"Falsificare i Green pass è facile": ecco che fine fanno i nostri dati

Dopo la nostra inchiesta, ci siamo domandati come sia possibile che migliaia di Green pass validi siano finiti in rete. Messi lì, in grandi cartelle dove ognuno di noi può benissimo scegliere quello che più gli si addice per poi scaricarselo gratis. La certificazione verde risulta valida, permette di accedere ovunque e il vero proprietario del pass è ignaro della beffa che si consuma alle sue spalle.

Che questo traffico sia illegale è un dato di fatto. Che ci siano dei furbetti che ne traggono beneficio pure. Ma come è possibile che i nostri Green pass siano alla mercé di sconosciuti? I nostri dati sono al sicuro? Come possiamo tutelarci? Per cercare di districarci in questo groviglio di domande, abbiamo contattato Marianna Vintiadis, fondatrice di 36Brains ed esperta di corporate intelligence.

Come hanno fatto a ottenere questi Green pass?

"Moltissime persone (siccome l'app come 'Io' può essere macchinosa) per evitare la noia e per essere più pratici fanno la foto del Green pass e la conservano nel telefonino. Quando un ristoratore, ad esempio, lo domanda ecco che viene mostrata la foto precedentemente salvata. Cosa ci indica questa cosa? Che sostanzialmente le informazioni necessarie sono contenute non in un codice ma proprio nel disegno. È il modo in cui è fatto il Qr code, è la sua forma che contiene le informazioni. È come un codice a barre, quindi, risulta leggibile al fine di dare una conferma. Questo vuol dire che chiunque faccia una foto al suo codice lo può usare. Le modalità per raccoglierli possono essere molteplici. Mettiamo che siano stati rubati banalmente da una persona che fa finta di fare il controllo, mentre invece sta fotografando il suo pass. Immagini quanti ne può collezionare. Potrebbero anche essere stati piccoli atti anarchici, diffusi più o meno volontariamente. E sarebbe anche difficile dimostrarlo che una persona volontariamente ha diffuso questi dati. Sono dati che girano molto e sono molto facilmente ottenibili. Però, senza fare troppe speculazioni, è molto facile fare copie perfette ed è per questo che è così facile fare questo tipo di falsificazione"

È possibile ovviare a questo problema?

"Per esempio chiedendo una forma di identificazione perché nel momento in cui uno mostra il documento quello che succede è sotto controllo. Nel Green pass c'è la data di nascita e il nome del soggetto, basterebbe una semplice comparazione. Solo che tipicamente questa cosa non viene fatta, ritengo sostanzialmente per praticità. Ma al ristoratore viene chiesto di controllare che la persona che entra abbia il Green pass e non di fare il poliziotto, quindi di ispezionare il documento"

Lei crede che esibire il Green pass senza documenti non sia sufficiente quindi?

"Io ho una posizione poco critica nei confronti di un sistema di questo tipo. Perché se noi vogliamo fare controlli di massa dobbiamo rendere il sistema fruibile. E nella sicurezza c'è una regola d'oro: più un sistema è sicuro meno è fruibile. Faccio un esempio: uno in casa propria magari corre il rischio che entrino i ladri. Ogni giorno fa una serie di considerazioni in base a quello che è il rischio percepito, in base alla difficoltà di implementare le misure di sicurezza. Usciamo 10 minuti a comprare il pane? Magari tiriamo una mandata alla porta e usciamo. Andiamo via per tre settimane per le vacanze estive? Allora mettiamo l'allarme, chiudiamo bene, chiediamo ai vicini di tener d'occhio e, magari, di avvertirci se devono qualcosa di strano. Il livello di percezione del rischio cambia il nostro atteggiamento. Perché non chiedere ai vicini e mettere l'allarme anche quando si esce per 10 minuti? Perché è troppo lungo e poco fruibile. Il problema della sicurezza è il trade-off, lo scambio tra o lo rendo più fruibile o lo rendo più sicuro. Questo è il tipico problema della sicurezza. Questo è un sistema che, se vogliamo evitare il più possibile la malafede e l'utilizzo improprio dovremmo essere più rigidi. Tuttavia, si va inevitabilmente sulle nebbie. Cosa dobbiamo fare? Le ronde e i raid notturni? A un certo punto facciamo il più possibile informazione, cerchiamo di far comprendere i rischi, poi se una persona dovesse essere trovata con il certificato falso è un reato, ma quello che voglio dire è che ci sono metodi per rendere il sistema più sicuro, però il costo di farlo è significativo. Non basta il solo Green pass, ma aggiungere un passaggio creerebbe ancora più caos"

Mentre aprivamo queste grandi cartelle con dentro 300, 500 e addirittura 1000 Green pass, abbiamo anche pensato che un hacker avesse bucato il sistema. È possibile secondo lei?

"Io non li ho visti, li dovrei vedere e fare un'analisi tecnica. Diciamo che potrebbe anche essere, però, non avrebbe molto senso perché sono informazioni molto facilmente collezionabili e confezionabili"

Però è pericoloso che in rete si possano scaricare Green pass validi di altre persone. Non corriamo troppi rischi?

"Sì, certo. Come le dicevo l'unico modo è quello di chiedere un documento di identificazione insieme al Green pass. Ma la macchina andrebbe a incepparsi. L'app del governo, VerificaC19, non dovrebbe tenere in memoria i nostri dati e quindi non dovrebbe farci pensare a fughe di dati. Ma qui il grande problema è che con questi certificati disponibili online e in modo del tutto gratuito si sta dando una mano a chi non vaccinato potrebbe diffondere la malattia. Si sta aiutando un possibile untore: questo è il vero tema per me"

Ha collaborato Francesca Galici