Avevano messo sul mercato falsi green pass, acquistati da 120 persone, violando i sistemi sanitari di Campania, Lazio, Puglia, Lombardia, Calabria e Veneto per consentire di esibire la certificazione anche a chi non aveva fatto il vaccino o il tampone. A scoprire il raggiro è stata la Polizia Postale su delega della Procura di Napoli, che ha accertato come le false certificazioni fossero ottenute sfruttando i canali di accesso messi a disposizione delle farmacie per inserire i codici dei tamponi e dei vaccini per generare il Green pass.
Nel corso dell’operazione la polizia postale ha eseguito 40 perquisizioni locali e 67 sequestri preventivi. Secondo quanto ricostruito dagli investigatori le credenziali venivano carpite dall’organizzazione attraverso sofisticate tecniche di phishing, utilizzando e-mail che simulavano quelle istituzionali del sistema sanitario: gli utenti erano così indotti a collegarsi a un sito fake in cui inserivano le informazioni sui propri account.
In altri casi, i falsi Green pass risultano prodotti ricorrendo a servizi di chiamata VoIP internazionali, capaci di camuffare il vero numero di telefono del chiamante e simulare quello del sistema sanitario regionale. Il finto agente di servizi di supporto tecnico della Regione interessata induceva il farmacista ad installare nel proprio sistema un software di assistenza a distanza, che consentiva di assumere il controllo da remoto del computer e carpire le credenziali di accesso ai sistemi informativi regionali.
Quando l’accesso ai sistemi regionali richiedeva le credenziali SPID della farmacia, l’ostacolo risulta essere stato aggirato con sofisticate tecniche di vishing (voice-phishing), smishing (SMS-phishing) e l’impiego di siti-clone. Le perquisizioni hanno riguardato le 15 persone sospettate di far parte dell’associazione e 67 loro clienti. Intanto, grazie all’intervento del Ministero della salute, i falsi Green pass individuati sono stati disabilitati e non potranno più essere utilizzati.
Il via libera del Garante Privacy al “super green pass”
Via libera dal Garante per la protezione dei dati personali sullo schema di decreto del Presidente del Consiglio dei ministri che aggiorna le disposizioni relative alle Certificazioni verdi e agli obblighi vaccinali per alcune categorie di lavoratori.
Il parere dell’Autorità
Nel provvedimento, si legge in una nota, l’Autorità ha evidenziato come, allo stato attuale della situazione epidemiologica, il complesso delle misure, adottate anche a seguito delle interlocuzioni con il Ministero, siano conformi al principio di liceità e, più in generale, alla disciplina sulla protezione dei dati personali.
In particolare, lo schema di decreto, accogliendo l’invito più volte espresso dall’Autorità, dà piena attuazione alla revoca delle certificazioni verdi, in caso di contagio sopravvenuto, tramite una procedura che prevede anche che l’interessato venga informato, utilizzando i dati di contatto dallo stesso forniti. A questo tipo di procedura se ne aggiunge una specifica relativa ai “green pass” rilasciati o ottenuti in maniera fraudolenta.
Nello schema viene previsto inoltre che i soggetti tenuti alla verifica del possesso delle certificazioni verdi vengano specificamente istruiti sulla possibilità di utilizzare la modalità “rafforzata” solo ed esclusivamente nei casi in cui lo richieda la legislazione vigente.
Dopo i casi registrati di diffusione online di numerose certificazioni verdi, come ulteriore misura di garanzia è stata prevista, all’atto del rilascio del green pass da parte degli operatori sanitari, la registrazione di informazioni aggiuntive: identificativo dell’operazione; codice fiscale o identificativo del soggetto che ha eseguito l’operazione; modalità di autenticazione dell’operatore sanitario; codice fiscale o i dati anagrafici dell’interessato; l’identificativo univoco del certificato (Uvci) della certificazione; data e ora dell’operazione.
Il green pass nei rapporti professionali
Nei casi in cui il lavoratore si avvalga della facoltà di consegnare la certificazione verde al datore di lavoro, quest’ultimo è comunque tenuto a effettuare il regolare controllo sulla perdurante validità, mediante lettura del Qr code della copia in suo possesso attraverso l’app VerificaC19 o mediante le previste modalità automatizzate.
È stata inoltre disciplinata l’annotazione sugli albi professionali “senza ulteriori specificazioni dalle quali sia possibile desumere il mancato rispetto dell’obbligo vaccinale da parte dell’esercente la professione sanitaria”, prevedendo soltanto l’indicazione della circostanza che il professionista è sospeso.
Le richieste del Garante al Ministero della Salute
Il Garante della Privacy ha comunque chiesto al Ministero della salute alcune integrazioni per rendere evidente all’interessato la modalità di verifica utilizzata dal verificatore, introducendo, all’interno dell’app VerificaC19, elementi testuali, grafici e visivi per le due modalità di verifica (“base” o “rafforzata”).
In conseguenza degli specifici rischi connessi ai trattamenti di dati personali in esame e avendo particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo, l’Autorità ha chiesto al Ministero della salute di aggiornare la valutazione di impatto sulla protezione dei dati.
Proroga dello stato di emergenza
Il Consiglio dei Ministri del 14 dicembre 2021 ha varato il decreto che proroga al 31 marzo 2022 lo stato di emergenza. Il provvedimento mantiene in vigore le norme relative all’impiego del Green Pass e del Green Pass rafforzato e ai test antigenici rapidi gratuiti e a prezzi calmierati. Il decreto stabilisce l’estensione, sino al 31 marzo 2022, della norma secondo cui il Green Pass rafforzato debba essere utilizzato anche in zona bianca per lo svolgimento delle attività che altrimenti sarebbero oggetto di restrizioni in zona gialla.
Effetti anche sullo smart working. L’articolo 9 del provvedimento consente di ricorrere al lavoro da remoto, derogando ad accordi sindacali o individuali con l’azienda. Non scatta, quindi, l’obbligo di sottoscrizione degli accordi individuali contenuti nel protocollo nazionale sul lavoro in modalità agile siglato il 7 dicembre per il settore privato.
Quando si tornerà alle condizioni ordinarie (o perlomeno non perdurerà ancora lo stato di emergenza), presumibilmente ad aprile 2022, le norme che regolano il lavoro da casa seguiranno le linee guida del protocollo che prevedono, affinché si possa lavorare in smart working, la sottoscrizione dell’accordo individuale tra azienda e lavoratore.