Il processo che si sta consumando a Perugia a carico di Federico Ramondino, esperto di sicurezza informatica, rischia di rappresentare un precedente pericoloso per quanto riguarda la collaborazione tra società private (o singoli professionisti) del settore e lo Stato. Ma spieghiamo bene di cosa stiamo parlando.
L’occhio della piramide
Nel 2017 la Procura di Roma, con un’indagine condotta dal pm Eugenio Albamonte, riconosciuto come uno dei massimi esperti del suo settore in materia cyber, e il Cnaipic (il Centro anticrimine informatico per la protezione delle infrastrutture critiche), disarticolò la più grande operazione ad oggi nota in Italia di cyber spionaggio, arrestando i fratelli Giulio e Francesca Maria Occhionero, accusati di aver esfiltrato una mole incalcolabile di dati sensibili attraverso un malware chiamato Eyepyramid. Tra le vittime di questa attività dalla durata decennale non solo professionisti di vari settori e alti prelati, ma soprattutto – e di qui il coinvolgimento del Cnaipic – infrastrutture critiche (come il Porto di Taranto) e diversi ministeri (Affari esteri, Interno, Grazia e giustizia e altri).
Il contrattacco
Dal carcere, Giulio Occhionero (attualmente residente ad Abu Dhabi e in attesa del processo d’Appello) denuncia alla Procura di Perugia il magistrato Albamonte e gli allora vertici del Cnaipic. La Procura di Perugia, allora guidata dal procuratore capo Luigi De Ficchy, si attiva, affidando le indagini alla pm Gemma Miliani (la stessa del cd. Caso Palamara). Partono le indagini e a finire indagato c’è anche un consulente tecnico che, su mandato diretto della Procura di Roma e del Cnaipic, aveva lavorato al caso, contribuendo a far risalire gli inquirenti alla presunta paternità del malware: stiamo parlando di Federico Ramondino.
Se Albamonte e i vertici del Cnaipic escono di scena già in udienza preliminare (il 17 gennaio 2020), Ramondino resta invece invischiato in un ingranaggio che da subito rischia di stritolarlo. Nonostante in suo favore abbiano testimoniato tutti gli attori principali della vicenda, compresi gli addetti alla sicurezza informatica di Eni ed Enav, l’accusa – che procede per accesso abusivo a sistema informatico, danneggiamento di dati, detenzione e diffusione abusiva di dati d’accesso – sembra adombrare il sospetto che in realtà il malware Eyepyramid sia riconducibile a lui, che dunque avrebbe incastrato i fratelli Occhionero perseguendo un piano criminoso degno di un super cattivo nato dalla penna di Ian Fleming.
Un precedente pericoloso
Per quale motivo questo processo possa rappresentare un precedente pericoloso è presto detto. Nell’anno in cui tanto il rapporto CLUSIT 2023, quanto la relazione annuale sulla politica dell’informazione per la Sicurezza della Repubblica (sempre del 2023) avvertono dei rischi della “guerra cyber” che non conosce confini e che investe l’Italia in modo particolarmente aggressivo, il meccanismo che sta schiacciando l’esperto di sicurezza informatica Ramondino appare quanto mai preoccupante. Davvero è possibile prestare la propria competenza per servire le istituzioni con il rischio poi di ritrovarsi ad affrontare anni e anni di processi, con un significativo esborso economico? A quanto pare si, perché è esattamente quello che sta accadendo a Perugia nel silenzio assordante della categoria di settore e dei media.
Se infatti la vicenda che aveva visto protagonisti i fratelli Occhionero aveva stuzzicato l’interesse dei principali organi di informazione, non altrettanto è accaduto con il filone perugino che di quella vicenda è diretta conseguenza e che in quella vicenda si interseca.
La consulenza dell’accusa
Ma come finisce nei guai Ramondino? L’episodio è piuttosto curioso. Sebbene nella sua denuncia Giulio Occhionero riservi anche a lui molto spazio, la procura di Perugia iscrive inizialmente sul registro degli indagati solamente il pm di Roma Eugenio Albamonte e alcuni agenti del Cnaipic, tra cui Ivano Gabrielli, attualmente direttore della Polizia Postale.
Ramondino, che fino a quel momento ha prestato la sua consulenza tecnica per importanti settori strategici e per aziende come Eni ed Enav, viene convocato come testimone a Perugia solamente un anno dopo e in quella occasione porta la documentazione e gli appunti frutto del lavoro svolto su indicazione della Procura di Roma e del Cnaipic. Quello che accade a questo punto è davvero singolare: tutto il materiale gli viene sequestrato.
