Milano:Riuscivano a sapere tutto di tutti avendo funzionari infedeli che passavano notizie

È emerso nel fine settimana un “gigantesco mercato di informazioni personali” prelevate da banche dati strategiche per l’Italia (Sdi, Serpico, Inps, Anpr, Siva), carpite da ex appartenenti o appartenenti a polizia e Gdf, tecnici informatici e hacker per essere rivendute a clienti del mondo dell’imprenditoria non solo per fini “aziendali”.

È quanto ha scoperchiato l’indagine della Dda di Milano e della Dna che ha portato agli arresti domiciliari l’ex super poliziotto Carmine Gallo, amministratore delegato della Equalize, società di investigazione privata del presidente di Fondazione Fiera (ente estraneo alle indagini) Enrico Pazzali, ora indagato, Nunzio Calamucci, Massimiliano Camponovo e Giulio Cornelli, titolari o soci di aziende collegate e specializzate nella sicurezza e nell’informatica, come riportato dall’Ansa.

I reati al centro dell’inchiesta sono associazione per delinquere e accesso abusivo a sistema informatico.

Ma come è possibile “bucare” le banche dati nazionali del calibro dello Sdi, dove sono raccolti i precedenti di polizia dei cittadini e Serpico, il sistema informatico di raccolta ed elaborazione dei dati sui contribuenti?

Ecco le prime reazioni all’inchiesta milanese sui dossieraggi.

COSA SI SA SULL’INCHIESTA SU DOSSIERAGGIO

L’inchiesta ruota attorno alla Equalize srl, società privata di business intelligence fondata dall’ex agente della squadra mobile, per oltre 30 anni in servizio alla Procura di Milano, e nella quale Pazzali detiene quote. Secondo e ipotesi del pm di Milano Francesco De Tommasi e Antonio Ardituro della Direzione nazionale antimafia, avrebbero sottratto dati e informazioni segrete anche su commissione dei clienti e dietro il pagamento di denaro. La Procura con il Nucleo investigativo dei carabinieri Varese indaga per associazione a delinquere, intercettazioni abusive, accesso abusivo a sistema informatico, corruzione e violazione di segreto.

Tra gli indagati, che rispondono di concorso negli accessi abusivi della presunta organizzazione, figurano anche l’imprenditore Leonardo Maria Del Vecchio, figlio del fondatore di Luxottica, e il banchiere Matteo Arpe.

L’AVVERTIMENTO “INASCOLTATO” DEL MINISTRO DELLA DIFESA CROSETTO

Suona come un “ve lo avevo detto” il commento del ministro della Difesa italiano Guido Crosetto, affidato alla piattaforma X, sull’inchiesta sui dati rubati alle banche dati nazionali.

“Da quando ho lanciato l’allarme sul caso Dossier (cioè sui poteri affidati dallo Stato per la sicurezza e la giustizia ed utilizzati da alcuni, molti, per scopi illeciti, illegali ed illegittimi) si è aperto un vaso di Pandora. Prima l’inchiesta di Cantone, nata dalla mia denuncia, poi il caso di Bari sull’accesso ai conti bancari di persone note ed oggi questo enorme scandalo milanese di hackeraggio e dossieraggio. All’inizio, ma ancora in questi giorni, in molti ironizzavano e cercavano di sminuire gli “allarmi di Crosetto” o i “complotti evocati da Crosetto”. Ora in tanti stanno capendo ed ammettono, i più tacciono e quelli che continuano a sminuire lo fanno evidentemente in autotutela”, scrive il ministro Crosetto.

“IL GOVERNO DEVE RENDERE IMPOSSIBILE L’UTILIZZO DELLE BANCHE DATI PER SCOPI NON AUTORIZZATI”

Dopodiché, secondo Crosetto “occorre, ed il Governo si sta muovendo in tal senso, rendere impossibile l’utilizzo delle banche dati per scopi che non siano quelli autorizzati dalla legge. Occorre punire chiunque abbia abusato del proprio ruolo o del proprio potere finora, sia dipendente pubblico che privato. Ma occorre punire anche chi ha utilizzato queste informazioni e chi le ha commissionate”.

