Falsi Green Pass, esperto: “C’è anche ipotesi truffa”

Il controllo di un Green Pass in una recente immagine d'archivio
Il controllo di un Green Pass in una recente immagine d'archivio. ANSA/FABIO CIMAGLIA

ROMA. – Il sistema dei sicurezza dei Green Pass si basa su una chiave privata custodita dagli enti che lo emettono, una specie di timbro digitale che rappresenta la base della verifica per app come l’italiana VerificaC19. Quando mostriamo il certificato verde per entrare in ufficio o in un ristorante, l’app confronta la parte cifrata del codice QR con la chiave crittografica in possesso della struttura che lo ha emesso. Se combaciano il pass è valido.

Se questa chiave viene manomessa o rubata è possibile generare falsi Green Pass che sembrano veri ai controlli, come è accaduto per alcuni certificati riconducibili a Polonia e Francia a nome di Adolf Hitler. “Rubare la chiave cifrata che protegge il sistema dei Green Pass è molto difficile ma non impossibile, tuttavia al momento la situazione non è chiara e si potrebbe trattare anche di casi isolati, certificati generati da qualcuno manualmente a scopo di truffa”: è il parere all’ANSA di Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano.

“Ad una prima analisi – aggiunge – sembrerebbe siano state sottratte le chiavi private che servono a firmare i Green Pass ma non c’è davvero una prova della loro sottrazione. Per dimostrare che si posseggono queste chiavi, chi l’ha fatto dovrebbe essere in grado di generare altri certificati falsi sul forum di discussione di questa notizia. Ma al momento queste prove non ci sono.

Potrebbe anche voler dire – spiega l’esperto – che si tratta di casi isolati, truffatori che hanno generato qualche certificato falso, con dati inseriti manualmente da qualche ‘impiegato infedele’, ed esibiti per mostrare capacità di generare certificati falsi e dare il via così ad una truffa. Non mi sembra questa azione abbia una matrice politica ma più di truffa”.

In attesa di capire come e se qualcuno sia entrato in possesso delle chiavi delle strutture pubbliche dei singoli Paesi, in Italia è Sogei a fornire i codici che generano i Green Pass, “i certificati vanno annullati e bloccati come è stato già fatto, osserva Zanero, la soluzione è una inversione di quelle chiavi che invalida tutti i pass generati e procede ad una loro ritimbrazione”.

“Al momento – conclude Zanero – non possiamo sapere l’estensione del fenomeno, nè la contezza del danno perchè, in caso di furto, le chiavi potrebbero essere anche state sottratte qualche mese. E in caso di revoche dei Green Pass è coinvolto l’intero sistema europeo di emissione, che ha regole diverse per i diversi Paesi”.

(di Titti Santamato/ANSA)