Green Pass e sicurezza dei dati: cosa succede in Europa
redatto da Aryon Solutions | Cyber Security | 29 Ottobre 2021
Un fatto di cronaca, che ha riempito le pagine dei giornali di tutta Europa, ha destato l’attenzione delle autorità sulla vulnerabilità del sistema di sicurezza dei Green Pass.
Il Green Pass, come è definito in Italia, è la Certificazione verde COVID-19 (in inglese “EU digital COVID certificate”) nata su proposta della Commissione europea per agevolare la libera circolazione dei cittadini nell’Unione europea durante la pandemia. La certificazione si presenta in formato digitale e cartaceo e contiene un codice a barre bidimensionale (QR Code) e un sigillo elettronico qualificato. In Italia, viene emessa soltanto attraverso la Piattaforma nazionale DGC del Ministero della Salute.
Il Regolamento europeo sulla Certificazione è entrato in vigore il 1° luglio 2021 in tutti i Paesi dell’Unione con durata di un anno. L’Italia ha anticipato l’emissione della Certificazione verde COVID-19 al 17 giugno 2021 e ne ha esteso progressivamente l’utilizzo sul territorio nazionale.
Cosa certifica il Green Pass?
- L’avvenuta vaccinazione anti COVID-19
- La negatività al test antigenico rapido o al test molecolare
- La guarigione dal COVID-19 negli ultimi sei mesi
Dunque, cosa è successo?
Green Pass europeo: i nostri dati sono al sicuro?
Quello che è accaduto è davvero singolare: ai controlli di verifica dei Green Pass con la app italiana VerificaC19, è stato scansionato un codice QR valido e intestato ad Adolf Hitler, con data di nascita 1/1/1900. Questo vuol dire che qualcuno ha prodotto certificati verdi falsi che funzionavano, ma che sono stati poi prontamente bloccati attraverso la revoca delle chiavi private crittografiche, che ne attestavano la validità.
Come è possibile?
Il sistema di sicurezza delle certificazioni COVID-19 si basa su un sistema di riconoscimento a due livelli: le chiavi segrete appartenenti agli enti di rilascio dei certificati e i dati stessi del pass, ossia il tipo di certificato e la validità. Le chiavi private sono una sorta di timbro o firma apposti sui singoli green pass dagli enti competenti dei vari Paesi europei. In Italia questo ente è Sogei, la società di Information Technology del ministero dell’Economia. Dunque, se l’app di verifica non riconosce una delle chiavi corrispondenti agli enti certificati, il Green Pass è non valido a prescindere dalla natura dei dati al suo interno.
Ciò vuol dire che per emettere i pass è necessario avere queste chiavi. L’esistenza di Green Pass validi ma falsi dimostra la manomissione del primo livello di sicurezza delle certificazioni sanitarie, ossia le chiavi private. Per entrare in possesso di queste chiavi, che sono file di dati, bisogna violare il sistema dell’ente e copiarli. Oppure, è possibile che questi dati siano sottratti a dipendenti o
persone che hanno accesso ai sistemi su cui transitano dati e certificati. Le ipotesi sono ancora molte, poiché non vi è una risposta chiara e univoca da parte delle autorità su ciò che sta succedendo in Europa.
Questo potrebbe anche aprire il discorso su un ambito più generale, quello della sicurezza dei dati di ogni cittadino realmente esistente, a cui potrebbero essere rubati indebitamente i nominativi per la creazione di Green Pass falsi ma validi.
Archivi
- Novembre 2023
- Aprile 2023
- Luglio 2022
- Maggio 2022
- Aprile 2022
- Marzo 2022
- Febbraio 2022
- Gennaio 2022
- Dicembre 2021
- Ottobre 2021
- Settembre 2021
- Agosto 2021
- Luglio 2021
- Giugno 2021
- Maggio 2021
- Aprile 2021
- Marzo 2021
- Febbraio 2021
- Gennaio 2021
- Dicembre 2020
- Novembre 2020
- Ottobre 2020
- Settembre 2020
- Agosto 2020
- Luglio 2020
- Giugno 2020
- Maggio 2020
- Aprile 2020
- Marzo 2020
- Febbraio 2020