La Direzione Distrettuale Antimafia di Milano ha condotto una lunga inchiesta su un sistema di presunto spionaggio e accesso illecito a banche dati, portato avanti da un gruppo di persone e aziende, tra cui ex membri delle forze dell’ordine, tecnici informatici e hacker. L’organizzazione poteva contare su contatti con ambienti della criminalità organizzata e dei servizi segreti.
Al centro delle indagini ci sono finiti Carmine Gallo, ex poliziotto e ora amministratore delegato della società investigativa Equalize, che ha agito per conto di vari clienti, tra questi il presidente della Fondazione Fiera di Milano, Enrico Pazzali. Entrambi gli uomini risultano indagati.
Le persone coinvolte accedevano illegalmente a banche dati come il Sistema di Indagine (Sdi), Serpico, i sistemi informatici valutari della Banca d’Italia e l’INPS.
Tra le persone i cui dati sono stati ‘spiati’ si trovano nomi di spicco della politica e dell’imprenditoria come il presidente del Senato Ignazio La Russa e il figlio Geronimo, Giovanni Gorno Tempini, attuale presidente di Cassa Depositi e Prestiti ed ex presidente di Fondazione Fiera Milano, Paolo Scaroni, ex amministratore delegato di Eni e attualmente presidente del Milan, il giornalista del Sole 24 ore Gianni Dragoni e Giovanni Pons di Repubblica.
Sul tema abbiamo sentito sul tema William Nonnis, esperto blockchain, attualmente analista tecnico per la digitalizzazione e innovazione alla Presidenza del Consiglio dei Ministri – PNRR, precedentemente ha ricoperto la posizione di Full Stack & Blockchain Developer al Ministero della Difesa e in Enea.
Cosa ci dice l’inchiesta della Procura di Milano sulla sicurezza delle banche dati italiane?
Vorrei partire con una precisazione: ho sentito spesso usare il termine hacker, ecco al momento non risulta che ci siano hacker. Vi spiego meglio.
Prego.
Abbiamo almeno cinque problemi. La cultura della sicurezza, intendo una mancanza totale di consapevolezza dello strumento e di quello che si fa con lo strumento e come viene utilizzato realmente a seconda delle nostre informazioni generate. Poi c’è l’infedeltà dei dipendenti; alcuni dipendenti che ricoprono posizioni molto importanti per la sicurezza nazionale e finanziaria hanno mostrato di essere ricattabili/comprabili dal miglior offerente. Infrastruttura tecnologica non adeguata al contesto attuale e alle dinamiche tecnologiche odierne. Banche dati; si le banche dati attuali sono in mano a terzi, per meglio dire ci sono società partecipate che gestiscono i dati dei singoli cittadini con governance affidata allo Stato. E, infine, come avete sentito si parla di “accesso” alle banche dati, vuole dire che hanno utilizzato la classica chiave di lavoro quotidiana. Infatti, la violazione delle infrastrutture avviene attraverso la compravendita del dipendete che ha le ‘chiavi di casa’.
La cosa più importante da capire è che siamo tutti sorvegliati, chi più chi meno, e che purtroppo certi dipendenti abusano di questo potere; infatti, oggi le informazioni sono il nuovo mercato di scambio/ricatto tra soggetti della società. E poi aggiungo che manca il controllo dei processi.
Ci può spiegare più nel dettaglio?
Sì, vi faccio un esempio pratico, ricorda il caso di “Carmelo Miano, l’hacker della Garbatella”? Ecco io non lo chiamo hacker ma direi che, semplicemente, c’è stata una mancanza totale di controllo del processo. La società dove era ubicato Miano era una partecipata del Ministero della Giustizia e di TIM, di conseguenza aveva le ‘chiavi di casa’ a disposizione perché comunque doveva effettuare l’attività quotidiana per i servizi degli enti pubblici/privati.
La piattaforma Beyond, sviluppata dall’azienda investigativa italiana Equalize, è attualmente al centro di un’indagine della Procura di Milano per spionaggio e presunti accessi illegali a dati sensibili. Ci spiega come funziona?
Beyond funziona aggregando dati provenienti da fonti sia pubbliche sia private, comprese banche dati commerciali come Infocamere e Cerved, nonché archivi governativi e strategici come il database interforze SdI del Ministero dell’Interno. Questo le permette di accedere e integrare informazioni riservate da enti come INPS e altre fonti pubbliche e private, consentendo un quadro informativo dettagliato e spesso sensibile.
Quali misure devono essere adottate per prevenire spionaggio e accessi non autorizzati e proteggere informazioni sensibili?
Come dicevo prima serve maggiore controllo, visto che le agenzie di investigazione/intelligence vengono autorizzate dallo Stato ma mancano degli alert di quello che succede e del perché succede. Infatti, se manca una ragione, perché devo controllare i dati di Mario Rossi?
In che modo ci si può tutelare in questa nuova era di spionaggio con una tecnologia sempre più avanzata? Servono nuove leggi?
A mio parere non servono leggi, quelle che abbiamo bastano e avanzano e non serve, secondo me, ‘un’agenzia dei dati’, mi ricorda molto l’annuncio di Biden sul ministero della verità. In Italia abbiamo la mania di creare task force oppure agenzie per ogni problema che emerge, senza prevenirlo. Inoltre, creare agenzie porta a un gioco di potere e difficilmente si può arrivare a una soluzione per la tutela delle informazioni. Io credo che debba essere responsabilizzato il singolo che gestisce le informazioni con una supervisione e con una clausola: se sbagli paghi in prima persona.
Dopo il caso Striano, il caso Coviello, ora abbiamo il caso Pazzali. Quali conclusioni possiamo trarre da questi presunti casi di spionaggio a livelli sempre più alti? Ci sono delle relazioni?
Non esiste una soluzione efficace, credo che serva solo essere trasparenti nei confronti della cittadinanza e parlare chiaro. Anche se a mio parere, come ho già detto in alcune trasmissioni, credo che la privacy sia solo un problema delle vecchie generazioni, sfido chiunque a dire che le nuove generazioni hanno attenzione a questo tema, visto l’utilizzo che fanno dei propri dispositivi e dati nei social network. So che se sembra una dichiarazione fuori tema ma non lo è. Penso che entro cinque anni la privacy non avrà più senso di esistere, perché capiremo che siamo coinvolti, in prima persona, su tutti i processi quotidiani e se utilizziamo male le nostre risorse ne paghiamo a caro prezzo le conseguenze. Dico questo perché mi aspetto che i cittadini la cui privacy viene violata siano risarciti. Dati sensibili, come quelli presenti nelle banche dati delle ASL, possono fare male se circolano nel dark web e non solo. Oggi sappiamo fare una cosa molto bene, mettere sanzioni se non ti adegui. Ma mi chiedo, perché non sono risarcite le persone così come viene sanzionato chi non si mette in regola? Ecco tornando al caso dossieraggio, partiamo da un punto fondamentale, le regole ci sono, gli strumenti pure ma vanno adeguati nelle infrastrutture di Stato. Manca, però, il coinvolgimento del singolo, la consapevolezza, la formazione e la responsabilità individuale.
Maria Scopece