Green pass, qr code falsi e app pirata per i controlli, quali sono i rischi?

di Luisa Di Giacomo, Avv.

Il green pass è ormai operativo da qualche settimana, con tutte le note polemiche che ne sono conseguite e che ben conosciamo, ma ecco che non appena sembra tornare la normalità, scoppia un nuovo caso mediatico. Abbiamo letto dei falsi green pass a nome di Adolf Hitler, nato il 1° gennaio 1900 e vaccinato nel 2021 (del resto, le teorie complottiste sulla fine del dittatore nazista sono ben note, quindi chi siamo noi per affermare con certezza che sia veramente morto?) ed in giorni più recenti abbiamo appreso che esistono app pirata in grado di leggere i QR Code dei green pass e che, così facendo, sono in grado di sottrarre tutti i dati relativi al suo possessore, anagrafici e di salute.

Si legga anche:”Garante privacy esprime parere alle modalità di verifica del Green Pass sui luoghi di lavoro alternative”

App per verificare il green pass

Il Garante per la Protezione dei dati personali ha messo in guardia contro entrambe le truffe, ricordando che l’unica app autorizzata ed ufficiale per la verifica del green pass è Verifica C19, che rispetta i requisiti richiesti per il trattamento dei dati in termini di misure di sicurezza e principio di minimizzazione.

Ma al di là delle cautele da adottare, sia in veste di controllori del green pass, che devono prestare molta attenzione ai dati che stanno controllando, segnalando immediatamente eventuali anomalie, sia in veste di controllati (a questo proposito bisognerebbe che gli utenti che mostrano il proprio certificato possano prima chiedere al controllore di mostrare l’app che viene utilizzata per il controllo, in modo da assicurarsi che sia quella ufficiale), quello che sta succedendo intorno al magico mondo del green pass dovrebbe fornirci ulteriori spunti di riflessione.

Il vero tema dei green pass falsi non è tanto il fatto che ci siano criminali a cui è venuto in mente di confezionarli e venderli, ed altri che hanno ben pensati di comprarli, ma la falla di sicurezza informatica nel sistema nazionale di generazione dei certificati che sta alla base.  Certo, se una storia d’amore finisce male non è detto che tutte le storie d’amore del mondo debbano finire nello stesso modo, ma è chiaro che se qualcuno è riuscito a confezionare QR Code fasulli che però hanno passato il vaglio dell’app ufficiale di verifica e sono passati per reali, vuol dire che si è verificata una violazione significativa dei sistemi di sicurezza informatica del green pass.

Creare un QR Code qualsiasi, infatti, è banale, ma crearne uno che contenga al suo interno le informazioni anagrafiche e sanitarie codificate nei QR Code originali e che abbia le chiavi crittografiche corrette, stabilite dall’ente che ha emesso il certificato e che dovrà essere “matchato” con lo strumento di verifica, lo è infinitamente meno. L’app che verifica i certificati, infatti, non contiene in chiaro la chiave crittografica dell’ente che li emette, ma è solo in grado di verificare se la chiave inserito nel QR Code che sta scansionando completi o meno la propria.

In caso positivo ne accerta l’autenticità, diversamente segnala che qualcosa non sta funzionando come deve.

Chiunque abbia realizzato questi falsi, dunque, o ha casualmente tentato le infinite combinazioni possibili fino a trovare quella giusta (improbabile), o ha in qualche modo violato il sistema informatico di gestione dei certificati, oppure ha avuto queste informazioni da qualcuno all’interno della struttura. Pare che la Commissione Europea, che sta investigando sul caso, propenda per quest’ultima ipotesi, che, per quanto incresciosa, sarebbe comunque confortante.

Ipotizzare una falla informatica di questa portata, infatti, implicherebbe una diffusa sfiducia nel sistema complessivo di gestione del green pass, molto più che immaginare la presenza di una “mela marcia” che abbia svolto il ruolo di complice interno.

In ogni caso, tuttavia, non possiamo non sottolineare ancora una volta la crucialità delle misure di sicurezza informatiche e l’importanza della cybersecurity come mezzo di protezione fondamentale per i cittadini e per il sistema pubblico e privato.

Strettamente correlato alla tematica della sicurezza delle informazioni e dei dati, poi, è il secondo episodio legato ai green pass, ovvero il proliferare di app pirata, immesse sul mercato con il solo scopo di carpire i dati dei cittadini e cederli successivamente a terzi.

Non bisogna essere esperti in data protection per capire che, se qualcuno si prende la briga di inventare un mezzo per avere informazioni su di noi, non lo fa per semplice curiosità, ma perché le informazioni che ci riguardano, i nostri dati personali hanno un valore economico inestimabile e rappresentano oggi la vera ricchezza di organizzazioni, imprese, Stati e, sì, anche criminali.

I dati sono il nuovo oro nero, diceva già dieci anni fa l’ex Garante della Privacy, Antonello Soro, e ancora, con i dati che possiede Google ha più potere di una dittatura.

Se ne sono accorti i criminali versione 2.0, che hanno messo su una rete che ad oggi è la terza “economia” mondiale dopo Stati Uniti e Cina per “fatturato”, ma che nei prossimi anni diventerà la prima, se ne sono accorte le aziende, che mai come in questi ultimi due anni, complice la pandemia, subiscono quotidianamente attacchi informatici dalla portata economica dirompente, se n’è accorto, pare, lo Stato italiano, che nella digitalizzazione della Pubblica Amministrazione sta investendo tempo e denaro.

Speriamo di capirlo sempre di più anche noi, privati cittadini, e speriamo di imparare a tutelare e proteggere i nostri dati come qualcosa di prezioso che ci riguarda e non continuare a pensare che chi se ne frega della privacy perché tanto noi non abbiamo niente da nascondere.

Che poi, alla fine, non è mai vero, perché tutti almeno una cosa da nascondere ce l’abbiamo…

Ebook consigliato

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Si è laureata a pieni voti all’Università di Torino, ha studiato in Francia e negli Stati Uniti e da quindici anni svolge la professione di avvocato. Mediatore professionista e docente presso Master e corsi specialistici in materia di mediazione, dal 2012 si occupa esclusivamente di privacy e protezione di dati personali. Ha conseguito il Master Federprivacy nel 2016, è DPO in una ventina di Comuni ed Enti Pubblici in Piemonte e consulente privacy per aziende in ambito sanitario e tecnologico.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it