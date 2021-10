Ci sono dei Green Pass a nome Adolf Hitler, e le app di verifica li hanno riconosciuto (e in alcuni casi ancora li riconoscono) come validi. Non è uno scherzo di cattivo gusto, né la trama del sequel di Lui è tornato. Uno dei certificati è stato generato dall’utente di un forum dedicato all’hacking e ai leak, che li ha usati per promuovere la vendita di certificati fasulli ma validi per 300$ l’uno. L’utente è identificato dal nome “przedsiebiorca”, che significa semplicemente “imprenditore” in polacco.

I codici che girano online sono tre. Due sono graficamente dissimili, ma hanno lo stesso contenuto. Scansionandoli con l’app di analisi del QR code si apprende che sarebbero stati generati in Francia. Riportano il nome di Adolf Hitler in maiuscolo e la data di nascita è impostata sul primo gennaio 1900 (per chi se lo chiedesse, Hitler nacque il 20 aprile 1889). Il terzo codice è invece differente ed è quello generato da “przedsiebiorca”: il nome è in minuscolo, la data di nascita è impostata al 1930 e la nazione di emissione è la Polonia.

Durante la notte e fino alla prima mattinata del 27 ottobre l’app Verifica C19 del Ministero della Salute riconosceva tutti e tre pass come validi. A partire da metà mattinata i certificati francesi non vengono più verificati correttamente. Nel momento in cui scriviamo invece il terzo codice QR continua a risultare valido sia su Verifica C19, sull’app di verifica tedesca Corona-Warn-App e sulle app di controllo danese e belga.

“I due Green Pass sono evidentemente falsi, ma validi”, spiega a Italian Tech Enrico Ferraris, avvocato specializzato nella protezione dei dati personali. “Allo stato attuale l’ipotesi più probabile è che chi li ha generati abbia abusato delle chiavi private usate dalle strutture pubbliche per la firma dei QR Code, ma non è chiaro come le possa avere ottenute”

L’unico altro modo per generare un green pass falso ma verificabile è l’accesso diretto ai sistemi di un centro vaccinale: in quel caso però nessuno potrebbe generare così rapidamente un certificato a nome “Adolf Hitler”, e ci sarebbero una serie di limitazioni legate alla somministrazione delle dosi di vaccino.

Se, come pare sia successo, qualcuno ha effettivamente sottratto le chiavi crittografiche francesi e polacche per la generazione dei certificati, l’unica soluzione è la revoca delle chiavi stesse. Il sistema europeo prevede questa possibilità, da utilizzarsi proprio in un caso come questo. “L’invalidazione delle chiavi che hanno generato i green pass di Adolf Hitler renderà non più verificabili anche tutti gli altri certificati autentici generati con le stesse chiavi”, spiega ancora Ferraris.

Al momento non è chiaro se questa soluzione sia già stata implementata e se per questo motivo i green pass “francesi” di Adolf Hitler non vengano più riconosciuti come validi da Verifica C19. Se così fosse, è probabile che milioni di possessori di Green Pass francesi dovranno aggiornare i propri QR Code con le nuove chiavi valide. Per chi utilizza l’app ufficiale del governo il processo non sarà complicato, ma potrebbe essere meno semplice la ristampa dei codici di tutti coloro che invece utilizzano la versione su carta stampata in farmacia. Al momento i green pass italiani non hanno invece alcun problema e non si rende necessaria alcuna operazione da parte dei possessori.

