I green pass rubati e scaricabili sono validi: com'è potuto succedere - Agenda Digitale

l'analisi tecnica

I green pass rubati e scaricabili sono validi: com’è potuto succedere

Agendadigitale.eu, con l’aiuto di esperti, ha analizzato i circa mille pass trovati online, su web e su eMule. Ben 774 sono ancora validi. Il Garante Privacy ne ha chiesto la revoca. Soprattutto si sta indagando sulle cause del furto dei pass, che sembrano appartenere a utenti. Il problema è serio

24 Nov 2021
Federico Fuga

ingegnere elettronico, coordinatore della commissione ICT dell’Ordine degli Ingegneri della provincia di Verona

Alessandro Longo

Direttore agendadigitale.eu

Ci sono ancora oltre 700 green pass rubati, disponibili su internet, validi. Altri 300 circa sono scaduti perché relativi alle prime dosi. Questo risulta a una nostra analisi del pacchetto di green pass italiani liberamente scaricabili sul web e su eMule. Il conto è al netto di vari doppioni.

Ancora green pass rubati validi

Non sono stati insomma ancora revocati i green pass, ma a quanto risulta è solo questione di ore perché il Garante Privacy a chiesto di metterli in black list al ministero della Salute entro 72 ore a partire da lunedì.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

In altre parole, nonostante siano trascorse ormai diverse settimane dalla diffusione dell’archivio di migliaia di Green Pass italiani autentici, e la notizia abbia avuto un improvvisa fiammata anche sui media pochi giorni fa – con l’intervento del Garante, ancora il ruleset di VerificaC19 non è stato aggiornato per revocarli.

Green Pass rubati, gratis sul web ed eMule: che sta succedendo

L’analisi di Agendadigitale.eu

Con l’aiuto di Claudio Sono (@sonoclaudio su twitter) e Dario Fadda abbiamo fatto una verifica incrociata su tale archivio, dalla quale risulta che circa 774 risultano ancora validi, essendo gli altri scaduti perché relativi a prime dosi di 2.

Il ruleset, aggiornato alle ore 14.00, riporta 718 ID univoci revocati, tra cui i famigerati certificati attribuiti ad Adolf Hitler e Mickey Mouse. Tuttavia dei 1000 certificati pubblicati, nessuno risulta presente nella lista di revoca. E sembrerebbe che in questo pacchetto non ci sono green pass fasulli (come quelli di Hitler), ma relativi a persone autentiche: il motivo è che sono quasi tutti in formato pdf; alcuni sono persino in lingue diverse

Che succede ora

Il garante per la protezione dei dati personali è naturalmente edotto dell’avvenuta diffusione di questi dati sanitari, e pertanto ha avviato un’istruttoria e inoltrato al ministero della Salute una espressa richiesta di informativa. Lo scopo di tale informativa è quello di permettere al garante stesso di valutare la notifica di diffusione agli interessati.

Inoltre è stata richiesto anche la revoca dei certificati compromessi.

Agli utenti coinvolti sarà fornito un nuovo green pass.

Com’è potuto succedere

Il Garante Privacy sta indagando con le autorità competenti per capire come sia possibile. A questo scopo il Garante ha chiesto al ministero di comunicare ogni informazione utile a ricostruire l’origine della violazione, in particolare indirizzi IP delle postazioni, le eventuali credenziali coinvolte, o se siano coinvolti intermediari (medici, farmacisti), o se provengano da particolari zone geografiche.

Tutte queste informazioni servono a capire la causa del problema e a circoscriverlo.

Una ipotesi è un databreach, ma sembra poco probabile. I green pass nel pacchetto sembra frutto di violazioni diverse.

Le date indicano infatti che dal 7 agosto al 10 ottobre ogni giorno ha alcuni green pass (nessun giorno è “scoperto”), che sono anche in vari formati vari.

Tutto lascia pensare che siano stati raccolti da diverse fonti.

Possibile che gli utenti siano stati responsabili pubblicando foto del pass sui social o con condivisione di cartelle eMule. I pass potrebbero anche ricondursi ad app di verifica modificate per rubare queste informazioni, come già segnalato dal Garante.

App VerificaC19 “truccate”, per il Green Pass: grave rischio truffe e per la sicurezza pubblica

Una ipotesi al momento abbastanza accreditata tra gli inquirenti, a quanto risulta, è che possa essere coinvolto anche medici o farmacisti.

Le conseguenza del furto dei green pass

Il problema è grave perché i green pass possono essere usati gratis da no vax, mettendo a rischio l’efficacia dei controlli anti-contagio, proprio in una fase di recrudescenza del virus. La nuova stretta sul green pass, che sarà sempre più necessario in associazione alla vaccinazione, rende ancora più critico questo fronte.

Cosa rischia chi usa il pass falso o altrui

Ricordiamo che la pena è severa per chi usa un green pass falso.

  • Violazione delle norme anti-covid se si introduce in un luogo dove è richiesto un pass autentico: da 600 a 1500 euro di sanzione.
  • Per la falsificazione del pass c’è il reato di cui all’art. 482 codice penale, falsità materiale commessa dal privato: reclusine da quattro mesi a due anni.
  • Se si è limitato a usare un certificato falso c’è il reato di uso di atto falso, articolo 489 codice penale: reclusione da due mesi a due anni;
  • Infine, se il pass è di un’altra persona c’è il reato di sostituzione di persona (articolo 494 codice penale e reclusione fino a un anno. Sembra questo il reato che si configura con il download e uso di questi certificati online. Più la sanzione per avere aggirato le norme anti-covid. 

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4