EmaLeaks, cosa sappiamo delle email sul vaccino Pfizer trafugate dagli hacker all’Ema

Il materiale sull’approvazione del vaccino Pfizer è stato rubato e diffuso sul deep web creando dubbi e insicurezze. Abbiamo analizzato il contenuto

Diversi contenuti riguardanti l’approvazione del vaccino anti Covid19 della Pfizer da parte dell’Ema (Agenzia europea per i medicinali) sono stati trafugati da dei pirati informatici. Una violazione annunciata a inizio dicembre 2020 dall’agenzia che si trova di fronte a dover rispondere a supposizioni e accuse riguardo a presunti problemi di qualità sul vaccino, mentre a denunciare la diffusione del leak nel deep web era stata la società italiana di sicurezza informatica Yarix.

I dati potrebbero essere stati trafugati sia dall’Ema che da terzi, elementi che dovrebbero farci pensare quanto possano essere vulnerabili le reti informatiche dei vari soggetti coinvolti – ricordiamoci l’attacco informatico agli Stati Uniti – e di quanto interesse ci sia dietro anche in merito allo spionaggio industriale. Non va sottovalutato il tentativo, attraverso la manipolazione ad arte dei documenti prima della loro diffusione, di voler screditare il vaccino Pfizer per aprire le porte ai prodotti di aziende farmaceutiche concorrenti non presenti nell’elenco del piano strategico Commissione europea.

L’approvazione del vaccino da parte della Food and Drug Administration (FDA) risultava un fatto positivo in vista della verifica da parte dell’Ema, ma non basta l’ok di un’agenzia per dare il via libera ad un’altra sulla base della fiducia. Ogni singolo elemento della sperimentazione e dello studio presentato da Pfizer doveva essere per forza analizzato ed eventualmente contestato, vista la responsabilità dell’ente nei confronti dei cittadini europei. Correre troppo metterebbe a rischio l’esito della strategia vaccinale e allo stesso tempo la credibilità delle istituzioni. Dai documenti diffusi online, sempre se veritieri, sembrerebbe che qualcuno abbia tentato di forzare la mano.

La seguente analisi tiene conto della possibilità che i dati trafugati siano stati manipolati da coloro che li hanno diffusi sul web. Sono state fatte delle analisi preliminari sui metadati e su eventuali alterazioni grafiche, senza riscontrare particolarità che provino eventuali manipolazioni, ma non si esclude un lavoro raffinato e possibile da effettuare vista la distanza di tempo dal periodo del furto fino alle prime pubblicazioni riscontrabili online.

L’email del 12 novembre

Nel leak diffuso online – citato con l’hashtag #EmaLeaks – troviamo diverse email, ma solo in formato immagine tranne una (un file con estensione .msg). Alcune, inviate il 10 novembre, parlano di un eventuale ritardo dell’approvazione da parte dell’FDA per il vaccino che avrebbe in qualche modo fatto comodo all’Ema per avere più tempo a disposizione di fronte alle aspettative non soltanto della politica, ma anche dei media e del pubblico.

Tra queste email bisogna tenere in considerazione una inviata (sempre se vera) alle ore 16 del 12 novembre 2020 con oggetto «Art 5(2) vs CMA», ma prima di raccontarne il contenuto bisogna spiegare cosa significano quelle «sigle».

L’articolo citato (articolo 5, paragrafo 2, della direttiva 2001/83) riguarda la possibilità da parte degli Stati membri di distribuire nel proprio territorio, in via emergenziale e temporaneamente, un prodotto non autorizzato dall’Ema «sotto la sua personale e diretta responsabilità». Il CMA non è altro che l’autorizzazione condizionata all’emissione in commercio rilasciata dall’agenzia europea del farmaco.

L’email del 12 novembre 2020 sarebbe stata inviata da un membro dell’Ema ai propri colleghi a seguito di un incontro con un Commissario europeo, probabilmente l’attuale Commissario europeo per la salute e la politica dei consumatori, Stella Kyriakidou. L’incontro aveva come tema l’approvazione del vaccino Pfizer e i tempi necessari rispetto a quelli dell’FDA, soprattutto a seguito delle promesse fatte dalla Commissione nei confronti degli Stati membri per la distribuzione in contemporanea del vaccino una volta disponibile. Insomma, il timore era quello di veder sfumato il V-Day comunitario a causa dell’attuazione dell’articolo 5 da parte di qualche Paese a seguito di un ritardo nell’approvazione da parte dell’Ema.

