Banche dati profanate da funzionari infedeli senza che nessuno preposto al controllo abbia verificato che l’accesso fosse giustificato da esigenze di servizio.
È la stessa presidente del Consiglio, Giorgia Meloni, a sentenziare che la cosa più importante dello scandalo dei dossieraggi “riguarda l’infedeltà dei funzionari perché le nostre banche dati non sono violate da estranei ma da funzionari dello Stato che dovrebbero proteggerle ma usano il loro potere per fare altro. Bisogna essere implacabili e lo dico anche per chi ha il dovere della vigilanza”, ha asserito la premier intervenendo nei giorni scorsi a “Cinque minuti” su Rai1.
Mentre il governo pensa a una legge per limitare gli accessi ai dati, la rete coinvolta intorno alla società Equalize si sarebbe avvalsa degli infedeli servigi di gente assegnata al funzionamento di suddetti sistemi.
Ma – da quanto emerge dall’inchiesta – l’ex poliziotto Carmine Gallo avrebbe avuto accesso a queste banche dati coinvolgendo alcuni membri delle forse dell’ordine attualmente in servizio.
Nello stesso giorno Il Fatto Quotidiano riporta che “nella Capitale la procura indaga su un’altra presunta centrale di dossieraggio, la “squadra Fiore”, che secondo le rivelazioni di Today.it arruolerebbe un “militare assegnato” all’Acn. Ora i pm capitolini hanno acquisito le carte milanesi, sospettando che le due storie possano sovrapporsi”.
Non solo, il gruppo coinvolto nell’inchiesta di Milano faceva anche la manutenzione dei sistemi dell’Agenzia cybersicurezza nazionale (Acn), come rivelato dal Messaggero. (Qui per approfondire con la lettera di Trezzano su Startmag Vi racconto le figuracce dell’Agenzia per la cybersicurezza nazionale su dossieraggi e spionaggi).
E ieri il Fatto quotidiano ha aggiunto, sempre sull’inchiesta che riguarda la squadra d Equalize, che ci sono elementi nelle carte giudiziarie di contatti con esponenti dell’Intelligence.
“Certo è un problema parlare di sicurezza informatica se il portiere dell’albergo, per fare un paragone, quando il cliente si allontana, passa le chiavi della camera a qualcuno. Qualunque sistema in una situazione del genere, per quanto possa esser difeso da apparati difensivi straordinari, è bucabile in quel momento” ha ammesso il 29 ottobre il direttore dell’Agenzia per la cybersicurezza nazionale, Bruno Frattasi, ripreso dall’Ansa.
Come difendersi quindi dagli stessi dipendenti malfidi dello Stato? Come far funzionare il sistema – già esistente – di controllo per le banche dati?
BANCHE DATI IN MANO A TERZI
Oltre 800 mila dati rubati attraverso intrusioni nelle banche dati strategiche come Sdi, Serpico (il sistema dell’Agenzia delle entrate che raccoglie e incrocia dati patrimoniali dei contribuenti italiani) e ancora dati dell’Inps, del fisco. È lo scenario che sta emergendo dall’inchiesta dossieraggi della procura di Milano dalle ricostruzioni sulla stampa italiana.
“Banche dati; si le banche dati attuali sono in mano a terzi, per meglio dire ci sono società partecipate che gestiscono i dati dei singoli cittadini con governance affidata allo Stato”, ha spiegato William Nonnis, analista tecnico per la digitalizzazione e innovazione alla Presidenza del Consiglio dei Ministri-Pnrr in un’intervista a Policy Maker. E, infine, come avete sentito si parla di “accesso” alle banche dati, vuole dire che hanno utilizzato la classica chiave di lavoro quotidiana. Infatti, la violazione delle infrastrutture avviene attraverso la compravendita del dipendete che ha le ‘chiavi di casa’”.
Dunque, secondo Nonnis “la cosa più importante da capire è che siamo tutti sorvegliati, chi più chi meno, e che purtroppo certi dipendenti abusano di questo potere; infatti, oggi le informazioni sono il nuovo mercato di scambio/ricatto tra soggetti della società. E poi aggiungo che manca il controllo dei processi”.
