Non tutto è chiaro sul caso di Vincenzo Coviello, il funzionario di Intesa Sanpaolo ha spulciato conti e carte non solo di clienti vip del gruppo creditizio capeggiato dall’ad, Carlo Messina, ma anche di clienti top di alti istituti di credito. Nel frattempo si muovono anche il Garante per la Privacy e Bankitalia, mentre il gruppo Intesa Sanpaolo decide di nominare come Chief Security Officer il Generale del Corpo d’Armata dei Carabinieri Antonio De Vita, già advisor di Messina.
Procacciamento di notizie segrete concernenti la sicurezza dello Stato, tanto politiche interne quanto internazionali. È questa l’ipotesi di reato, punita con la reclusione da 3 a 10 anni, che la Procura di Bari contesta a Coviello, secondo il Fatto quotidiano.
Ecco fatti, nomi e approfondimenti.
LE ACCUSE PER COVIELLO DI INTESA SANPAOLO
Coviello è accusato di oltre 6.600 accessi abusivi su 679 filiali del suo ex istituto e 3.572 clienti; la maggior parte sconosciuti al grande pubblico, ma pure nomi famosi del mondo della politica, dello sport e dello spettacolo come Francesco Totti o l’attrice Luisa Ranieri, la pallavolista Paola Egonu. E delle istituzioni in generale, compreso Mario Draghi. Spesso in occasione di fatti o eventi che li riguardavano direttamente. Dalla sua postazione della filiale Agribusiness di Bisceglie, accedeva ai sistemi della banca e digitava nomi. Migliaia di nomi, per la precisione 3.572 con i conti in 679 filiali.
SI MUOVONO GARANTE PER LA RISERVATEZZA DEI DATI E BANCA D’ITALIA
Una vicenda che il Garante della privacy ha definito «inquietante» (il presidente Pasquale Stanzione ha detto che «si aspetta una giustificazione») e sulla quale Bankitalia, ieri, ha chiesto a Intesa Sanpaolo «chiarimenti sull’accaduto e sulle iniziative che intende intraprendere al riguardo». Bankitalia, sottolineano fonti dell’istituto, ha chiesto a Intesa Sanpaolo «di fornire chiarimenti sull’accaduto e sulle iniziative che intende intraprendere a riguardo». Ricordando che la vigilanza nazionale ed europea da tempo chiedono alle banche «di rafforzare i presidi di sicurezza e di continuità operativa» contro i rischi informatici e cybernetici. «Spetta alla banche presidiare questi rischi» concludono le fonti.
CHE COSA PUO’ FARE IL GARANTE?
Che cosa può fare il Garante della privacy? Secondo il regolamento Gdpr (qui un approfondimento di Startmag) le violazioni sui conti possono essere di tre tipi: violazione della riservatezza, violazione dell’integrità e violazione della disponibilità. In caso di comportamento scorretto il Garante della privacy può prescrivere misure correttive valutando l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati violati. Sono anche previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
LE PAROLE RUVIDE DEL GARANTE SU INTESA SANPAOLO
«È stata la banca – ha spiegato a Repubblica il presidente Stanzione — ad averci notificato una violazione di dati personali tramite la procedura telematica che dal 2021 si trova sul nostro portale dei servizi online». La stessa che solo nel 2023 è stata utilizzata 19.281 volte da pubbliche amministrazioni, imprese, associazioni, cittadini per inviare all’Authority reclami e segnalazioni. Di queste 2.037 riguardavano “data breach” da parte di soggetti pubblici o privati. Secondo la direttiva europea, l’avviso al Garante dovrebbe arrivare, «ove possibile, entro 72 ore dal momento in cui si viene a conoscenza» di una violazione di dati. Almeno quando questa comporta «un rischio per i diritti e le libertà delle persone». In questi casi – e lo spionaggio dell’impiegato stacanovista di Bitonto è difficile che non rientri nel campione – la violazione andrebbe comunicata anche a tutti gli interessati, ai correntisti quindi, dalle sorelle Meloni ad Amadeus. “Che invece, stando alle loro reazioni, non ne sapevano nulla”, chiosa il quotidiano del gruppo Gedi.