Da questo momento in poi inizia un vero e proprio calvario, che culmina con l’apertura di un fascicolo nei suoi confronti. A spingere in questa direzione una perizia tecnica disposta dall’accusa e affidata al consulente Giovanni Nazzaro, esperto nell’ambito delle intercettazioni telefoniche, meno in quello della sicurezza informatica. E che sia meno esperto in questo secondo campo risulta evidente dalle ultime udienze del processo.
Nel controesame della difesa di Ramondino, che ha cercato di evidenziare le presunte incoerenze riscontrabili nel report della sua consulenza, Nazzaro si è più volte trovato in difficoltà a rendere conto del lavoro svolto e, in particolare nel corso dell’udienza del 28 febbraio, si è lasciato sfuggire un dettaglio di non poco conto: secondo la difesa, nel suo report – al netto di una lunga serie di elementi contestabili – Nazzaro si sarebbe spinto in campi che non erano di sua competenza, travalicando il limite del suo ruolo. Alla domanda dell’avvocato Mario Bernardo, legale di Federico Ramondino, sul perché si fosse addentrato su terreni diversi da quelli consentiti nell’ambito della consulenza, Giovanni Nazzaro ha risposto che l’input gli sarebbe arrivato dalla pm Miliani. Peccato che di questo non vi sia traccia documentale. E se ciò davvero fosse avvenuto si tratterebbe di un aspetto da chiarire.
Un’indagine svolta da incompetenti
Se le ragioni per cui Ramondino si trova oggi costretto a dimostrare di aver solamente svolto quanto richiestogli dalla giustizia prestano il fianco a non pochi dubbi, davvero curioso appare il motivo per cui Albamonte e Gabrielli, insieme a un altro agente del Cnaipic, sono stati prosciolti dalle accuse. Riportiamo a titolo esemplificativo un brano tratto dalla sentenza di non luogo a procedere perché il fatto non sussiste, datata – come già ricordato – 17 gennaio 2020:
“[…] è evidente che la mera lettura degli atti depositati dalla p.g. [polizia giudiziaria, ndr] non consentisse agevolmente ad un soggetto privo di specifiche cognizioni informatiche di cogliere il tipo di operazioni che il Ramondino avesse compiuto per acquisire le informazioni sulle modalità di funzionamento del malware. E che fosse necessaria una “traduzione” dei fatti in un linguaggio comprensibile a chi non ha competenze specifiche è testimoniato dal fatto che l’iscrizione di Ramondino nel registro degli indagati presso la Procura della Repubblica di Perugia interviene non a seguito dell’esposto dell’Occhionero nel giugno 2017, ma solo sulla base degli esiti della c.t. [consulenza tecnica, ndr] redatta dall’esperto informatico, ing. Nazzaro, nel febbraio 2018″.
Traduciamo: Eugenio Albamonte, magistrato considerato come uno tra i più competenti in tema di sicurezza informatica, e gli uomini del Cnaipic, la sezione di polizia postale deputata a proteggere le nostre infrastrutture critiche, nel momento in cui ricevono la relazione di Ramondino dalla polizia giudiziaria – secondo la Procura di Perugia e, nello specifico, del Gup Valerio d’Andria – non ci capiscono un bel niente. Naturale considerarli innocenti: a quanto pare leggendo questa sentenza, erano totalmente inconsapevoli del lavoro svolto da Ramondino. Un lavoro talmente complicato che necessitava una “traduzione” da parte del consulente della procura perugina, che per fortuna inchioda alle sue presunte responsabilità il presunto vero artefice di una vicenda tanto complessa quanto incredibile.
Consulenze pericolose
Ci sia concessa a questo punto una considerazione. Se diamo per buono quanto riportato nella sentenza citata, in seno alle istituzioni, in materia di sicurezza informatica, vi sono dei cialtroni. Nemmeno la polizia postale sarebbe in grado di comprendere il lavoro di un consulente. Questo aspetto, unito allo scenario poco meno che catastrofico dipinto dagli analisti della nostra intelligence e del Clusit, impone dunque la ricerca di esperti dal mondo della società civile che siano in grado di tappare i buchi: tecnici e consulenti in grado di scendere in trincea a difesa del sistema Paese. Perché ricordiamolo: la cyber sicurezza ha molto a che fare con il corretto funzionamento del mondo in cui viviamo. Un mondo ormai quasi completamente digitalizzato.
Ma se questa storia di cui – suo malgrado – è protagonista Federico Ramondino, che appunto in quella trincea è sceso con la certezza di servire il Paese, ritrovandosi poi al banco degli imputati, cominciasse davvero a circolare tra gli addetti ai lavori, sui canali della comunità hacker, espandendosi verso confini più ampi, chi mai avrebbe il coraggio di servire ancora le istituzioni con il rischio poi di vedersi voltare le spalle?
