Un ricercatore informatico ha messo a nudo una serie di limiti tecnici e legali per cui, fondamentalmente, il Green pass non può decadere nemmeno in caso di furto, diffusione illecita o contagio di chi lo detiene
Sorpresa: il Green pass non si può invalidare efficacemente, nemmeno in caso di furto, diffusione illecita del codice QR o addirittura positività al Covid-19 del portatore della certificazione digitale europea. A suonare l’allarme è Matteo G. Flora, poliedrico esperto di informatica, che da uno scivolone della regione Toscana su Twitter (ossia la pubblicazione di un Green pass valido) ha scoperto la falla nel sistema italiano, che in teoria (ma non in pratica) prevede un modo per rigettare un certificato invalidato.
Assieme a Carlo Piana, avvocato esperto di IT, e Stefano Zanero, professore di cibersicurezza del Politecnico di Milano, Flora ha raccontato via YouTube i dettagli del caso. Il tutto si basa su un equivoco fondamentale: il digital green certificate europeo è, appunto, un certificato e non un pass, a prescindere dall’utilizzo che se ne possa fare. Il codice QR serve ad attestare l’avvenuta vaccinazione, la guarigione dal Covid o il risultato negativo di un tampone, tutti elementi con una data di scadenza naturale (rispettivamente nove mesi, sei mesi e quarantotto ore) entro la quale il Green pass “originario” risulta sempre valido.
In linea con le direttive europee, ogni codice QR è “firmato” da una chiave digitale che ne attesta la veridicità ed evita falsificazioni. Quella è la chiave in cui si inscrive, per esempio, la “revoca” che avviene se qualcuno in possesso di Green pass risulta positivo al Covid-19. Il problema è che la chiave è insita nel codice stesso e l’operazione di validazione tramite l’app VerificaC19 avviene offline per ovvi motivi (convenienza, ma anche contando che si può esibire un codice in versione cartacea, o comunque un salvataggio digitale di esso). E in barba alle direttive europee, che suggeriscono di limitare la validità delle chiavi digitali per “costringere” i detentori ad aggiornare i propri certificati, in Italia – per ragioni di comodità – si è pensato bene di farle coincidere con la scadenza naturale del pass.
Come rimarca Flora, il codice sorgente dell’applicazione VerificaC19 (disponibile online) non ha nessuna funzione per controllare la revoca – né sembra che ci sia la volontà di implementarla, per motivi di protezione dei dati sensibili e interoperabilità europea (infatti sta a ogni singola nazione definire quando e come far valere la certificazione). Semplicemente non si può confrontare il pass con una black list di quelli invalidati, non solo perché la verifica avviene offline, ma anche perché una tale lista di “codici paria” non può esistere per motivi di privacy, essendo legata agli identificativi personali dei detentori.
Dunque basta evitare di scaricare la versione aggiornata del codice QR, quella con la chiave “decaduta”, per rimanere in possesso di un Green pass perfettamente valido. “Il Digital green certificate non nasce come pass e l’usarlo come pass è stravolgerne l’utilizzo. Tant’è che non prevede l’idea stessa di quello che il governo italiano vuole fargli fare, cioè invalidarlo se tu ti ammali”, ha concluso Flora dopo aver sviscerato i tecnicismi. “In questo momento non esiste alcun modo per fare quello che vi hanno detto [i media] e i legislatori all’interno della norma. È una finzione”. E in effetti uno strumento nato per certificare l’avvenuta vaccinazione non può essere legalmente manipolato per “svaccinare”, seppur temporaneamente, il detentore.
