Il 24 Ottobre 2021 si è diffusa – dapprima su Internet e poi sui media ufficiali – una notizia di eccezionale gravità :
sono stati costruiti e messi in vendita sul web certificati Green Pass falsi, che superano tutti i controlli – inclusa la App italiana governativa VerificaC19.
Come esempi dimostrativi i venditori invitano i potenziali acquirenti a scansionare e verificare che risultino regolari i QR-Code di Mickey Mouse, Adolf Hitler e Napoleone, che effettivamente superano con esito positivo tutti i controlli delle App.
Presumibilmente molti Green Pass contraffatti sono già in circolazione in tutta Europa, e anche in Italia.
Dopo le prime ricerche, sembra che per generare i falsi certificati siano utilizzate delle chiavi crittografiche private appartenenti ad un Istituto polacco, ed un altro francese, con il coinvolgimento di un sito macedone.
Semplificando al massimo per i non addetti ai lavori, il Green Pass contiene una ‘chiave digitale’ del più elevato livello di sicurezza esistente, che non può essere contraffatta, e non lo è stata neppure in questo caso.
L’unica possibilità per il ladro digitale è ‘rubare una chiave privata funzionante’ in un Istituto e usarla per aprire la ‘porta blindata’ del software generatore di Green Pass.
Esattamente quello che è successo.
Ci interessa ora esaminare quali saranno le conseguenze di questa falla informatica istituzionale, e ancor più, analizzare come si sia scelto di rimediare.
Sono state indette varie riunioni di ‘comitati tecnici’ istituzionali in diversi Paesi e la soluzione scelta, che tuttavia non si sa ancora da quando verrà attuata, è la seguente:
INVALIDARE TUTTI I GREEN PASS EMESSI E FIRMATI DIGITALMENTE DAI DUE ISTITUTI COINVOLTI
(uno francese e uno polacco)
Si tratta di una scelta discutibile e – a nostro avviso – peggiore del problema da risolvere perché:
– getta nel caos migliaia di cittadini che regolarmente hanno ottenuto il Green Pass da quei due Istituti
– scarica su utenti ignari l’effetto di una carenza nella sicurezza informatica istituzionale
– nasconde una debolezza progettuale del sistema di generazione dei Green Pass
– nasconde le eventuali responsabilità
Siamo una PMI e come tale, non abbiamo voce laddove vengono prese certe decisioni.
Implementeremmo questa soluzione al problema:
Modificare la App VerificaC19, e tutte le App governative e private, testando per quei due Istituti le date di emissioni dei Green Pass, invalidando solamente quelli emessi dal 24/10/2021, oppure a partire dalla data accertata del furto.
Noi potremmo applicare facilmente la modifica ai nostri software di controllo, ma se lo facessimo ci discosteremmo dalla soluzione ‘ufficiale’ VerificaC19, quindi non possiamo.
Perché questa soluzione, che sembra semplice, non è stata scelta ?
Possiamo solo fare qualche ipotesi che ci sembra verosimile :
– comporterebbe un lavoro tecnico ulteriore e delicato su un esteso sistema già avviato e funzionante
– evidenzierebbe una carenza progettuale insita nell’architettura delle ‘black list’, che sono prive di date di inizio e fine invalidazione
– comporterebbe importanti assunzioni di responsabilità e qualcuno sarebbe chiamato a risponderne
– minerebbe la credibilità e l’autorità istituzionale in genere
Ovviamente non intendiamo fare di ogni erba un fascio, ma l’esempio descritto in questo articolo è abbastanza tipico e ricorrente.
Nelle grandi organizzazioni accade purtroppo di frequente che quando si verifica un problema la tendenza sia a scaricare responsabilità e conseguenze sugli altri.
Tendenzialmente nelle PMI invece si risponde delle proprie azioni ogni volta, correndo a riparare prontamente se capitano errori.
Quanto più un problema o imprevisto è grave, tanto più risolverlo in modo efficiente vuol dire aumentare la fiducia dei propri clienti o utenti:
La scelta della soluzione ottimale mettendosi nei panni dei Clienti / Utenti è questione vitale.
E così dovrebbe essere sempre, ma questa volta non è accaduto.
Alcune fonti informative: