Quello che doveva essere un processo eclatante, una sonora lezione ad un procuratore romano e a illustri esponenti delle nostre forze di polizia, si è trasformato in una farsa, una sorta di gioco della pignatta dove però la pignatta è una persona, un consulente informatico che ha collaborato con lo Stato per salvaguardare le nostre infrastrutture critiche e che adesso deve pararsi dai colpi di una giustizia che lo vuole marchiare a fuoco come criminale informatico.
Di quello che sta succedendo a Perugia nel processo a carico di Federico Ramondino, esperto di sicurezza informatica, vi abbiamo raccontato in diversi articoli (si veda “Cyber-spionaggio: quando collaborare con lo stato è pericoloso“), ma ad ogni udienza non mancano i colpi di scena, pezzi di puzzle che evocano sempre la stessa domanda, ripetitiva quanto estenuante, perché le accuse a suo carico non sono cadute?
La rete
Nel 2017, le indagini del Cnaipic (il Centro anticrimine informatico per la protezione delle infrastrutture critiche), reparto della Polizia Postale, allora guidata da Roberto Di Legami, portarono alla scoperta della più grande operazione ad oggi nota in Italia di cyber spionaggio. L’operazione condusse all’arresto dei fratelli Giulio e Francesca Maria Occhionero per aver esfiltrato dati sensibili attraverso l’ormai famigerato malware Eyepyramid, un nome, una garanzia.
In circa dieci anni il malware aveva infettato una fitta rete di computer riuscendo ad esfiltrare dati preziosi di cui, ancora oggi, non conosciamo precisamente il contenuto. A finire nella rete da pesca vi erano target del sistema paese – imprenditori e avvocati, prelati e docenti universitari – ma soprattutto impiegati della pubblica amministrazione e di infrastrutture critiche come Eni e Enav, il Porto di Taranto, Allianz Bank e Finmeccanica.
Obiettivo Caos
La risposta non si fece attendere e Giulio Occhionero, che oggi si trova ad Abu Dhabi in attesa del processo d’Appello, sporse denuncia presso la procura di Perugia accusando il pm Eugenio Albamonte e i vertici del Cnaipic. Nel calderone finì anche l’ultimo ingranaggio della macchina, il consulente informatico che collaborò con le autorità affinché la parola sicurezza non fosse solo retorica da spendere nelle sedi opportune, ma una concreta reazione ad un attacco informatico al cuore digitale del paese.
Della denuncia se ne fece carico la Procura di Perugia, allora guidata dal procuratore capo Luigi De Ficchy il quale affidò le indagini alla pm Gemma Miliani. Bastò un’udienza preliminare per far uscire di scena i vertici del Cnaipic e il Procuratore Albamonte; restò sul patibolo proprio quell’ingranaggio senza il quale i creatori del malware avrebbero continuato ad agire: Federico Ramondino, che aveva prestato la sua consulenza su mandato diretto della Procura di Roma e del Cnaipic.
Le nuove testimonianze e i colpi di scena
Dall’inizio del processo, circa sei anni fa, la vita di Ramondino è stata gravata dal peso delle accuse che gli sono state rivolte – tra cui accesso abusivo a sistema informatico, danneggiamento di dati, detenzione e diffusione abusiva di dati d’accesso – nonostante tutte le testimonianze in suo favore. All’ombra di Ramondino una sottaciuta e serpeggiante teoria che lo vuole, nonostante l’evidenza tecnica vada in tutt’altra direzione, padre del malware e autore di un intricato quanto improbabile piano per colpire proprio i fratelli Occhionero, al 2016 dei perfetti sconosciuti.
Nell’udienza del 3 aprile 2024 abbiamo per la prima volta potuto intravedere uno spiraglio di luce quando sul banco dei testimoni è salito nientemeno che Eugenio Albamonte, il quale, rispondendo alle domande dell’avvocato difensore di Ramondino, ha ribadito che quest’ultimo fu nominato ausiliario di Polizia Giudiziaria per scelta condivisa tra lui e la Polizia Postale e che lui, in quanto titolare delle indagini, era perfettamente a conoscenza del fatto che già in passato Ramondino si fosse occupato del malware Eyepyramid, incrociato nel corso di una precedente consulenza per Eni. Una precisazione importante, dal momento che tanto l’accusa, quanto gli avvocati di parte civile (ovvero i difensori di Giulio e Francesca Maria Occhionero), in più occasioni hanno evidenziato questo dettaglio quasi fosse un indizio importante per la malafede del consulente.
Parlando di spiragli di luce, non meno importanti sono state le altre testimonianze, che hanno contribuito a dissolvere quell’ombra di sospetto che ha avvolto per molto tempo l’operato di Ramondino e a demolire ancora di più – se mai fosse servito – l’impianto della consulenza tecnica dell’accusa redatta dall’ingegnere Giovanni Nazzaro, oggetto nelle scorse udienze di un serrato contro-esame da parte della difesa che ha messo in evidenza le numerose criticità presenti all’interno della consulenza che, a tutti gli effetti, ha avuto il “merito” di mettere nei guai Ramondino.
Una consulenza fatta su una materia estremamente tecnica – come quella della sicurezza informatica – svolta, curiosamente, da un esperto in intercettazioni telefoniche. Tra gli elementi cardine di questa consulenza, le tempistiche con cui Federico Ramondino, a capo di un team di altri esperti di sicurezza informatica, è riuscito ad analizzare per conto di Enav il malware Eyepyramid.
Secondo la tesi di Giovanni Nazzaro, sposata dall’accusa e portata avanti come un vero cavallo di battaglia, i venti giorni impiegati per consegnare a Enav il report che darà l’avvio alla vicenda che travolgerà i fratelli Occhionero sono troppo pochi per analizzare un malware come Eyepyramid. E se lo dice un esperto di intercettazioni telefoniche c’è da crederci. Oppure no?
Stando alla preziosa testimonianza di Giancarlo Tonello, ingegnere informatico e amministratore delegato di TG Soft, società che produce antivirus, sembrerebbe proprio di no. Di fronte alla giudice Sonia Grassi, Tonello ha infatti affermato di aver impiegato 4 giorni per “smontare” e analizzare il malware (venuto alla ribalta l’11 gennaio 2017 dopo l’arresto degli Occhionero). Ma non finisce qui: Tonello ha aggiunto che gli esperti della società di sicurezza informatica Kaspersky erano in grado di fornire accurate informazioni sulla natura di Eyepyramid già dopo due giorni dall’arresto di Giulio e Francesca Occhionero.
La strategia dell’accusa
Insomma, non certo un dettaglio di poco conto. Quali saranno ora gli argomenti dell’accusa? Una sorta di indizio è stato lasciato sempre nel corso di questa animata udienza. Nonostante dopo la testimonianza di Albamonte e di Tonello si siano susseguiti altri cinque testimoni, tutti di altissimo spessore tecnico, le questioni poste dalla pm non hanno riguardato argomenti tecnici che potevano essere meglio chiariti, soprattutto dopo il vuoto lasciato dall’analisi della consulenza dell’Ing. Nazzaro, bensì argomentazioni che si prestano a chiavi di lettura trasversali e probabilmente funzionali a un cambio di strategia in corsa.
Tanto la pm quanto l’avvocato di parte civile hanno infatti insistito molto su un punto: agli impiegati (o ex) di Enav presenti in aula è stato chiesto per quale motivo sia stato scelto proprio Federico Ramondino per svolgere l’analisi sul malware che aveva tentato di attaccare i sistemi di una delle infrastrutture critiche del nostro Paese. Non è bastata la loro risposta nel dire che, in quanto impiegati, la domanda andrebbe posta ai loro superiori di allora, così come non è bastato dire che Ramondino era un tecnico conosciuto in quanto all’epoca docente della S2E, società che aveva fatto, per Enav, formazione nell’ambito della cybersicurezza.
Una strategia – quella dell’accusa – ben riuscita. Sebbene questa argomentazione conduca a un vicolo cieco, questo piccolo dubbio si è insinuato nelle pieghe della retorica, restando latente in attesa della sua detonazione. Proprio come un malware.
La pignatta
Quando il tecnicismo viene meno, quanto la parola sicurezza si trasforma in un’arma a doppio taglio, nonostante la “guerra cyber” sia sulla bocca di tutti e stia investendo l’Italia in modo aggressivo, non resta che colpire duro la pignatta, l’uomo, il presunto favorito (non si capisce bene da chi) dietro le quinte. Tutto pur di non mollare la presa. E in un mondo completamente digitalizzato questo è un precedente pericoloso, perché chi – come Federico Ramondino – sceglie di scendere in campo con la certezza di servire il Paese non sembra avere le garanzie minime per evitare di essere poi preso a legnate.
