Green pass, allerta QR code: dati personali a rischio

Secondo gli esperti il codice QR del Green pass potrebbe diventare un obiettivo per il cyber crimine. L'allarme del Garante per la privacy

Il QR Code del Green pass potrebbe diventare il nuovo vettore d’attacco per i cyber criminali. Il codice, un quadratino che contiene una serie di informazioni personali, viene oggi impiegato nei contesti più vari: in bar e ristoranti per i menu, per l’accesso a eventi e luoghi pubblici, per la prenotazione di visite mediche, per ritirare prescrizioni, per la fatturazione elettronica, per sostituire i biglietti cartacei e per lo stesso Green Pass, su cui il Garante della Privacy si è espresso recentemente esortando i cittadini alla massima prudenza e a evitare di esibire pubblicamente il codice del Green Pass.

QR code, allarme sicurezza

A lanciare l’allarme sicurezza sul Qr code è Innovery, multinazionale italiana nel mercato Ict specializzata nel comparto cybersecurity. Secondo i dati, il 2020 ha visto un incremento del 40% di attacchi informatici alle imprese rispetto al 2019, complice la diffusione del remote working. Il vettore privilegiato per i cyber criminali è stata la mail, il cosiddetto phishing, che ha riguardato circa l’80% dei tentativi di intromissioni.

Nel 2021 c’è un nuovo allarme sicurezza: il cosiddetto qishing. “I QR code inviati via email riescono ad eludere i normali sistemi di antiphishing: il Qishing, così si chiama questa tecnica, funziona esattamente come cliccare su un link, solo che il link non è visibile in quanto codificato nel QR code, e si dovrebbero utilizzare le stesse cautele che si usano per i link” sottolinea Massimo Grandesso, Cybersecurity Manager di Innovery.

I cybercriminali potrebbero dunque privilegiare un nuovo canale, ossia il QR code che ha avuto una diffusione capillare, specialmente a seguito della pandemia. “L’aumento dell’utilizzo di dispositivi mobile per svolgere molte delle nostre attività quotidiane ci espone a nuovi rischi, e la scarsa consapevolezza sulle possibili minacce che la scansione di un QR Code può veicolare è una preoccupazione sempre più impellente”.

La scansione di un codice malevolo può dunque indirizzare automaticamente i cittadini ignari verso un indirizzo di phishing, dove vengono richieste le credenziali dell’utente per prendere il controllo dei suoi account di posta elettronica o dei social media, per esempio.

“Nel caso del Green Pass, come affermato dal Garante – sottolineano gli esperti – parliamo di una quantità di dati personali: nome, data e luogo di nascita, dosi di vaccino effettuate ma anche eventuali tamponi rapidi e molecolari, sono tutte informazioni che possono essere utilizzate a nostro svantaggio come truffe mirate, profilazione commerciale o addirittura arrivare al cosiddetto ‘furto di identità'”.

Qr code, gli avvertimenti del Garante per la privacy

È bene renderci conto che il Qr code deve rimanere riservato, avverte il Garante per la privacy, per essere esibito soltanto alle forze dell’ordine e a chi è autorizzato a richiedercelo, come per esempio all’ingresso di un evento in cui è prevista la partecipazione solo di chi è in possesso del Green pass. Ed anche in quel caso, chi esaminerà il nostro certificato attraverso la app di governo potrà solo verificarne l’esistenza, ma non conoscere i dati che contiene e non conservare nulla.

Ogni uso diverso è pericoloso per sé e per gli altri. Pubblicarlo sui social è un errore perché si lascia in giro per il web una scia di propri dati personali sanitari che chiunque potrebbe utilizzare per finalità malevole.

Nel nostro Qr code c’è infatti tutto di noi, una miriade di dati personali come chi siamo, quando siamo nati, quante dosi abbiamo fatto, che tipo di vaccino, se abbiamo avuto il Covid-19 e quando, se abbiamo fatto un tampone, quando e il suo esito.
Quei dati inoltre possono servire per fare truffe mirate, per fare profilazione commerciale o essere venduti. Con la possibilità di facilitare la circolazione di QR code falsi.

 

© Italiaonline S.p.A. 2021Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963

Green pass, allerta QR code: dati personali a rischio