Nella stessa email, il membro dell’Ema spiega ai suoi colleghi che in ogni caso il Commissario si rendeva disponibile a chiamare ogni singolo ministro della salute dell’Unione europea per evitare che uno di questi faccia uso dell’articolo 5.

Non vengono riportate le risposte dirette a quella email del 12 novembre, se mai ci sono state (così come la stessa email), da parte dei due destinatari e di altri tre membri dell’Ema messi in copia. Tuttavia, altre email ci faranno comprendere come sarebbero andate le cose e come si sarebbero comportati i protagonisti degli scambi.

L’email del 19 novembre

Seguendo l’ordine cronologico, un’altra email venne inviata il 19 novembre intorno alle ore 19 da un membro dell’Ema a sei suoi colleghi. L’oggetto, questa volta, riguardava le proprie riflessioni a seguito di una teleconferenza con il Commissario: «Some reflections after today’s TC with the Commissioner».

L’email è la più lunga presente nel leak e presenta molte riflessioni su come sia conosciuto il metodo di lavoro dell’agenzia al di fuori della stessa, sia da parte dei politici che dei media fino alla popolazione europea. La teleconferenza viene descritta come interessante, ma al contempo tesa e a volte sgradevole, soprattutto perché viene compreso che la Commissione europea non riuscirebbe ad accettare un ritardo nell’approvazione del vaccino a distanza di diverse settimane rispetto a quella dell’FDA.

L’autore dell’email spiega che la ricaduta politica di un ritardo sarebbe troppo alta, anche se il ritardo potrebbe essere giustificato spiegando l’importanza di fornire una revisione scientifica il più solida possibile. La situazione in cui si trovava e si trova tutt’ora l’Ema è ben diversa da qualsiasi altra esperienza passata, attenzionata dalle critiche e dalle domande poste dalla Commissione europea, dai politici europei, dai media e dai cittadini in generale.

Il contenuto parla chiaro, l’autore non è disposto – e presumibilmente anche i suoi colleghi – a fare un passo falso. Nella seconda parte dell’email propone alcuni scenari sul quale indirizzare la comunicazione dell’Ema per spiegare l’eventuale ritardo consapevoli che verrebbero «sopraffatti da tutti i fronti» a livello politico e mediatico. La metafora è evocativa: «nel bel mezzo della tempesta».

Si parla di un evento pubblico organizzato per l’undici dicembre e dell’uso dei social media attraverso una strategia dedicata, rivolgendosi eventualmente a un’azienda specializzata che possa dare una mano all’agenzia, spiegando le differenze tra l’approvazione americana, britannica e quella dell’Ema anche se i media non potrebbero comprendere a pieno tutte le sfumature. Nonostante questa comprensibile problematica, l’autore suggerisce di focalizzare la comunicazione sul principio della «responsabilità» sul quale si basa il loro lavoro e che in ogni caso avrebbero fatto del loro meglio.

L’email del 22 novembre

Un membro dell’Ema invia il 22 novembre alle ore 17 un’email di risposta a una discussione avente oggetto «Covid vaccines: information flow in the coming weeks», dove l’autore ammette un’alta probabilità che l’FDA approvi il vaccino prima dell’agenzia europea e rimarca la necessità di fornire delle spiegazioni, ancora una volta, al pubblico oltre che ai politici.

Nell’email viene rimarcato il problema riguardo alla mancata conoscenza, da parte del pubblico e dei media, sul ruolo dell’Ema e di come una sua autorizzazione non sia affatto una semplice autorizzazione. Da parte dell’agenzia è importante ottenere il miglior risultato possibile, ma senza assecondare le necessità esterne per non influire sul loro lavoro.

Risulta ovvio leggendo queste email – che siano vere o manipolate – che l’agenzia si sia trovata sotto pressione da parte di molteplici soggetti e risulta lecito considerare che il loro lavoro sia stato comunque condizionato in qualche maniera, ma ciò che si rende noto attraverso queste conversazioni private è l’impegno costante di voler produrre una valutazione scientifica la più solida possibile.

Il senso di responsabilità, citato nella stessa email, viene particolarmente evidenziato, ma allo stesso tempo l’autore pone una necessità per proseguire con maggiore sicurezza: il sostegno dei loro colleghi e del CHMP (Comitato per i medicinali per uso umano).

Le email del 23 novembre

Non è chiaro se le email date 23 novembre 2020 siano parte della discussione dell’email del 22 con oggetto «Covid vaccines: information flow in the coming weeks», il testo visibile nelle immagini contenute nel leak non è lo stesso presente nelle precedenti. Tuttavia, lo scambio di messaggi – se confermato – va ancora a favore del lavoro dei membri dell’Ema.

