Sfałszowane unijne certyfikaty szczepień

Skandal z fałszowanymi certyfikatami COVID sięgnął również Polski / mat. pras. EU

Wyciek kodów zauważono w ostatnim tygodniu października 2021 roku. W internecie pojawiły się kody QR, które zostały poprawnie rozpoznane i potwierdzone przez oficjalne aplikacje służące m.in. służbom granicznym. Mogły zatem zostać wykorzystane do bezproblemowego przekraczania granicy, korzystania z samolotów lub różnych udogodnień publicznych, a także kin, restauracji, itp. Skąd wiadomo, że były fałszywe? Zostały wystawione dla Adolfa Hitlera, Myszki Miki i SpongeBoba Kanciastoportego.

Po ujawnieniu sprawy, prywatny klucz kryptograficzny służący do potwierdzenia tożsamości wystawcy tych certyfikatów został skasowany.

Macedoński trop

Urzędnicy Komisji Europejskiej podejrzewają, że wyciek klucza bądź kluczy nastąpił w Macedonii Północnej. Według francuskiego „Connexion”, sfałszowane dokumenty prawdopodobnie zostały użyte również w Polsce i we Francji – oba kraje badają sprawę. Sfałszowanie unijnego certyfikatu we Francji, prezentowanego w aplikacji TousAntiCovid, potwierdził 29 października rzecznik Komisji Europejskiej. To nie pierwszy raz, kiedy Francja ma problem z UCC – wcześniej upubliczniono kody QR wygenerowane dla prezydenta Emmanuela Macrona i byłego premiera Edouarda Philippe’a.

Komisja podkreśla również ważność i bezpieczeństwo prawdziwych dokumentów UCC nie jest zagrożona. Wystawienie dokumentów potwierdzających szczepienie Myszki Miki, SpongeBoba i Adolfa Hitlera ma być efektem działania cyberprzestępców, a nie błędem w funkcjonowaniu unijnego systemu. Jak informuje włoska agencja ANSA, urzędnicy Komisji Europejskiej podjęli jednak decyzję o unieważnieniu dokumentów wystawionych przy użyciu wykradzionych kodów.

Test na sprzedaż

Wystawienie certyfikatów w sposób oczywisty fałszywych może być sposobem hakerów na przekonanie potencjalnych klientów o umiejętności wygenerowania dowolnych dokumentów w postaci elektronicznej. Sfałszowane UCC są w internecie do kupienia za kwoty od 100 do 300 euro. Te, które bada teraz Komisja Europejska, zostały wystawione przez osoby posługujące się ważnymi kodami weryfikującymi tożsamość i mającymi dostęp do krajowej infrastruktury powiązanej z UCC. Mogą to być np. nieuczciwi lekarze. Tak było np. na Ukrainie, gdzie policja schwytała medyka wystawiającego fałszywe certyfikaty COVID. W jego biurze znaleziono 11 tys. euro.

W lecie włoska policja przeprowadziła akcję przeciw handlarzom oferującym dokumenty szczepienia i negatywne wyniki testów pozwalające podróżować bez przeszkód. Oferowane certyfikaty kosztowały od 100 do 150 euro.

Pielęgniarki z Kalisza

Sprawa oszustw dotyczy niestety również Polski. W piątek 5 listopada 2021 roku szefowa Prokuratury Rejonowej w Kaliszu Katarzyna Socha poinformowała o aresztowaniu na 3 miesiące pielęgniarek, którym postawiono zarzut wystawiania fałszywych certyfikatów szczepień przeciw COVID-19. Dwie kobiety nie przyznały się do winy; jedna przyznała się do części zarzutów.

Policja z Kalisza wszczęła działania operacyjne, kiedy uzyskała informację, że w tym mieście można załatwić „lewy certyfikat”, potwierdzający zaszczepienie na koronawirusa. Pielęgniarki zostały złapane na gorącym uczynku.

Jak informuje Polsat News, do Kalisza przyjeżdżali klienci z całej Polski, wpłacając od 500 do 700 złotych. Pielęgniarki wprowadzały dane do systemu i drukowały fałszywe certyfikaty, a „użyte” dawki szczepionek były niszczone. Od maja do listopada 2021 r. skorzystało z takiej „usługi” ok. 100 osób. Pielęgniarkom grozi nawet 8 lat więzienia. Wszystkie są pracownicami prywatnych podmiotów medycznych – informuje policja. W tej sprawie są przesłuchiwane również kolejne osoby, a policja nie wyklucza kolejnych zatrzymań – w tym „klientów” posługujących się fałszywymi dokumentami.

Złoty standard z problemami

Unijny Certyfikat COVID (UCC), nazywany też „zielonym certyfikatem” albo paszportem zdrowotnym to elektroniczny dokument potwierdzający zaszczepienie przeciw COVID-19, przechorowanie lub negatywny test na obecność wirusa SARS-CoV-2.

Zaledwie dwa tygodnie wcześniej, 18 października 2021 r., Komisja Europejska opublikowała raport prezentujący funkcjonowanie systemu cyfrowego europejskiego certyfikatu COVID. Zdaniem urzędników, dokument stał się „złotym standardem” na świecie, do którego przystąpiły również państwa spoza Unii. KE informuje w dokumencie, że od czerwca 2021 roku wystawiono ponad 591 mln certyfikatów. Raport nie wspomina o problemach z fałszywymi certyfikatami.

Komentarz Info.eZdrowie

– Certyfikaty UCC potwierdziły swoją użyteczności, w kontekście pojawiających się nadużyć najważniejsze pytanie brzmi: czy ujawnione nadużycia są efektem błędów w systemie walidacji UCC, czy nieuczciwości ludzi, którzy obsługują wystawianie certyfikatów – mówi Artur Pruszko, dyrektor Forum e-Zdrowia. – Inaczej mówiąc – czy możemy zaufać tej technologii i nadal z niej korzystać, ułatwiając sobie podróże w Europie i korzystanie z infrastruktury publicznej. Moim zdaniem wykorzystana technologia i organizacja udowodniły wielokrotnie swoją przydatność. Warto się zastanowić, czy dostęp do aplikacji umożliwiającej wystawianie certyfikatów UCC nie był za słabo chroniony i czy weryfikacji dwuskładnikowej nie powinno się wprowadzić wcześniej. Dobrze, że szybko potrafimy identyfikować niedoskonałości i wprowadzać modyfikacje, tak aby  technologie w szeroko pojętej opiece zdrowotnej jak najlepiej nam służyły, również we współdziałaniu w całej Unii Europejskiej – podkreśla Artur Pruszko.

Piotr Kościelniak
Dziennikarz specjalizujący się w popularyzacji medycyny i nowych technologii, konsultant ds. wydawniczych

Piotr Kościelniak kierował grupą magazynów popularnonaukowych Focus w wydawnictwie Burda Media Polska, gdzie uruchomił nowe tytuły zajmujące się m.in. medycyną, nowymi technologiami, psychologią i historią. Wcześniej kierował działem Nauki w dzienniku „Rzeczpospolita”, w ramach którego tworzył m.in. Rzecz o Zdrowiu, Styl Życia, a także Ranking Szpitali. Laureat nagród dla popularyzatorów nauki i problematyki medycznej.