Green Pass: i rischi per la nostra identità digitale

Pubblicare e condividere il Green Pass online espone noi e la nostra identità digitale ad inutili rischi, non solo a livello personale, ma anche in ambito business. Rischi che è bene comprendere per riuscire a mitigarli al meglio.

Cos’è e come funziona il Green Pass

Sono milioni gli italiani che hanno già ottenuto il Green Pass o che, in questi giorni, stanno ricevendo una notifica sull’app IO e Immuni o direttamente via SMS che li avvisa di poterlo scaricare grazie alla propria tessera sanitaria e ad un codice identificativo. Il Green Pass, lo ricordiamo, è una certificazione per la vaccinazione Covid-19 in formato digitale emessa dal Ministero della Salute e contiene un QR Code per verificarne autenticità e validità. Tutti coloro che hanno effettuato almeno una dose di vaccino possono salvarla sul proprio dispositivo e utilizzarla all’occorrenza. Dal 1° luglio il Green pass è valido come EU digital COVID certificate e sarà richiesto per partecipare a eventi pubblici, spostarsi in entrata e uscita dai Paesi dell’Unione europea e dell’area Schengen e per accedere a RSA o altre strutture.

Le informazioni nel QR code

La tecnologia QR code è molto utilizzata per la lettura tramite smartphone e non è altro che un codice a barre di due dimensioni composto da sezioni nere e bianche il cui scopo è memorizzare informazioni fino ad un massimo di 7.089 caratteri numerici in una sola volta. Sui social network diversi utenti hanno condiviso il QR Code legato alle vaccinazioni suscitando un forte allarmismo da parte del Garante della Privacy che in un comunicato ha espresso “la sua preoccupazione per l’esposizione di dati sensibili”. La scansione del QR code per l’identificazione e il controllo della validità del pass avviene tramite un’applicazione chiamata VerificaC19 che, però, riferisce solo nome, cognome e data di nascita. L’interessato su richiesta del verificatore, ad esempio un viaggiatore in aeroporto, dovrà esibire il proprio documento di identità per la corrispondenza dei dati anagrafici presenti nel documento con quelli visualizzati dall’applicazione di scansione del codice QR. Il residuo informativo contenuto nel codice QR rimane visibile solo a chi possiede le competenze informatiche per poterlo recuperare tramite un processo di decompressione e di decodifica. I dati contenuti all’interno del certificato digitale sono stati specificati dall’UE in un documento tecnico che stabilisce i set delle informazioni riconducibili ad ogni singolo individuo.

Green Pass: i rischi per la nostra identità digitale

Un’esposizione di dati sanitari personali, che ricordiamo essere la tipologia più rivenduta online, può avere impatto importante sull’identità digitale di un individuo. A marzo, online nel Dark Web, venivano venduti falsi Green Pass a 250 dollari ciascuno e con un’aggiunta di soli 25 dollari si poteva avere l’esito negativo di tre tamponi antigenici. La pubblicazione dei QR code può, inoltre, aiutare il processo di falsificazione, che viene implementato grazie a diversi “campioni” analizzati e studiati dai criminali. Il rischio di pubblicare lo screenshot del proprio QR code è quello di diffondere informazioni personali che possono essere riutilizzati per frodi e furti d’identità. I cyber criminali sfruttano ogni novità del mondo reale per poter truffare utenti e guadagnare denaro: come noi, infatti, utilizzano i social nell’attesa che un utente inesperto condivida informazioni sensibili sul suo profilo. L’impostazione della privacy settata in modo scorretto e l’abitudine di accettare richieste di utenti non conosciuti, amplifica notevolmente il rischio di esposizione. La digitalizzazione è un processo che deve avvenire parallelamente alla sicurezza informatica secondo il concetto di privacy by design, ma anche l’utente, spesso definito come l’anello debole della catena di sicurezza, deve essere in grado di non esporsi a inconsapevoli violazioni di dati. È la conferma della necessità di una formazione sia dei dipendenti in azienda che degli utenti dei social media, che devono prima di tutto riflettere sulla leggerezza con cui si condividono informazioni.

 

Fonte: CyberSecurity360