LE RIVELAZIONI DEL FATTO QUOTIDIANO SU EQUALIZE E SERVIZI
“La squadra di via Pattari poteva contare su Enrico Pazzali per i rapporti con i vertici della politica, e su Carmine Gallo per i contatti con i livelli più alti dei nostri apparati investigativi – ha scritto oggi il Fatto quotidiano – Tanto che in una richiesta di proroga di intercettazioni dell’ottobre 2022, i carabinieri di Varese scrivono: “I contatti di Gallo sono di alto livello dal capo dello Sco a Luigi Savina (non indagato, ndr) già vicecapo vicario della Polizia di Stato” e con il quale Gallo stesso “discute dei progetti informativi di Equalize tra i quali la nuova piattaforma Beyond””.
NON HACKER, BENSÌ AMMINISTRATORI O MANUTENTORI
Non hacker dalle capacità sbalorditive e tecnologie sofisticate, bensì amministratori o manutentori pubblici dietro la rete di dossieraggi.
Come ha sottolineato Claudio Antonelli su La Verità, “sempre leggendo le pagine delle ordinanze, emergono tre filoni di «esfiltrazione» dei dati, come si dice in gergo tecnico. Il primo legato ad agenti o militari infedeli che entravano nelle rispettive banche dati di competenza”.
“Secondo l’ordinanza, a collaborare con l’azienda milanese con sede a due passi dal Duomo sarebbero figure che in passato hanno gestito e manutenuto impianti digitali come quello del Ced, Centro elaborazione dati, che fornisce tutte le Forze di polizia italiane. È chiaro che accedendo in qualità di amministratori o manutentori hanno potuto bypassare tutti gli alert preposti”, ha aggiunto Antonelli.
“Non solo: avrebbero anche potuto mettere mano all’intera filiera di informazioni muovendosi in parallelo sui backup (duplicazione dei dati su supporti esterni per avere una copia di riserva) di sicurezza. Nessuno si sarebbe potuto accorgere dell’esfiltrazione perché non ve ne era tecnicamente traccia” evidenzia il giornalista.
CONTROLLARE IL LAVORO DEI CONTROLLORI
Ma possibile che nessuno controlli il legittimo accesso e la corretta fruizione di questi dati?
“Nella realtà, però, dovrebbe essere preposta una attività di audit mirata a controllare il lavoro dei controllori. Ed è proprio l’assenza di tracce di tale attività che avrebbe dovuto insospettire gli sceriffi dell’audit. Anche i tecnici informatici per accedere si «loggano», e il fatto stesso che non venisse registrata questa operazione avrebbe potuto accendere un dubbio. Un po’ come se si lasciasse un tassello vuoto nella lista progressiva degli accessi”, ha proseguito il quotidiano La Verità.
“Chi aveva il compito di controllare non ha chiesto conto dell’assenza di informazioni? Non si è preoccupato che in fase di preparazione del «salvagente» (in gergo: disaster recovery) il backup potesse essere portato al di fuori dell’Italia, come si evince dalla stessa ordinanza? Tutto domande che meritano risposte” conclude il giornalista de la Verità.
IL PROBLEMA È IL WETWARE
Ricapitando, a penetrare i sistemi sarebbero stati, come scrive sempre Antonelli sulla base delle ordinanze, «informatici che, per ragioni di incarichi pregressi o in corso, conoscevano bene l’infrastruttura digitale da violare». Equalize avrebbe usato i servizi di «figure che in passato hanno gestito e manutenuto impianti digitali come quello del Ced, Centro elaborazione dati, che fornisce tutte le Forze di polizia italiane».
Allora “il punto debole è il wetware: persone che per denaro o altre «utilità», come scrive il Codice penale, sono disposte a entrare nei sistemi o mettere altri in grado di farlo” spiega il professore Gregory Alegi su Startmag.
COME SONO GESTITI I NOS?
Secondo il professore “bisogna insomma chiedersi come queste persone siano scelte, vagliate e confermate nei loro incarichi. Come abbiano cioè ricevuto il “Nulla Osta di Sicurezza” (NOS), per di più a livelli che consentono di girare liberamente per i sistemi, ben oltre le proprie immediate esigenze operative”.
“Tutto qui? Sì, salvo che chiedersi come vengano gestiti i NOS pubblici e privati è una di quelle domande che fanno tremare i polsi. Perché delle due cose l’una: o le strutture preposte non hanno chiari i concetti di privacy personale e sicurezza dello Stato, oppure li hanno chiarissimi ma decidono di chiudere un occhio per amici o, peggio ancora, clienti”, ha osservato ancora il professor Alegi.
“Comunque vada a finire, è chiaro che serve un radicale ripensamento dell’accreditamento delle strutture, degli operatori e dei responsabili. Perché se il wetware fa acqua, è inutile disporre del software e dell’hardware migliori del mondo”, secondo Alegi.
IL COINVOLGIMENTO DI TECNICI DEL VIMINALE
Gli indagati sfruttavano gli accessi al Sistema d’Indagine informatico (Sdi) della polizia, gestito dal Viminale. Si tratta di una banca dati nata nel 1981 che serve a raccogliere segnalazioni, querele, dati giudiziari su nominativi. Possono accedere allo Sdi gli ufficiali di polizia giudiziaria e di pubblica sicurezza e gli agenti autorizzati. Ogni accesso con password va motivato.
“Trattandosi di dati di estrema criticità, capaci di profilare in modo particolareggiato le persone cui si riferiscono, tale ambiente è soggetto a rigorose procedure di accesso e ad altrettanto ben definite regole di utilizzo” spiega Umberto Rapetto, generale della riserva della Guardia di Finanza, già comandante del GAT Nucleo Speciale Frodi Telematiche, in un articolo del 30 ottobre per il Quotidiano del Sud.
In base alle ricostruzioni giornalistiche delle indagini in corso, il generale ipotizza che “Tecnici addetti a conservare in esercizio i server del Ministero dell’Interno avrebbero approfittato della loro libertà di azione, ovviamente correlata alle necessarie operazioni su hardware e software, per piazzare il loro Cavallo di Troia e avviare una serie di iniziative indebite che sono poi sfociate nel mare magnum che adesso allaga la cronaca di questi giorni. In termini pratici sarebbe stato installato un programma che consente di gestire da remoto un apparecchiatura elettronica che ha necessità di esser costantemente monitorata per garantirne la costante efficienza indispensabile per il perseguimento degli obiettivi istituzionali.”
RAT PER ACCEDERE DA QUALUNQUE LOCALITÀ
Quindi, secondo Rapetto, “la soluzione, apparentemente di estrema utilità per assicurare la necessaria assistenza H24 e il repentino intervento degli specialisti in caso insorgano problemi o malfunzionamenti, in realtà si sarebbe concretizzata in un “RAT”. Dietro a quella sigla si cela il Remote Access Tool, ovvero lo strumento grazie al quale in qualsiasi istante un soggetto abilitato può accedere da qualunque località per risolvere gli eventuali intoppi e ripristinare i servizi “inceppati””.
COME HANNO AGITO GLI INFEDELI
Ed ecco che “l’infedeltà di certi incaricati di particolari mansioni supera ogni ostacolo hi-tech” mette in risalto il generale Rapetto.
Ma come fare per non farsi scoprire?
“C’è gente – come la cronaca sembra farci intendere – che per mille e trecento euro al mese si siede volentieri al terminale per rubare informazioni alle banche dati non raggiungibili dall’esterno. Basta metter mano a badge e password, qualificarsi con nome, cognome e grado, simulare una esigenza di servizio” illustra Rapetto.
Quindi “poco importa se ogni “interrogazione” viene registrata con l’identificativo dell’utente autorizzato, con data e ora, con individuazione della postazione di lavoro, con annotazione di salvataggi e stampe: chi mai andrà a leggere i “log” in cui vengono appuntati tanti dettagli inutili solo se nessuno si fa carico di leggerli e analizzarli?” si interroga retoricamente il generale.