Inoltre, “la cosa più importante sarebbe sapere però se esiste un filo rosso che lega, magari nell’inconsapevolezza degli attori minori, tutte queste, e molte altre, raccolte informative, intrusioni illegittime, inseguimenti, pedinamenti, filmati, fotografie, registrazioni, non autorizzate e non giustificate da nulla di legale e a tutela dell’interesse pubblico. Penso che le dimensioni ormai raggiunte dai fenomeni che stanno emergendo, che ripeto per me non sono che la punta dell’iceberg di un malcostume diffusissimo, debbano portare anche il Parlamento ad una riflessione su come vada affrontato, normato ed indagato questo tema, che può gravemente minare la convivenza democratica, influenzandone uno svolgimento corretto. In molti, troppi, ne hanno goduto, in questi anni”, ha concluso il ministro della Difesa.

NECESSARIA LA MIGRAZIONE SUL CLOUD DELL’INFRASTRUTTURA IT DELLA PA PER STEFANO FIRPO (DG ASSONIME)

L’unica soluzione all’esfiltrazione di dati è la migrazione sul cloud delle infrastrutture It della Pa secondo Stefano Firpo, oggi direttore generale di Assonime e già Capo della Segreteria Tecnica del Mise con Corrado Passera, durante il governo Monti. “Finché la PA non porterà sul cloud la sua infrastruttura IT intere banche dati con informazioni delicatissime oggi gestite on premises al ministero degli interni, di Giustizia, della Salute e del MEF rimarranno alla mercé di hacker, delinquenti, ricattatori e umanità varia”, ha osservato su X.

Un riferimento quindi al Polo Strategico Nazionale, l’infrastruttura cloud per ospitare dati e servizi della Pubblica Amministrazione, a partire da quelli strategici e critici, gestito dalla società partecipata da Tim, Leonardo, Cdp (attraverso la controllata CDP Equity) e Sogei. Quest’ultima è la società controllata del ministero dell’Economia, anch’essa al centro di una maxi inchiesta per corruzione sugli appalti che vede indagati anche manager di Tim e Ntt Data.

COSA NE PENSA ESPERTO DI CLOUD CHE HA RICHIESTO L’ANONIMATO

Quindi il trasferimento dell’architettura della banche dati strategiche sul cloud sarebbe una soluzione contro i furti e hackeraggi?

“Sì, perché il sistema di controllo dei dati messi in cloud è più sicuro in assoluto da hacker e altro”, ha spiegato a Startmag un esperto cloud che ha parlato chiedendo l’anonimato. Poi, ha proseguito, il cloud garantisce “crittografia dei dati sia a riposo che in transito, sistemi di rilevamento delle minacce in tempo reale basati su intelligenza artificiale e firewall distribuiti, sistemi di prevenzione delle intrusioni e protezione da attacchi”.
I VANTAGGI DA UN’INFRASTRUTTURA CLOUD

Inoltre, sempre il cloud prevede “patch di sicurezza e aggiornamenti software in modo continuo e automatizzato, riducendo il rischio di vulnerabilità. Nei server on-premise, invece, spesso queste attività sono manuali e possono subire ritardi, aumentando il rischio di attacchi” ha aggiunto l’esperto anonimo. Senza dimenticare che i “cloud provider offrono infrastrutture distribuite geograficamente, con ridondanza su più data center, garantendo alta disponibilità e backup regolari. I server di stato o on-premise possono essere più vulnerabili a guasti hardware, disastri naturali o attacchi fisici”.
Infine, “principalmente, i cloud provider hanno strumenti avanzati di Identity and Access Management (IAM) per garantire che solo le persone autorizzate possano accedere ai dati, con autenticazione multifattoriale e log dettagliati degli accessi, con sistemi di alert immediato (qui i Carabinieri sono arrivati solo dopo) a vari livelli (cioè se accedi, perché accedi, perché tante volte, e in vari possono verificarlo al minuto). Nei server di stato, queste funzionalità possono essere più limitate o difficili da implementare correttamente”, ha concluso l’esperto.
COSA NE È DELLA SICUREZZA INFORMATICA FINORA RACCONTATA? L’ANALISI DI UMBERTO RAPETTO

