Da Wired.it :
La Commissione europea e gli Stati dell’Unione sono al lavoro per creare un sistema di revoca dei green pass falsi. Dopo il caso dei certificati fraudolenti, come quello a nome di Adolf Hitler, il cui qr code passa l’esame delle app di verifica, l’ipotesi allo studio è di creare liste in cui inserire i green pass non validi e far scattare la luce rossa al momento del controllo. Lo confermano a Wired fonti interne alla Commissione e ai gruppi di lavoro dell’eHealth Network, che coordina le infrastrutture digitali per la salute. Come il nodo di interscambio per il controllo dei green pass all’interno dell’Unione.
Se la revoca del green pass era un tema rimasto dormiente dopo il lancio, a giugno, del sistema dei digital green certificate (come l’Unione ha ribattezzato i certificati digitali di avvenuta vaccinazione, guarigione da Covid-19 o test negativo nelle 48 o 72 ore precedenti), la comparsa in rete di documenti smaccatamente fasulli, ma validi in fase di controlli, ha riaperto il dossier. Dalla Direzione generale Connect, che ha supervisionato la realizzazione del gateway comunitario per lo scambio e la verifica dei green pass tra gli Stati dell’Unione, arriva a Wired la conferma che gli uffici sono a conoscenza dei sospetti di una manipolazione dei qr code del green pass e che sono in contatto che le autorità degli Stati coinvolti che stanno investigando sul caso.
Il blocco dei green pass falsi
Primo passo: bloccare i primi documenti fasulli. La Commissione conferma a Wired di aver bloccato i primi due. Anche se questa procedura sta richiedendo tempo per l’aggiornamento delle app di controllo. In per esempio, come scrive il giornalista Paolo Attivissimo, alcuni utenti possono ancora inquadrare i qr code fraudolenti, come quello di Hitler, e ricevere luce verde con l’applicazione italiana Verifica C19.
Capire cos’è successo
Il secondo passaggio è impedire che si ripeta. Su questo dovranno far luce le indagini in corso. La versione della Commissione, che sposa le letture di molti tecnici circolate in queste ore, è che una persona dotata delle credenziali di accesso ai sistemi informatici nazionali per la creazione dei green pass abbia generato questi documenti o abbia fornito le sue chiavi ad altri per creare i certificati falsi. In Francia e in Polonia, le autorità stanno conducendo delle indagini per attività fraudolenta, contraffazione di documenti e furto di identità. Secondo quanto apprende Wired da fonti della Commissione, le chiavi crittografiche per la firma dei certificati non sarebbero state compromesse. Motivo per cui Bruxelles punta il dito contro attività illecite e non per problemi tecnici, ribadendo la fiducia nel sistema del digital green certificate.
Tuttavia, come spiegato a Wired da fonti confidenziali e confermato anche da un utente Twitter, Xiloe, che si presenta come uno sviluppatore, alcune piattaforme per la generazione dei green pass presenterebbero interfacce esposte in rete. Wired è a conoscenza del caso della Macedonia del Nord, già noto anche alle autorità comunitarie. I green pass macedoni, come quelli di Turchia e Ucraina, da fine agosto sono riconosciuti anche all’interno dell’Unione, e i database collegati al sistema di interscambio comunitario. Secondo la ricostruzione fornita a Wired, alcune interfacce della piattaforma del governo di Skopje erano esposte su internet e protette da password di default. Xiloe dichiara su Twitter di aver individuato almeno 6 interfacce esposte.
Questo spiega una parte del problema. Poi c’è l’altra metà della storia: una volta all’interno, autorizzato o meno, come fa l’utente a creare un green pass fasullo di cui non resta traccia negli archivi? Come spiegato da Matteo Flora, informatico, imprenditore ed esperto di digitale, in un video, l’applicazione di emissione dei green pass consente di fare una preview del documento, che è valida anche se poi non viene salvato.
La revoca dei certificati fasulli
Il terzo problema è: come revoco il green pass falso? In rete sono emersi casi eclatanti, con nomi di fantasia marchiani (come Spongebob o Mickey Mouse). Ma così come non vi è certezza che chi oggi promette documenti falsi a caro prezzo, come nel thread interno a Raid Forum, nel quale un utente che si fa chiamare przedsiebiorca (tradotto dal polacco, imprenditore) afferma di essere in grado di generare qualunque tipo di green pass a 300 dollari l’uno, usando il documento di Adolf Hitler come prova, possa replicare l’esperimento, così non vi è contezza di quanti documenti verosimili (magari con nomi credibili o reali) siano in circolazione. Un danno soprattutto per quei paesi, come l’ che sul green pass hanno appoggiato un pezzo importante della strategia di contenimento di Covid-19.
Siccome invalidare le chiavi che hanno firmato il documento falso implicherebbe un blocco in massa di un gran numero di documenti, la maggior parte dei quali regolari, nelle riunioni in corso tra i rappresentanti dei governi europei in queste ore si spinge per adottare un meccanismo di revoca. Per semplificare, l’idea è di inserire i green pass falsi in liste nere che li invalidano al momento della verifica (crl, certificate revocation list). Più che tecnico, il problema è giuridico: così facendo, il gateway, ossia il sistema di interscambio tra le banche dati nazionali dei green pass, accumulerebbe dati relativi ai certificati in blacklist. Informazioni che il Garante per la protezione dei dati a livello europeo reputa personali e il cui trattamento, pertanto, dovrebbe essere normato da un intervento ad hoc. L’alternativa è uno scambio peer to peer tra singoli Stati.