La recente emersione di un’ampia inchiesta della Procura di Milano che coinvolgerebbe ex operatori delle forze di sicurezza, imprese attive nel campo dell’elaborazione dati, boiardi dell’amministrazione pubblica e altri professionisti ha riacceso un ampio dibattito sulla tutela delle banche dati pubbliche e, al contempo, sulle conseguenze di casi del genere sulla sicurezza collettiva.
Partiamo da un presupposto: in questa sede non commenteremo notizie giudiziarie ancora in divenire e ricordiamo che le figure citate nelle inchieste sono innocenti fino a prova contraria. Ma nulla vieta di discutere attivamente delle implicazioni politiche, strategiche e securitarie che questi fatti potrebbero far emergere, qualora fossero confermati.
Del resto di fronte all’ampiezza delle banche dati violate non si può restare indifferenti. Il Sole 24 Ore le ha riassunte: “lo Sdi, il sistema presso il ministero dell’Interno dove afferiscono tutte le notizie relative all’attività delle forze di polizia (gli accessi del gruppo sarebbero stati 350mila), la banca dati dell’Inps, Serpico (Sistema informatico dell’Agenzia delle Entrate), Anpr (Anagrafe nazionale della popolazione residente), Siva (Sistema informativo valutario)”. Parliamo dell’architrave delle informazioni economiche, giudiziarie e sensibili a disposizione dei pubblici poteri. E questo pone interrogativi.
In primo luogo, in che misura, bisogna chiedersi, questi danni sono stati tamponati e contenuti in sede di analisi investigativa e quante fughe di notizie sono state tracciate al di là di quelle che sono state rese note? La portata della fuoriuscita di dati è ancora incerta e a ciò bisogna aggiungere una riflessione: i casi di furti di notizie che hanno dominato le cronache negli ultimi mesi e che hanno diviso l’opinione pubbliche rispondono a regie comuni o a una comune consapevolezza della fragilità degli apparati tecnici pubblici?
Bisogna poi chiedersi, secondo tema fondamentale, quanto profondamente eventuali dossieraggi abbiano un perno non solo in ambiti interni ma anche nel contesto internazionale: queste informazioni trafugate hanno alimentato potenziali cambi nei rapporti di forza tra gli apparati dello Stato e le loro controparti estere? Ci sono notizie sensibili sull’élite economica, politica, mediatica e securitaria italiana che sono ora in mano a attori potenzialmente ostili?
Il terzo punto da sottolineare è quello del possibile ruolo di funzionari infedeli dello Stato, paventato dalla presidente del Consiglio Giorgia Meloni commentando il fatto. I server dello Stato sono stati costruiti senza tenere in considerazione il rischio che i loro amministratori aggirassero le misure di sicurezza? Tale domanda è lecita, come ha ricordato il Ceo di Clio Security, Michael Clemente. Per il quale “queste eventualità devono essere prese in considerazione nello sviluppo di sistemi di sicurezza multilivello, a prova di sabotaggi dei loro gestori”. Per Clemente “se fosse vero che alcuni soggetti hanno fatto estrazioni per anni, vuol dire che in molti server niente e nessuno controllava il cattivo uso di masse di terabyte di dati. Non c’è alcun tipo di giustificazione alla sottovalutazione di una fuoriuscita tanto massiccia di dati”.
Infine, last but not least, va individuata la conseguenza sugli scenari operativi che riguardano il cuore degli apparati di sicurezza, ovvero i servizi segreti e l’Agenzia per la cybersicurezza nazionale. Le banche dati dei servizi segreti sono state intaccate? Il passaggio tramite le strutture della Finanza e del Viminale ha condizionato il flusso di informazioni a Dis, Aisi e Aise? E, soprattutto, come stanno reagendo ai presunti hackeraggi i nostri servizi? Domande che di per sé riassume tutte le altre: capire come si mitigheranno, preverranno o conterranno futuri casi di questo tipo è pertinenza di chi tutela la sicurezza collettiva. E bisogna capire come la sicurezza non sia solo questione di gestione di informazioni e fonti, ma anche, se non soprattutto, un fattore umano. Serve una cultura della sicurezza reale e un personale efficacemente addestrato a trasmetterla, prevenendo abusi di ogni tipo. E evitando a ogni possibile tentativo di guastare il sistema dall’interno di prendere piede.
