Green Pass e sicurezza dei dati: cosa succede in Europa

redatto da Aryon Solutions | Cyber Security | 29 Ottobre 2021

Un fatto di cronaca, che ha riempito le pagine dei giornali di tutta Europa, ha destato l’attenzione delle autorità sulla vulnerabilità del sistema di sicurezza dei Green Pass.

Il Green Pass, come è definito in Italia, è la Certificazione verde COVID-19 (in inglese “EU digital COVID certificate”) nata su proposta della Commissione europea per agevolare la libera circolazione dei cittadini nell’Unione europea durante la pandemia. La certificazione si presenta in formato digitale e cartaceo e contiene un codice a barre bidimensionale (QR Code) e un sigillo elettronico qualificato. In Italia, viene emessa soltanto attraverso la Piattaforma nazionale DGC del Ministero della Salute.

Il Regolamento europeo sulla Certificazione è entrato in vigore il 1° luglio 2021 in tutti i Paesi dell’Unione con durata di un anno. L’Italia ha anticipato l’emissione della Certificazione verde COVID-19 al 17 giugno 2021 e ne ha esteso progressivamente l’utilizzo sul territorio nazionale.

Cosa certifica il Green Pass?

  • L’avvenuta vaccinazione anti COVID-19
  • La negatività al test antigenico rapido o al test molecolare
  • La guarigione dal COVID-19 negli ultimi sei mesi

Dunque, cosa è successo?

Green Pass europeo: i nostri dati sono al sicuro?

Quello che è accaduto è davvero singolare: ai controlli di verifica dei Green Pass con la app italiana VerificaC19, è stato scansionato un codice QR valido e intestato ad Adolf Hitler, con data di nascita 1/1/1900. Questo vuol dire che qualcuno ha prodotto certificati verdi falsi che funzionavano, ma che sono stati poi prontamente bloccati attraverso la revoca delle chiavi private crittografiche, che ne attestavano la validità.

Come è possibile?

Il sistema di sicurezza delle certificazioni COVID-19 si basa su un sistema di riconoscimento a due livelli: le chiavi segrete appartenenti agli enti di rilascio dei certificati e i dati stessi del pass, ossia il tipo di certificato e la validità. Le chiavi private sono una sorta di timbro o firma apposti sui singoli green pass dagli enti competenti dei vari Paesi europei. In Italia questo ente è Sogei, la società di Information Technology del ministero dell’Economia. Dunque, se l’app di verifica non riconosce una delle chiavi corrispondenti agli enti certificati, il Green Pass è non valido a prescindere dalla natura dei dati al suo interno.

Ciò vuol dire che per emettere i pass è necessario avere queste chiavi. L’esistenza di Green Pass validi ma falsi dimostra la manomissione del primo livello di sicurezza delle certificazioni sanitarie, ossia le chiavi private. Per entrare in possesso di queste chiavi, che sono file di dati, bisogna violare il sistema dell’ente e copiarli. Oppure, è possibile che questi dati siano sottratti a dipendenti o

persone che hanno accesso ai sistemi su cui transitano dati e certificati. Le ipotesi sono ancora molte, poiché non vi è una risposta chiara e univoca da parte delle autorità su ciò che sta succedendo in Europa.

Questo potrebbe anche aprire il discorso su un ambito più generale, quello della sicurezza dei dati di ogni cittadino realmente esistente, a cui potrebbero essere rubati indebitamente i nominativi per la creazione di Green Pass falsi ma validi.