Non un fotomontaggio ben riuscito ma un Green Pass vero e proprio intestato ad Adolf Hitler nato il 1 gennaio 1900, non un omonimo ultracentenario del dittatore austriaco (nato realmente nel 1889), ma il risultato di un’operazione più complessa perché il codice QR da cui è stato verificato il certificato verde è a tutti gli effetti funzionante e circola online, prima in forum specializzati e poi su Twitter, da martedì 26 ottobre.

Quasi tutte le app in circolazione utilizzate per verificare la validità dei Green Pass, tra cui l’italiana VerificaC19 rilasciata dal ministero della Salute, riconoscono il certificato di Adolf Hitler come autentico. Questo non significa che il dittatore è di nuovo fra noi, come nel riuscitissimo film di David Wnendt ‘Lui è tornato’, ma una cosa forse ancora più inquietante, ovvero che qualcuno è riuscito a generare un Green Pass evidentemente falso, ma riconosciuto dalle app di verifica e quindi funzionante.

Gli ormai celebri codici QR (i quadratoni puntinati di bianco e nero) mostrati per accedere in qualsiasi luogo in cui il certificato è obbligatorio, sono generati da diverse informazioni personali che formano una combinazione unica. Nome, cognome, Paese della vaccinazione, numero di dosi ricevute, data di somministrazione, ente che ha emesso il Green Pass, produttore del vaccino somministrato, numero totale di dosi, malattia coperta dal vaccino, scadenza del codice e data di generazione. Questi dati non sono cifrati, per questo se il codice QR viene condiviso online si espongono i propri dati sanitari.

La crittografia utilizzata dall’algoritmo è detta asimmetrica perché la chiave privata custodita dall’ente che ha emesso il certificato deve combaciare con la chiave contenuta nel certificato stesso. Le app per controllarne la validità verificano che le due chiavi segrete, quella dell’ente e quella del certificato, si completino correttamente.

L’ente che avrebbe emesso il certificato di Hitler, secondo una prima ricerca, è l’equivalente francese della nostra Inps, ma anche queste informazioni potrebbero essere state contraffatte. Su questa situazione si è espresso anche Stefano Zanero, docente di sicurezza informatica e informatica forense al Politecnico di Milano, non è chiaro infatti se le chiavi private siano state rubate dall’esterno oppure se i ‘ladri’ siano operatori dell’ente, anche se propende più per questa seconda ipotesi: “Che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente”, ha scritto su Twitter.

Per risolvere velocemente la situazione si dovrebbe revocare la validità delle chiavi compromesse e generare nuovi certificati per tutte le persone che avevano ottenuto il Green Pass dall’ente violato. Quali siano le conseguenze di questa possibile violazione sull’affidabilità del sistema di verifica e sulla credibilità di uno strumento che in Italia è indispensabile per lavorare, andare al ristorante, entrare negli stadi, assistere a concerti e spettacoli, sono ancora tutte da verificare.

