Skip to content

William Nonnis

Che cosa succede davvero alle banche dati. Parla Nonnis (presidenza del Consiglio)

Conversazione di Policy Maker con William Nonnis, esperto blockchain, attualmente analista tecnico per la digitalizzazione e innovazione alla Presidenza del Consiglio dei Ministri

Dossieraggio: l’inchiesta della Procura di Milano sulla società Equalize ha scoperto un sistema di gestione e sfruttamento illecito di dati sensibili provenienti dalle banche dati delle forze dell’ordine e non solo. Un nuovo e inquietante caso di accessi illeciti a banche dati su cui sta cercando di fare luce la Direzione Distrettuale Antimafia di Milano e che coinvolge professionisti, aziende, ex membri delle forze dell’ordine, tecnici informatici e hacker.

COSA CI DICE L’INCHIESTA DELLA PROCURA DI MILANO SULLA SICUREZZA DELLE BANCHE DATI ITALIANE

“Ho sentito spesso usare il termine hacker, ecco al momento non risulta che ci siano hacker”, rimarca William Nonnis (nella foto), esperto blockchain, attualmente analista tecnico per la digitalizzazione e innovazione alla Presidenza del Consiglio dei Ministri-Pnrr, che in precedenza ha ricoperto la posizione di Full Stack & Blockchain Developer al Ministero della Difesa e in Enea. “Abbiamo almeno cinque problemi – dice Nonnis -. La cultura della sicurezza, intendo una mancanza totale di consapevolezza dello strumento e di quello che si fa con lo strumento e come viene utilizzato realmente a seconda delle nostre informazioni generate. Poi c’è l’infedeltà dei dipendenti; alcuni dipendenti che ricoprono posizioni molto importanti per la sicurezza nazionale e finanziaria hanno mostrato di essere ricattabili/comprabili dal miglior offerente. Infrastruttura tecnologica non adeguata al contesto attuale e alle dinamiche tecnologiche odierne. Banche dati; si le banche dati attuali sono spesso in mano a terzi, per meglio dire ci sono società partecipate che gestiscono i dati dei singoli cittadini con governance affidata allo Stato. E, infine, come avete sentito si parla di “accesso” alle banche dati, vuole dire che hanno utilizzato la classica chiave di lavoro quotidiana. Infatti, la violazione delle infrastrutture avviene attraverso la compravendita del dipendete che ha le ‘chiavi di casa’. La cosa più importante da capire è che siamo tutti sorvegliati, chi più chi meno, e che purtroppo certi dipendenti abusano di questo potere; infatti, oggi le informazioni sono il nuovo mercato di scambio/ricatto tra soggetti della società. E poi aggiungo che manca il controllo dei processi”.

COME FUNZIONA LA PIATTAFORMA BEYOND AL CENTRO DELLE INDAGINI PER SPIONAGGIO E DOSSIERAGGIO

La piattaforma Beyond, sviluppata dall’azienda investigativa italiana Equalize, è attualmente al centro di un’indagine della Procura di Milano per spionaggio e presunti accessi illegali a dati sensibili. “Beyond funziona aggregando dati provenienti da fonti sia pubbliche sia private, comprese banche dati commerciali come Infocamere e Cerved, nonché archivi governativi e strategici come il database interforze SdI del Ministero dell’Interno – spiega l’esperto -. Questo le permette di accedere e integrare informazioni riservate da enti come INPS e altre fonti pubbliche e private, consentendo un quadro informativo dettagliato e spesso sensibile.

COME PROTEGGERRE I DATI SENSIBILI

Per prevenire episodi di spionaggio illegale, accessi non autorizzati e proteggere informazioni sensibili potrebbero essere necessarie nuove normative. Oppure comportamenti più oculati. “Come dicevo prima serve maggiore controllo, visto che le agenzie di investigazione/intelligence vengono autorizzate dallo Stato ma mancano degli alert di quello che succede e del perché succede. Infatti, se manca una ragione, perché devo controllare i dati di Mario Rossi – si chiede Nonnis -. A mio parere non servono leggi, quelle che abbiamo bastano e avanzano e non serve, secondo me, “un’agenzia dei dati”, mi ricorda molto l’annuncio di Biden sul ministero della verità. In Italia abbiamo la mania di creare task force oppure agenzie per ogni problema che emerge, senza prevenirlo. Inoltre, creare agenzie porta a un gioco di potere e difficilmente si può arrivare a una soluzione per la tutela delle informazioni. Io credo che debba essere responsabilizzato il singolo che gestisce le informazioni con una supervisione e con una clausola: se sbagli paghi in prima persona.

SPIONAGGIO E DOSSIERAGGIO IN ITALIA: LE ULTIME INCHIESTE

Dopo il caso Striano, il caso Coviello, ora abbiamo il caso Pazzali. Presunti casi di spionaggio che hanno coinvolto livelli e profili professionali sempre più alti. “Non esiste una soluzione efficace, credo che serva solo essere trasparenti nei confronti della cittadinanza e parlare chiaro. Anche se a mio parere credo che la privacy sia solo un problema delle vecchie generazioni, sfido chiunque a dire che le nuove generazioni hanno attenzione a questo tema, visto l’utilizzo che fanno dei propri dispositivi e dati nei social network – aggiunge Nonnis -. So che se sembra una dichiarazione fuori tema ma non lo è. Penso che entro cinque anni la privacy non avrà più senso di esistere, perché capiremo che siamo coinvolti, in prima persona, su tutti i processi quotidiani e se utilizziamo male le nostre risorse ne paghiamo a caro prezzo le conseguenze”.

Il nodo cruciale, quindi, secondo l’analista tecnico per la digitalizzazione e innovazione alla Presidenza del Consiglio dei Ministri è quello dei risarcimenti ai cittadini che hanno visto i loro dati violati. “Dico questo perché mi aspetto che i cittadini la cui privacy viene violata siano risarciti. Dati sensibili, come quelli presenti nelle banche dati delle Asl, possono fare male se circolano nel dark web e non solo – conclude Nonnis -. Oggi sappiamo fare una cosa molto bene, mettere sanzioni se non ti adegui. Ma mi chiedo, perché non sono risarcite le persone così come viene sanzionato chi non si mette in regola? Ecco tornando al caso dossieraggio, partiamo da un punto fondamentale, le regole ci sono, gli strumenti pure ma vanno adeguati nelle infrastrutture di Stato. Manca, però, il coinvolgimento del singolo, la consapevolezza, la formazione e la responsabilità individuale”.

(Estratto di un articolo pubblicato su Policy Maker)

Leggi anche: Inchiesta dossieraggi, a che punto è la cybersecurity in Italia?

Torna su