L’autore dell’email delle ore 14:26 parla di alcune date possibili per la presentazione dell’opinione dell’agenzia sul vaccino Pfizer, in particolare quelle del 21 o del 23 dicembre 2020 come le più probabili. In caso eccezionale, viene considerata addirittura la data del 18 dicembre.

L’email delle 14:57, in risposta alla precedente, riporta alcuni dubbi sulla data del 21 dicembre facendo notare che un’anticipazione al 18 non risulterebbe fattibile. L’intenzione è, e rimane, quella di fare del proprio meglio e in caso anche per la data del 21 se possibile, ma a dare maggiore chiarezza poteva essere un dossier che sarebbe giunto nel pomeriggio da parte di Pfizer.

Un terzo membro dell’Ema risponde all’email affermando che il giorno del 21 sarebbe dato per certo il parere del Comitato per i medicinali per uso umano (CHMP) e che questo avrebbero bisogno di un loro feedback entro le ore 18. Un quarto membro della discussione, nell’email delle ore 15:31, concorda sul fatto che sia necessario capire quali sono le loro possibilità anche di fronte ad alcune incertezze.

L’email del 24 novembre

Arriviamo al punto nel quale i media – come ad esempio un articolo pubblicato da Report sul sito della Rai – si sono concentrati in questi giorni, ossia le incertezze riguardo l’integrità del vaccino e in particolare del mRNA contenuto al suo interno. Nota: le immagini pubblicate sul sito della Rai presentano la dicitura «L’Ema ha affermato che alcuni di questi documenti potrebbero essere stati manipolati», ed è bene ricordarlo.

All’interno dell’email inviata il 24 novembre, alle ore 12:02 con oggetto «update from BWP meeting on BioNTech», vengono riportati gli aspetti riscontrati durante il Biologics Working Party in merito al dossier consegnato da Pfizer, probabilmente quello citato nelle email del 23 novembre.

Il dossier viene definito di buona qualità, considerati i tempi per la sua compilazione, ma ci sarebbero alcune obiezioni. La principale riguarda le differenze nelle percentuali di integrità dell’mRNA tra il prodotto clinico e quello commerciale. Nelle conclusioni dell’email si riporta l’approvazione entro la fine dell’anno potrebbe essere possibile se queste preoccupazioni venissero risolte.

L’email del 25 novembre

In un’email del 25 novembre alle ore 16:28, in risposta a una precedente con oggetto «Ad-hoc MLT minutes for comment by 16:30 today», vengono ottenute le prime risposte alle problematiche presentate il giorno precedente.

L’email non è totalmente confermativa, ma riporta ottimismo. Infatti, l’FDA sostiene di aver ricevuto alcuni lotti commerciali dove risulta che l’mRNA sia intatto intorno al 70-75%. Nei documenti presenti nel leak la percentuale da raggiungere secondo il criterio di accettazione è uguale o maggiore al 50%.

La presentazione del 26 novembre

All’interno del leak sono presenti alcune presentazioni Power Point. Una di queste datata 26 novembre, confidenziale e riportante la grafica di Pfizer-BioNTech, contiene alcune risposte alle osservazioni presentate nell’email del 25 novembre.

In merito all’integrità dell’mRNA, il documento (sempre se veritiero, ricordiamo che sono sempre e comunque dei leak che potrebbero essere stati manipolati) sostiene che sia stato eseguito uno studio e che starebbero rivedendo l’integrità al di sopra della soglia del 50% senza influire sull’efficacia del vaccino.

Il documento del 30 novembre

All’interno del leak sono presenti diversi documenti in formato Docx, facilmente modificabili. Uno di questi è datato 30 novembre 2020 e presenta, ancora, i dubbi sollevati nell’email del 25.

Nelle conclusioni riguardo il punto sull’integrità, che troviamo a pagina 40, si evidenziano le perplessità che – certamente – non possono ottenere risposta attraverso una presentazione Power Point di qualche giorno prima, utile all’azienda per fornire una prima risposta all’agenzia europea.

I fatti del 3 dicembre

Il leak non conterrebbe documentazione successiva al 30 novembre 2020, il che mostra una mancanza di informazioni relative ai circa 20 giorni successivi prima dell’approvazione dell’Ema. Risulta che in data 3 dicembre 2020 la Pfizer abbia annunciato una mancata soddisfazione degli standard («Pharma giant found raw materials in early production didn’t meet its standards»), poi risolto con il conseguente ritardo delle spedizioni previste per l’anno 2020. Non è chiaro se questi standard facciano riferimento ai dubbi sollevati dall’Ema.

