I truffatori ne approfittano proponendo "originali" a pagamento, con tanto di offerte e "pacchetti famiglia"
di Michele Pinassi*
“Tutto il resto è truffa” cit.
SIENA. Dal 6 agosto 2021, per accedere a qualsiasi tipo di servizio di ristorazione al tavolo al chiuso, spettacoli, eventi e competizioni sportive, musei, istituti e luoghi di cultura, piscine, palestre, centri benessere, fiere, sagre, convegni e congressi, centri termali, parchi tematici e di divertimento, centri culturali e ricreativi, sale da gioco e casinò, concorsi pubblici, sarà necessario esibire il “greenpass“.
Per ottenerlo, è necessario aver fatto almeno una dose di vaccino oppure aver effettuato un test antigenico o molecolare (in questo caso, però, il greenpass vale solo 48 ore).
Tecnicamente, il greenpass è un codice QR che contiene queste informazioni: nome, cognome, data di nascita, tipo di vaccinazione/malattia, profilassi, produttore del vaccino, numero di serie della dose/del vaccino, data di vaccinazione, Stato che ha eseguito la somministrazione, l’Ente che rilascia il certificato e l’identificatore univoco del certificato.
Queste informazioni sono in chiaro (per questo non bisogna mai pubblicare sui social il proprio greenpass!) ma firmate digitalmente per evitarne, appunto, la contraffazione (maggiori info sul sito web ufficiale Certificazione verde COVID-19).
La sintassi del file JSON incorporato nel QRcode (estrapolabile con un qualunque lettore di QRcode) è definita da un draft pubblico europeo, che ne definisce i campi e il loro significato:
Da quando è scattata l’obbligatorietà per poter beneficiare di alcuni servizi, tuttavia, abbiamo assistito non solo alle proteste di chi ritiene questo obbligo “incostituzionale” ma, anche, di chi non ha perso tempo a proporsi sul mercato offrendo certificati verdi a pagamento.
Basta davvero poco, come una banale ricerca su Telegram, per approdare su un canale che offre, a cifre intorno ai 100-120€ (digitale o cartaceo) “GreenPass reali, non repliche, non documenti farlocchi. Tutti i dati presenti sui documenti sono reali e validati. I QR sono attivi e scansionabili e perfettamente in regola“.
A scanso di equivoci, dico subito che secondo me si tratta di una truffa bella e buona. E anche se fossero davvero “originali”, come asseriscono, sia l’acquisto che l’uso potrebbe configurarsi in un reato. Pertanto meglio stare lontani da certi venditori, poiché nella migliore delle ipotesi si perde denaro.
Prima di addentrarci nei meandri più tecnici del greenpass, due parole su come funziona la cifratura asimmetrica e sul perché dubito della veridicità di tali annunci.
È estate, fa caldo. Prendiamo un cocomero e spacchiamolo in due: le due parti combaceranno perfettamente, ma sarà difficile –spaccando altri cocomeri-, riuscire a trovare un’ altra metà capace di combaciare perfettamente. Queste due parti, uniche, che combaciano perfettamente si chiamano, nella cifratura asimmetrica, “coppia di chiavi“: chiave pubblica e chiave privata. Non mi addentro nei meandri matematici della fattorizzazione dei numeri primi, principio matematico alla base di questa tecnologia, ma basta sapere che un dato cifrato con la chiave pubblica può essere decifrato solo con la chiave privata. E viceversa.
È il funzionamento di alcuni famosi strumenti di cifratura asimmetrica come PGP e GPG, ormai utilizzati da migliaia di persone in tutto il mondo per proteggere le proprie comunicazioni: ogni utente genera la sua coppia di chiavi (pubblica e privata) e distribuisce liberamente la chiave pubblica, che sarà usata per cifrare il messaggio. All’arrivo di una mail cifrata con chiave pubblica, si applica la decodifica con la chiave privata.
La procedura di firma segue un principio analogo: si “firma” calcolando l’hash del messaggio e poi si cifra con la chiave privata: i destinatari, utilizzando la chiave pubblica liberamente disponibile, possono decifrare l’hash e confrontarlo, per verificare il contenuto del messaggio.
Tornando al nostro greenpass e le informazioni ivi contenute, queste sono firmate digitalmente con la chiave privata dello Stato Italiano (che spero sia conservata gelosamente…). Usando uno strumento di verifica, come l’app VerificaC19 rilasciata proprio dal Ministero della Salute, è possibile –usando la chiave pubblica– verificare la firma del certificato per attestarne la bontà.
Al che, in merito alla vendita di presunti “certificati validi”, la questione è semplice: o i malfattori sono in possesso della chiave privata ministeriale, che usano per generare firme valide, oppure parliamo di una truffa bella e buona. Tertium non datur, direbbero i latini!
Concludendo, spero di avervi aiutato a dissipare un po’ la nebbia “tecnica” attorno al greenpass. Invitandovi, in ogni caso, a non avvalervi mai di canali non ufficiali o comunque non autorevoli o non autorizzati: la truffa, in Rete, è sempre dietro l’angolo.