Ci sono ancora oltre 700 green pass rubati, disponibili su internet, validi. Altri 300 circa sono scaduti perché relativi alle prime dosi. Questo risulta a una nostra analisi del pacchetto di green pass italiani liberamente scaricabili sul web e su eMule. Il conto è al netto di vari doppioni.
Ancora green pass rubati validi
Non sono stati insomma ancora revocati i green pass, ma a quanto risulta è solo questione di ore perché il Garante Privacy a chiesto di metterli in black list al ministero della Salute entro 72 ore a partire da lunedì.
In altre parole, nonostante siano trascorse ormai diverse settimane dalla diffusione dell’archivio di migliaia di Green Pass italiani autentici, e la notizia abbia avuto un improvvisa fiammata anche sui media pochi giorni fa – con l’intervento del Garante, ancora il ruleset di VerificaC19 non è stato aggiornato per revocarli.
Green Pass rubati, gratis sul web ed eMule: che sta succedendo
L’analisi di Agendadigitale.eu
Con l’aiuto di Claudio Sono (@sonoclaudio su twitter) e Dario Fadda abbiamo fatto una verifica incrociata su tale archivio, dalla quale risulta che circa 774 risultano ancora validi, essendo gli altri scaduti perché relativi a prime dosi di 2.
Il ruleset, aggiornato alle ore 14.00, riporta 718 ID univoci revocati, tra cui i famigerati certificati attribuiti ad Adolf Hitler e Mickey Mouse. Tuttavia dei 1000 certificati pubblicati, nessuno risulta presente nella lista di revoca. E sembrerebbe che in questo pacchetto non ci sono green pass fasulli (come quelli di Hitler), ma relativi a persone autentiche: il motivo è che sono quasi tutti in formato pdf; alcuni sono persino in lingue diverse
Che succede ora
Il garante per la protezione dei dati personali è naturalmente edotto dell’avvenuta diffusione di questi dati sanitari, e pertanto ha avviato un’istruttoria e inoltrato al ministero della Salute una espressa richiesta di informativa. Lo scopo di tale informativa è quello di permettere al garante stesso di valutare la notifica di diffusione agli interessati.
Inoltre è stata richiesto anche la revoca dei certificati compromessi.
Agli utenti coinvolti sarà fornito un nuovo green pass.
Com’è potuto succedere
Il Garante Privacy sta indagando con le autorità competenti per capire come sia possibile. A questo scopo il Garante ha chiesto al ministero di comunicare ogni informazione utile a ricostruire l’origine della violazione, in particolare indirizzi IP delle postazioni, le eventuali credenziali coinvolte, o se siano coinvolti intermediari (medici, farmacisti), o se provengano da particolari zone geografiche.
Tutte queste informazioni servono a capire la causa del problema e a circoscriverlo.
Una ipotesi è un databreach, ma sembra poco probabile. I green pass nel pacchetto sembra frutto di violazioni diverse.
Le date indicano infatti che dal 7 agosto al 10 ottobre ogni giorno ha alcuni green pass (nessun giorno è “scoperto”), che sono anche in vari formati vari.
Tutto lascia pensare che siano stati raccolti da diverse fonti.
Possibile che gli utenti siano stati responsabili pubblicando foto del pass sui social o con condivisione di cartelle eMule. I pass potrebbero anche ricondursi ad app di verifica modificate per rubare queste informazioni, come già segnalato dal Garante.
App VerificaC19 “truccate”, per il Green Pass: grave rischio truffe e per la sicurezza pubblica
Una ipotesi al momento abbastanza accreditata tra gli inquirenti, a quanto risulta, è che possa essere coinvolto anche medici o farmacisti.
Le conseguenza del furto dei green pass
Il problema è grave perché i green pass possono essere usati gratis da no vax, mettendo a rischio l’efficacia dei controlli anti-contagio, proprio in una fase di recrudescenza del virus. La nuova stretta sul green pass, che sarà sempre più necessario in associazione alla vaccinazione, rende ancora più critico questo fronte.
Cosa rischia chi usa il pass falso o altrui
Ricordiamo che la pena è severa per chi usa un green pass falso.
- Violazione delle norme anti-covid se si introduce in un luogo dove è richiesto un pass autentico: da 600 a 1500 euro di sanzione.
- Per la falsificazione del pass c’è il reato di cui all’art. 482 codice penale, falsità materiale commessa dal privato: reclusine da quattro mesi a due anni.
- Se si è limitato a usare un certificato falso c’è il reato di uso di atto falso, articolo 489 codice penale: reclusione da due mesi a due anni;
- Infine, se il pass è di un’altra persona c’è il reato di sostituzione di persona (articolo 494 codice penale e reclusione fino a un anno. Sembra questo il reato che si configura con il download e uso di questi certificati online. Più la sanzione per avere aggirato le norme anti-covid.