Intanto “venuta meno l’impermeabilità dell’architettura informativa della nazione è legittimo ipotizzare il peggio”, ha osservato Umberto Rapetto, generale della riserva della Guardia di Finanza, già comandante del GAT Nucleo Speciale Frodi Telematiche, in un commento per il quotidiano Domani. “Se qualcuno entra ed esce dai database di maggiore criticità come se fosse cosa sua (o Cosa nostra), possiamo serenamente confessare che tutta la sicurezza “raccontata” non corrisponde a quella in funzione”, ha scritto Rapetto.
Secondo l’esperto “gli ingranaggi della “macchina” che doveva tutelare la riservatezza dei dati è ormai chiaro che si sono inceppati o sono finiti fuori uso. Ma i meccanismi a protezione dell’integrità delle informazioni, ossia quelli a garanzia della loro originalità e veridicità hanno fatto il loro dovere?”

“Si verrà a raccontare che ci sono rigorose procedure di autorizzazione, specifici privilegi di accesso, “log” che registrano ogni minuscolo evento abbia luogo sui sistemi ICT. E allora si dovrà spiegare perché sono penetrati intrusi privi di qualsivoglia abilitazione e nessuno si è accorto di nulla se non con ritardi clamorosi che hanno permesso a certa gente di arricchirsi a piene mani”, fa notare il generale Rapetto, che evidenzia: “Ottocentomila schede SDI, ovvero il profilo di precedenti e dettagli di altrettante persone all’interno del Sistema Informativo Interforze in uso ai Corpi di Polizia, non si limitano a ingombrare i 15 terabyte di dati sui relativi supporti di memorizzazione, ma sono un macigno di informazioni che nemmeno la versione virtuale di Obelix saprebbe caricarsi sulla schiena”.

Dunque secondo l’esperto “Il putridume della vicenda tratteggia una mappa che si allarga di ora in ora, non determinando un contagio ma palesando una contaminazione radicata fin nelle più piccole cartilagini dell’ossatura delle istituzioni”.

LA PORTATA DELL’INCHIESTA SECONDO L’ESPERTO AURELIO GIANSIRACUSA

La vicenda dei dossieraggi che sta emergendo dall’inchiesta nota da questo fine settimana ha una portata inaudita. “Fosse vero anche solo il 10% di quanto riportato sarebbe una debacle clamorosa per la ns. intelligence comunity e della ns. sicurezza nazionale” ha commentato su X Aurelio Giansiracusa, analista di Ares-Osservatorio Difesa.

LA RIFLESSIONE ANONIMO DI UN EX MAGISTRATO ANTIMAFIA

“Il mercato delle informazioni riservate è sempre stato fiorente, perché la conoscenza è potere. Oggi è agevolato dalla vulnerabilità dei sistemi informatici, dalla privatizzazione della loro gestione, anche nelle sedi istituzionali, e dalla dilagante corruzione” sono le considerazioni di un ex magistrato antimafia che preferisce non comparire con nome e cognome.

IL COMMENTO DEL PROFESSOR MARCO GAMBARO

Su come sia stato possibile accedere illecitamente alle banche dati strategiche dello Stato, si è interrogato, sempre su X, anche Marco Gambaro, professore di Economia dei Media della Statale di Milano: “i nostri servizi e apparati dello stato non fanno una gran figura e neppure i loro responsabili della sicurezza. Il tema non è tanto controllare gli accessi con autorizzazioni speciali (quello cui sembra puntare una legge non tempestiva) quanto avere processi di monitoraggio e verifica funzionanti. Non solo compliance a procedure di accesso ma accountability sostanziale e capacità di verifica di controllo interno indipendenti da eventuali indagini giudiziarie. E questo ha più a che fare con il modo di lavorare, la delega e il controllo, più che con l’informatica”.
Infine, conclude il professor Gambaro “Sembrano fatturare complessivamente 3 milioni di euro, non un mercato gigantesco. O le informazioni in realtà non valgono molto e il prezzo medio è basso, o ci sono molti fatturati nascosti, o non erano così importanti”.