza ombra di dubbio che qualcuno è riuscito a generare un Green Pass evidentemente falso, ma riconosciuto dalle app di verifica e quindi funzionante. Così come quello di Hitler, potrebbero essere creati altre migliaia di pass falsi ma di fatto riconosciuti funzionanti dalle app di controllo.
Tecnicamente cosa sta accadendo
Al momento non è semplice capire cosa sia successo, individuare le cause del problema e soprattutto valutare come ne esca l’intera procedura di generazione europea dei Green Pass in termini di affidabilità. I codici QR (i quadrati con vari pattern bianchi e neri al loro interno) dei Green Pass, che vengono mostrati per accedere in qualsiasi luogo in cui il certificato è obbligatorio, sono generati da diverse informazioni personali che formano una combinazione unica. Sono dati come il nome e il cognome della persona vaccinata, il paese della vaccinazione, il numero di dosi ricevute, la data di somministrazione, l’ente che ha emesso il Green Pass, il produttore del vaccino somministrato, il numero totale di dosi, la malattia coperta dal vaccino, la scadenza del codice e la data di generazione. Questi dati non sono cifrati.
La parte cifrata, la chiave crittografica, è invece una stringa di numeri, lettere e simboli che funziona come una firma che attesta che il codice QR non sia stato contraffatto. Questo tipo di crittografia utilizza un algoritmo detto “asimmetrico”: la chiave privata custodita dall’ente che ha emesso il certificato deve combaciare con la chiave contenuta nel certificato stesso. Le app per controllare il Green Pass verificano appunto che le due chiavi segrete, quella dell’ente e quella del certificato, si completino correttamente.
Qualcuno è entrato in possesso delle chiavi del sistema
In teoria solo gli enti sanitari autorizzati hanno le chiavi crittografiche private che consentono di generare Green Pass validi. Ma il fatto che qualcuno abbia creato un Green Pass funzionante intestato a un personaggio storico morto oltre settant’anni fa suggerisce che qualcuno sia entrato in possesso di queste chiavi e le abbia usate per produrre un certificato falso.
Secondo le prime analisi sul Green Pass falso attribuito a Hitler, l’ente che avrebbe emesso il certificato è la CNAM, la Caisse Nationale d’Assurance Maladie, l’equivalente francese dell’INPS italiano. Ma visto che è possibile contraffare anche queste informazioni, non si può escludere che sia stata utilizzata la chiave crittografica di un altro ente.
Tra le ipotesi d’intervento, annullare anche alcuni green pass validi per essere rifatti
Insomma, un bel grattacapo per tutta l’Europa, che ora dovrà prendere dei provvedimenti, prima che qualcuno possa approfittarsene, nel più breve tempo possibile. Già nelle prossime ore, infatti, sono in programma diverse riunioni a livello europeo tra tutti i soggetti tecnici interessati per un’analisi della situazione. Non si conosce al momento il numero dei codici sottratti né se il problema riguardi anche l’Italia, anche se sono in corso accertamenti. In molti dicono che dovranno essere annullati un gran numero di green pass, anche emessi per persone che ne hanno diritto, per essere rifatti. Staremo a vedere cosa succederà…