TRE MEMBRI DELLE FORZE DELL’ORDINE INDAGATI SECONDO IL FOGLIO
E dalle ipotesi si passa ai fatti: con tre membri delle forze dell’ordine indagati per aver rifornito la società di investigazione Equalize di migliaia di dati estrapolati in modo abusivo dalla banca dati Sdi del ministero dell’Interno.
Il 29 ottobre il Foglio rivela che “I membri delle forze dell’ordine accusati di essersi introdotti in maniera abusiva alla banca dati Sdi sono per il momento tre. Due sono in servizio alla Direzione investigativa antimafia di Lecce: Giuliano Schiano, maresciallo della Guardia di Finanza, e Tommaso Cagnazzo, maresciallo dei Carabinieri. Il terzo è invece in servizio al commissariato di polizia di Rho-Pero, nel milanese: si tratta di Marco Malerba, sovrintendente della Polizia”
Com’è stato possibile che nessuno nei rispettivi uffici se ne accorgesse?
“E pensare, come impone una circolare del 2013 del Viminale rivolta a tutte le forze di polizia, visionata dal Foglio, che ciascun comandante di reparto è tenuto a controllare periodicamente gli accessi effettuati allo Sdi dai propri sottoposti. Una cosa, invece, è certa: gli obblighi di controllo non sono stati affatto rispettati.”
COSA PREVEDE LA NORMATIVA PER QUESTI REATI
Ma se saranno accertati gli illeciti, a cosa andranno incontro?
Contro lo spionaggio non servono nuove norme: c’è già una legge del 1981 una esigenza di servizio, ricorda sempre il generale Rapetto.
Basta riprendere “la Gazzetta ufficiale del 10 aprile 1981. Il numero 100 di quella pubblicazione di 43 anni fa è lo scrigno che custodisce la prima pietra del “Nuovo ordinamento dell’Amministrazione della Pubblica Sicurezza”, ossia la legge del 1° aprile 1981 n° 121”.
All’articolo 12 si apprende che «Il pubblico ufficiale che comunica o fa uso di dati e informazioni in violazione delle disposizioni della presente legge, o al di fuori dei fini previsti dalla stessa, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a tre anni». “La legge – come in tanti altri ambiti – esiste e la sua previsione ultraquarantennale suggerisce forse di applicarla senza inventarne un’altra. Accontentiamoci di questo primo” ribadisce Rapetto.
Intanto, ricorda il Foglio che “mentre gli agenti che hanno effettuato questi accessi abusivi risultano indagati, nessuna azione è stata intrapresa nei confronti di coloro che avrebbero dovuto vigilare sul corretto accesso alla banca dati. Come se i magistrati avessero il timore di mettere sotto inchiesta il comandante di un commissariato o di un nucleo investigativo”.
PERCHÉ CHI DEVE CONTROLLARE NON CONTROLLA?
Sempre il Foglio del 31 ottobre mette in luce che “Gli alert per controllare gli accessi illeciti alla banca dati Sdi del ministero dell’Interno già esistono. Il loro potenziamento quindi, seppur utile, non risolverebbe il problema, che invece è costituito dall’assenza di controlli da parte dei comandanti dei reparti delle forze dell’ordine, che hanno l’obbligo di monitorare il lavoro dei sottoposti”. A parlare, intervistato dal Foglio, è un colonnello dei Carabinieri, in servizio da oltre vent’anni, commentando l’inchiesta milanese sui dossieraggi.
“Ogni trenta giorni i comandanti delle unità devono controllare gli accessi attraverso un’applicazione chiamata ‘Statistiche del personale’”, spiega il colonnello al quotidiano diretto da Claudio Cerasa. “Già alla prima schermata questo sistema avvisa i comandanti, con degli alert, dell’esistenza di anomalie, come un picco di accessi da parte di un agente”.
Dunque, secondo l’ufficiale dell’Arma: “I comandanti dei reparti delle forze dell’ordine hanno l’obbligo di monitorare il lavoro dei sottoposti, ma non lo fanno. Questo avviene perché l’assenza di controllo non ha mai avuto conseguenze né sul piano penale né su quello disciplinare”.