LE IPOTESI DELLA PROCURA
La banca capeggiata da Messina è sotto osservazione degli inquirenti per non aver tempestivamente comunicato gli accessi abusivi di cui era a conoscenza, secondo la ricostruzione del Corriere della sera. La Procura di Bari ha avviato le indagini dopo la querela di un correntista, un medico di Bitonto, del 22 luglio 2022; Coviello è stato licenziato due settimane dopo. La Procura ha avuto notizie dalla banca solo dopo l’acquisizione dei documenti da parte della polizia giudiziaria.Compito della Procura, che indaga per accesso abusivo ai sistemi informatici e tentato procacciamento di notizie concernenti la sicurezza dello Stato, è ora capire se Coviello, nato e residente nel Comune barese di Bitonto, abbia avuto un mandante.
COVIELLO HA AGITO DA SOLO?
Nel decreto di sequestro notificato giovedì, si legge che Coviello avrebbe agito «verosimilmente in concorso e previo concerto con persona/e da identificare», presunti mandanti degli accessi abusivi e destinatari delle informazioni acquisite. E lo avrebbe fatto, sempre secondo i pm, per «procurare a sé e/o ad altri notizie che, nell’interesse della sicurezza dello Stato o, comunque, nell’interesse politico, interno o internazionale, dello Stato dovevano rimanere segrete»
I DUE FILONI DI INDAGINE
Ci sono almeno altre due direzioni dell’attività (ritenuta illecita) del 52enne ex impiegato nella filiale di Bitonto a destare ulteriori interrogativi, inquietudini e preoccupazione. Da un lato le intrusioni nelle spese effettuate con le carte di credito, grazie alle quali è possibile sapere molto di più sulla vita degli «spiati» rispetto alle semplici movimentazioni bancarie; dall’altro la ricerca di informazioni su personaggi che hanno il conto presso altri istituti di credito, come risulta dalla lista dei nomi su cui Vincenzo Coviello avrebbe svolto accertamenti attraverso i suoi computer.
COINCIDENZE O RICERCHE MIRATE?
“Alcuni accessi coincidono con l’ascesa dei nomi alla ribalta delle cronache”, ha sottolineato il Corriere della sera: “La ricerca sul comandante generale della Guardia di Finanza Andrea De Gennaro, ad esempio, risale al 9 maggio 2023, giorno in cui il generale ha assunto il comando provvisorio del Corpo, dopo l’addio del suo predecessore; la nomina ufficiale arrivò poco dopo. Quella sul procuratore nazionale antimafia Giovanni Melillo, invece, risale all’anno precedente, 4 maggio 2022, stessa data in cui il Csm gli conferì l’incarico. Se ciò sia la conferma di un ingiustificato ma innocente voyeurismo, oppure un altro banco aperto al mercato clandestino di dati riservati, è ciò che l’indagine barese dovrà accertare”.
LA NOMINA IN INTESA SANPAOLO
Anche il gruppo bancario si muove. Il consigliere delegato di Intesa Sanpaolo, Carlo Messina, proporrà al consiglio di amministrazione della banca, previsto per la prossima settimana, la nomina del Generale del Corpo d’Armata dei Carabinieri, Antonio De Vita, nel ruolo di Chief Security Officer di Gruppo, nuova area (non presente finora nell’organigramma) a riporto del consigliere delegato con la responsabilità per la Cyber Security e la Sicurezza. Il Generale De Vita ha ricoperto, prima di raggiungere nel mese di luglio il pensionamento, la responsabilità relativa alle regioni di Puglia, Campania, Abruzzo e Molise. Dal primo settembre è stato assunto da Carlo Messina nel suo staff come senior advisor sui temi della sicurezza e cyber.