Il ritardo annunciato il 15 gennaio 2020 riguarda una serie di lavori relativi all’impianto belga di Puurs al fine di poter aumentare la capacità di produzione. Un ritardo, dunque, che non risulterebbe affatto collegato al caso EmaLeaks.

Cosa dice l’Ema

L’Ema riporta continui aggiornamenti – a partire dal 9 dicembre 2020 – in merito all’attacco e al furto subito. Nell’ultimo, datato 15 gennaio 2021, si sostiene che parte della corrispondenza trafugata sia stata manipolata prima di essere diffusa con l’obiettivo di minare la fiducia nei vaccini.

Nel comunicato si riporta che nonostante l’urgenza, senza citare le presunte pressioni politiche riportate nel leak nei confronti dell’agenzia, siano stati rispettati gli standard alla base delle proprie autorizzazioni, tenendo in considerazione le prove che dimostrino efficienza e sicurezza del prodotto.

Nel sito istituzionale è presente la scheda del vaccino di Pfizer (Comirnaty) con le schede relative all’approvazione.

Si sapeva dal 21 dicembre

Dopo tutta questa analisi del leak, in realtà bastava leggere un solo documento: il report pubblicato dall’Ema il 21 dicembre 2020, giorno dell’approvazione, dove viene riportata la problematica riscontrata sulla diminuzione dell’integrità dell’mRNA.

Insomma, già a partire dal 21 dicembre erano note queste problematiche sollevate dall’Ema e non c’era bisogno di un attacco informatico per scoprirlo. Ecco quanto riportato a pagina 29:

Several questions in relation to the acceptance criteria in the FP specifications were raised during the procedure (i.e. the LNP size, polydispersity, RNA encapsulation, in-vitro expression and RNA integrity). The acceptance criteria were tightened.

Nella stessa pagina leggiamo:

For potency, RNA integrity, RNA encapsulation, lipid content and polydispersity index, the acceptance criteria will be re-assessed during Q2 2021 in order to ensure a consistent product quality by providing additional information to enhance the control strategy. This is found acceptable subject to a specific obligation. (SO2)

Insomma, nel report si afferma che durante la procedura di autorizzazione sono state sollevate alcune questioni relativi all’integrità dell’mRNA, che la questione sarebbe stata superata e che verranno comunque effettuati dei controlli di verifica durante il secondo trimestre del 2021 al fine di garantire la qualità del prodotto ed eventualmente migliorarlo.

Conclusioni

L’intero leak ottenuto e diffuso a seguito dell’operazione di pirateria informatica, includendo l’eventuale manipolazione dei documenti (tutti facilmente modificabili), sembra fermarsi proprio con i documenti del 30 novembre 2020. Oltre non prosegue.

I documenti e le email sarebbero stati compilati e diffusi durante il mese di novembre 2020, mentre mancano all’appello circa 20 giorni successivi che porteranno all’approvazione da parte dell’Ema in data 21 dicembre 2020.

La data di approvazione era quella ritenuta tra le papabili, secondo le email, da parte dei membri dell’Ema e comunque avvenuta settimane dopo la FDA americana e l’approvazione da parte del Regno Unito, primi tra tutti.

Nel report pubblicato il 21 dicembre 2020, data di approvazione del vaccino da parte dell’agenzia, la stessa Ema riporta l’aver riscontrato i problemi relativi all’integrità dell’mRNA. Non c’era bisogno, ragionandoci bene, del leak per scoprire una situazione che risulta sia stata superata – al contrario sarebbe mancata approvazione – e che verrà comunque tenuta sotto osservazione nel tempo.

Il leak, tenendo conto che i contenuti potrebbero essere stati manipolati, rivelano le intenzioni dei membri dell’Ema di operare con rigore scientifico e con il senso di responsabilità, nonostante le pressioni subite da più fronti.

[«Leak» sta per fuga, perdita, e in ambito informatico viene usato per indicare un contenuto trapelato e diffuso senza l’approvazione da parte dell’autore o del proprietario. Si tratta di materiale da prendere con le dovute precauzioni, siccome alcuni leak possono rivelarsi veri o falsi, integri o manipolari, e non è dato sapere con certezza la motivazione del furto e della divulgazione illegale.]

Leggi anche: