C'è un Green Pass di Hitler che circola in Rete e non è una buona notizia per la campagna vaccinale (ma neanche catastrofica)

Non c’è voluto molto tempo perché diventasse virale, prima su forum specializzati e frequentati da appassionati di questioni informatiche come Raid Forums e poi su Twitter e gli altri social media , il Green Pass di Hitler.

In Italia è circolato inizialmente soprattutto su Twitter il (finto) Green Pass di Hitler. Fonte: Twitter/@disinformatico

Il finto certificato vaccinale di Adolf Hitler (che non è un semplice Green Pass contraffatto)

Si trattava, per alcune versioni, di una certificazione vaccinale intestata a un certo Adolf Hitler – evidentemente solo un omonimo del dittatore tedesco, considerato che i dati anagrafici non coincidono – nato il 1° ottobre 1900 e vaccinato a luglio 2021 in Francia contro il COVID-19 con l’unica dose prevista del vaccino a vettore virale di Janssen. In altre l’Adolf Hitler vaccinato contro il coronavirus era nato nel 1930 e aveva completato il ciclo con le due dosi di vaccini a mRNA.

A prima vista e per i dati che contiene, il Green Pass di Hitler può sembrare una certificazione verde contraffatta come ne circolano molte. Fonte immagine: Wired

Un “semplice” Green Pass contraffatto come in questi mesi ne sono circolati numerosi sembrava essere comunque la spiegazione più immediata.

I QR generati dopo che, a vaccinazione completa, si riceve l’apposito codice dalle autorità sanitarie riassumono infatti, trasformandole in un pattern univoco di quadratini bianchi e neri, informazioni personali come nome e cognome, paese di vaccinazione, ente che ha rilasciato la certificazione, sua data di scadenza, ecc. Non è difficile per questo contraffarli, né bisogna essere hacker esperti o frequentatori assidui del dark web per imbattersi in applicativi che permettono di generare Green Pass “fake”. Gli addetti ai lavori avevano messo in guardia da pericoli come questi già nei primi giorni di entrata in vigore della certificazione vaccinale verde, invitando i vaccinati a non condividere il proprio Green Pass sui social per evitare furti di dati e il rischio di essere vittime di truffe e raggiri.

Abbastanza presto è risultato evidente, però, che il Green Pass di Hitler non è semplicemente un Green Pass “fake”. Al contrario di quanto avviene con le certificazioni verdi contraffatte, anche quelle contraffatte impeccabilmente, le app per la scansione e la verifica dei Green Pass leggevano infatti come perfettamente valido il certificato vaccinale intestato ad Adolf Hitler.

Il 27 ottobre 2021 VerificaC19, l’app italiana per la verifica dei Green Pass, ha riconosciuto per del tempo come valida una certificazione vaccinale intestata ad Adolf Hitler. Fonte immagine: Il Disinformatico

Stando alla ricostruzione di un post su Il Disinformatico (il blog del debunker Paolo Attivissimo), insieme al Green Pass di Hitler presto hanno cominciato a circolare altri Green Pass finti, ma perfettamente funzionanti, intestati a personaggi di fantasia come Topolino, Spongebob o un certo Rokotepassieu Ota Yhteyttä Wickr, nome e cognome che in finlandese formerebbero una frase simile a «contattami su Wickr per un pass vaccinale europeo»¹.

Nel frattempo, infatti, sugli stessi forum informatici su cui la questione del Green Pass di Hitler aveva preso corpo alcuni utenti avevano cominciato a sostenere di poter creare e mettere in vendita Green Pass perfettamente funzionanti al costo di 300 euro l’uno. Unica condizione? Accontentarsi di una certificazione vaccinale rilasciata – naturalmente per finta – in Francia.

Tra i Green Pass finti ma perfettamente funzionanti diventati virali in Rete in queste ore c’è anche quello di Spongebob. Fonte: Twitter/@lupetto_

Quello che il Green Pass di Hitler e le altre certificazioni verdi finte circolate in queste ore in Rete hanno in comune è l’essere state rilasciate tutte dalla Caisse Nationale d’Assurance Maladie: come spiega tra gli altri Il Post, si tratterebbe di una sorta di omologo francese dell’INPS².

Perché VerificaC19 e altre app simili leggono come valido il Green Pass di Hitler

È stato questo dettaglio che ha permesso agli addetti ai lavori di capire, abbastanza presto, cosa fosse successo: sui forum e nei thread sui social non c’è voluto molto perché si cominciasse a ipotizzare che le app di verifica riconoscessero come validi questi Green Pass perché erano state violate, o più probabilmente perse, le chiavi crittografiche che le autorità sanitarie dei diversi paesi usano per dar vita a delle certificazioni vaccinali valide e univoche.

Il qr code associato ai Green Pass e che può essere stampato o visualizzato su app come Immuni altro non è, infatti, che un link. A identificare univocamente e a rendere valide quindi le certificazioni verdi è una stringa alfanumerica che contiene “criptate” alcune informazioni su vaccinato e ciclo vaccinale.

Quello adottato per i Green Pass è ancora – aspetto più importante per capire cos’è successo con il Green Pass di Hitler – un sistema di cifratura a doppia chiave, detto anche a volte di crittografia asimmetrica: significa che per decifrare un’informazione sono necessarie due chiavi, di cui una è pubblica e pubblicamente condivisa e l’altra è invece strettamente privata e da mantenere tale.

Nel caso delle certificazioni vaccinali, come ha spiegato AGI³, le informazioni codificate con la chiave privata (quelle riguardanti la persona vaccinata) possono essere decodificate solo confrontandole con la rispettiva chiave pubblica associata (a disposizione delle autorità sanitarie): se e solo se il “match” va buon fine è garantita la validità del documento in questione.

Se anche certificazioni fittizie come il Green Pass di Hitler o quello di Mickey Mouse o Spongebob funzionano e sono riconosciute come valide, insomma, due sono le possibili ipotesi.

L’ipotesi forzatura brutale delle chiavi di crittografia e quella, più probabile, che siano state perse

La prima ipotesi, che sembra però al momento residuale almeno in riferimento alla vicenda di queste ore, è piuttosto tecnica e allude alla possibilità che sia stata messa in atto un’operazione di brute-forcing su alcune chiavi private, cioè che le stesse siano state forzate dopo essersi accorti della possibilità che due o più Green Pass, magari emessi appunto dallo stesso ente, condividevano un certo parametro, una certa firma.

La seconda e su cui c’è più accordo è quella che dei malintenzionati siano venuti in possesso delle chiavi private che vengono utilizzate dagli enti terzi che nei diversi paesi si occupano burocraticamente del rilascio delle certificazioni vaccinali. Già a poche ore da quando era stato scoperto il primo, finto, Green Pass di Hitler Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, commentava su Twitter: «che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente»⁴.

Come sia potuto succedere, se di questo dovesse effettivamente trattarsi, non è comunque ben chiaro. C’è chi ha sottolineato che, essendo la CNAM una realtà relativamente piccola, non è escluso che ne possano essere stati violati i sistemi IT e che le chiavi private di crittografia siano state rubate a seguito dell’intrusione: non sembrerebbe casuale in questa prospettiva, come ha messo in evidenza anche ANSA, che a poco tempo di distanza abbiano cominciato a circolare anche altre finte certificazioni vaccinali apparentemente emesse dalla Polonia⁵, paese non di certo tra quelli noti per avere infrastrutture IT all’avanguardia o per applicare alti standard di cybersecurity. Non è escluso, però, l’errore umano nel diffondere pubblicamente chiavi che avrebbero dovuto restare private, né persino che qualcuno le abbia volontariamente e manualmente manipolate.

I finti Green Pass di Hitler, Topolino, Spongebob sono un problema, ma meno grave di quel si immagina

Se non è facile ricostruire per intero la vicenda, non è facile neanche stimarne danni e conseguenze. Di certo c’è, riprendendo ancora Il Post, che il Green Pass di Hitler può rappresentare un problema (e non di poco conto) per le attuali misure di contenimento del contagio.

All’inizio delle campagne vaccinali, infatti, i paesi europei hanno optato per una necessaria interoperabilità di Green Pass, certificati vaccinali e app per la loro verifica. È questa la ragione per cui, nonostante la Sogei — società che si occupa in Italia e per conto del Ministero dell’Economia della creazione e della distribuzione delle chiavi per i certificati verdi – abbia più volte ribadito che i propri sistemi sono intatti e di non aver subito violazioni o furti di alcun tipo, non è stato possibile impedire che l’app VerificaC19 leggesse come validi i Green Pass di Hitler e di Topolino, né sarà possibile impedire in futuro che faccia lo stesso con certificazioni vaccinali altrettanto fittizie.

Non si tratta però, almeno agli occhi degli addetti ai lavori, di niente di così «catastrofico», né capace di mostrare la «fallacia intrinseca» – espressioni utilizzate nella copertura mediatica della vicenda del Green Pass funzionante di Hitler – del meccanismo delle certificazioni verdi. La possibilità che le chiavi private vengano compromesse o violate, infatti, è sempre prevista quando si usano protocolli di crittografia asimmetrica e non può non esserlo stato anche nel progettare iter e modalità di rilascio delle certificazioni vaccinali contro il COVID-19.

Se vicende come quella del Green Pass di Hitler dovessero ripetersi basterà semplicemente dotarsi di nuove chiavi private di crittografia: ciò richiederà certamente, come effettivamente successo in queste ore, la revoca di tutti i certificati nel frattempo emessi con la chiave originaria e oggetto di violazione, ossia di invalidare temporaneamente i Green Pass e ripetere la procedura – solo nella parte informatica – fino a ottenerne altri con un nuovo timbro e nuovamente validi.

Non è un iter che richiede molto tempo: lo dimostra già il fatto che, a poche ore da quando sui forum e in Rete ci si era accorti che c’era qualcosa che non andava con i Green Pass di Hitler, Topolino e Spongebob, anche le app che inizialmente li riconoscevano come validi hanno cominciato a rifiutarli.

Green pass test using Italian VerificaC19 app

Come il Green Pass di Hitler rischia di creare un problema di delegittimazione di vaccini

Vicende come queste sembrano pericolose magari più per il significato simbolico che assumono. Intestare finte certificazioni vaccinali a personaggi come Adolf Hitler che, già da sé, non possono non generare polemiche e polarizzazioni crea inevitabilmente un’eccessiva eco mediatica su vicende che altrimenti resterebbero a portata esclusiva o quasi di addetti ai lavori e appassionati più addentro alla materia.

Quanto possano far danno l’ infodemia di notizie non sempre ben raccontate, la notiziabilità a tutti i costi, certi bias del giornalismo è apparso ben chiaro già dai primi giorni di emergenza sanitaria. Wired  parla così di «delegittimazione»⁶ – delle autorità sanitarie e governative, delle posizioni scientifiche sui vaccini, ecc. – per riferirsi all’impatto più pericoloso che il Green Pass di Hitler funzionante rischia di avere sulla compagna vaccinale. Questa vicenda potrebbe finire per confermare nelle proprie idee, cioè, chi è convinto che il sistema delle certificazioni vaccinali non funzioni, alimentando complottismi no vax e fake news sui vaccini, già ampiamente presenti in Rete.