Le migliaia di pagine dell’inchiesta milanese sulla rete di dossier attorno al nome di Enrico Pazzali (a sinistra nella foto) e della sua Equalize dipingono tre differenti scenari di «spionaggio» abusivo. Il primo relativo ad aziende e mirato chiaramente a fatturare. Il secondo riconducibile a interessi politici e di controllo attorno alla sfera di potere dello stesso Pazzali. Il terzo, invece, appare immerso in una zona grigia. Al tempo stesso, sempre leggendo le pagine delle ordinanze, emergono tre filoni di «esfiltrazione» dei dati, come si dice in gergo tecnico. Il primo legato ad agenti o militari infedeli che entravano nelle rispettive banche dati di competenza. Il secondo legato ad attività palesi di hackeraggio o intrusione tramite trojan e il terzo molto più delicato e complesso. Si tratterebbe di una attività delegata a informatici che, per ragioni di incarichi pregressi o in corso, conoscevano bene l’infrastruttura digitale da violare.
Qui, dunque, sta l’elemento più spinoso. Soprattutto se in futuro si vorrà imparare qualcosa di concreto dalla lezione che deriva dalla «Equalize».
Secondo l’ordinanza, a collaborare con l’azienda milanese con sede a due passi dal Duomo sarebbero figure che in passato hanno gestito e manutenuto impianti digitali come quello del Ced, Centro elaborazione dati, che fornisce tutte le Forze di polizia italiane. È chiaro che accedendo in qualità di amministratori o manutentori hanno potuto bypassare tutti gli alert preposti. Non solo: avrebbero anche potuto mettere mano all’intera filiera di informazioni muovendosi in parallelo sui backup (duplicazione dei dati su supporti esterni per avere una copia di riserva) di sicurezza. Nessuno si sarebbe potuto accorgere dell’esfiltrazione perché non ve ne era tecnicamente traccia.
Nella realtà, però, dovrebbe essere preposta una attività di audit mirata a controllare il lavoro dei controllori. Ed è proprio l’assenza di tracce di tale attività che avrebbe dovuto insospettire gli sceriffi dell’audit. Anche i tecnici informatici per accedere si «loggano», e il fatto stesso che non venisse registrata questa operazione avrebbe potuto accendere un dubbio. Un po’ come se si lasciasse un tassello vuoto nella lista progressiva degli accessi.
Chi aveva il compito di controllare non ha chiesto conto dell’assenza di informazioni? Non si è preoccupato che in fase di preparazione del «salvagente» (in gergo: disaster recovery) il backup potesse essere portato al di fuori dell’Italia, come si evince dalla stessa ordinanza? Tutto domande che meritano risposte. Vale per la piattaforma Ced, citata sopra, ma anche per quella dello Sdi (Sistema di indagine) da cui sono stati sottratti oltre 52.000 file.
(Estratto di un articolo pubblicato sul quotidiano La Verità)