Da dove vengono questi dati rubati allo Stato
Le indagini hanno ricostruito il sistema pervasivo che avrebbe violato delicati archivi e banche dati di ministeri e forze dell'ordine
I magistrati della direzione distrettuale antimafia di Milano impegnati nelle indagini sugli accessi illegali ad alcuni tra i più importanti archivi dello Stato hanno detto che un sistema così pervasivo rappresentava «un pericolo per la democrazia del paese». Può sembrare un’affermazione retorica, utilizzata per ottenere più attenzione dai media, in realtà le banche dati coinvolte nell’inchiesta sono effettivamente molto delicate perché custodiscono informazioni riservate e dettagliate su chiunque: dati personali, giudiziari, previdenziali, fiscali.
Secondo quanto ricostruito dall’inchiesta, queste informazioni venivano raccolte illegalmente per essere vendute o utilizzate per influenzare decisioni politiche e aziendali. Quattro persone sono state messe agli arresti domiciliari e oltre 60 sono indagate: alcune sarebbero coinvolte direttamente nello spionaggio, altre avrebbero commissionato i servizi di spionaggio a Equalize, la principale azienda coinvolta nell’inchiesta.
Anche se molti aspetti non sono ancora chiari, il caso è rilevante perché le indagini stanno dimostrando quanto siano vulnerabili e insicuri i sistemi di protezione di questi database, e in definitiva quanto lo stesso Stato sia vulnerabile e insicuro di fronte alle minacce informatiche. Secondo il pubblico ministero Francesco De Tommasi, con la circolazione indiscriminata di queste notizie e informazioni sensibili e riservate, o segrete, gli indagati sarebbero stati in grado di «tenere in pugno» cittadini e istituzioni.
– Leggi anche: Chi sono i protagonisti dell’inchiesta sul grosso caso di dati rubati
Il principale archivio che sarebbe stato violato è lo SDI, acronimo di Sistema Di Indagine informatico, una banca dati creata nel 1981 dove vengono archiviate tutte le informazioni utili per la sicurezza e l’ordine pubblico rilevate da tutte le forze dell’ordine: arresti, denunce, documenti, passaporti, armi possedute, soprannomi, indirizzi di casa e lavoro, risultati di perquisizioni o controlli. Gli operatori che si collegano allo SDI possono consultare automaticamente anche altre banche dati come quelle della motorizzazione, dell’ACI, degli uffici anagrafe.
L’accesso allo SDI è regolato da norme rigide, o almeno dovrebbe esserlo: poliziotti e carabinieri possono entrare nella banca dati solo con una password personale motivando la richiesta, per esempio scrivendo di aver fermato una persona a un posto di blocco o di essere impegnati in indagini, nella ricerca di persone, auto o merce rubata. Le motivazioni vengono archiviate in caso di contestazioni. Chi accede illecitamente a questo archivio rischia una condanna per il reato di rivelazione del segreto istruttorio o per accesso abusivo a un sistema informatico.
Nell’ordinanza di custodia cautelare si legge che in totale sarebbero stati fatti 52.811 accessi abusivi allo SDI oltre a 108.805 accessi ad atti giudiziari e amministrativi. Tra questi anche un documento riservato dell’AISI, l’Agenzia informazioni e sicurezza interna, cioè i servizi segreti. L’accesso allo SDI sarebbe stato possibile in parte grazie alla complicità di alcuni operatori delle forze dell’ordine e in parte grazie a un attacco informatico.
Tra gli indagati ci sono un maresciallo della Guardia di Finanza in servizio alla direzione investigativa antimafia di Lecce, un sovrintendente della Polizia di Stato in servizio al commissariato di Rho-Pero, in provincia di Milano, un ispettore della polizia di frontiera all’aeroporto di Orio al Serio, in provincia di Bergamo, e un sottufficiale dei Carabinieri in servizio al nucleo investigativo di Milano. Secondo l’accusa, queste persone appartenenti alle forze dell’ordine accedevano allo SDI per conto di Equalize.
Gli investigatori dicono di aver trovato anche le prove di un attacco informatico organizzato con un RAT, da remote access trojan, un software che rende controllabile a distanza un computer all’insaputa del suo proprietario. Il RAT permette di prendere possesso di tutto il sistema, compresi il mouse e la tastiera, e di accedere a tutti i documenti. Secondo la procura, i tecnici di Equalize erano riusciti a infiltrare un RAT in uno dei computer della rete del ministero dell’Interno per accedere alle banche dati. Il RAT veniva di volta in volta adattato per aggirare gli interventi di manutenzione e sicurezza. Uno degli indagati, Nunzio Samuele Calamucci, avrebbe anche fatto intendere di essere riuscito a intercettare una mail della casella di posta del presidente della Repubblica Sergio Mattarella.
Oltre allo SDI, Equalize aveva accesso a molte altre importanti banche dati. Tra queste anche quella che contiene le cosiddette SOS, le “segnalazioni di operazioni sospette” processate da Banca d’Italia e da questa trasmesse alle forze di polizia e, tra gli altri, al procuratore nazionale antimafia e antiterrorismo, cioè il magistrato che coordina le indagini di tutt’Italia sui reati connessi alla criminalità organizzata. Le SOS erano già state oggetto di un’altra inchiesta su presunti accessi abusivi alle banche dati della procura nazionale antimafia.
A regolare il funzionamento del sistema delle SOS è un decreto legislativo del 2007, poi aggiornato più volte in anni recenti. È un sistema che impone a banche, intermediari finanziari e immobiliari, agenti di cambio, poste, società di gestione del risparmio e tutta un’altra serie di cosiddetti “soggetti obbligati” di segnalare a Banca d’Italia gli scambi di denaro su cui hanno il sospetto che siano collegati ad operazioni di riciclaggio o di finanziamento del terrorismo, o che derivino da attività criminali.
La segnalazione va inoltrata per via telematica, prima di autorizzare l’operazione e senza informare la persona o la società che sta cercando di farla. Il funzionario addetto a queste procedure ha un profilo specifico sul portale di Infostat di Banca d’Italia, a cui accede inserendo le sue credenziali. La segnalazione viene poi ricevuta dall’Unità di informazione finanziaria (UIF), un ufficio creato dallo stesso decreto del 2007 all’interno di Banca d’Italia. Quando riceve una SOS, la UIF fa le sue verifiche, eventualmente chiedendo maggiori informazioni al soggetto segnalatore. Tutte queste verifiche e questi scambi di informazioni avvengono per lo più tramite un portale chiamato SAFE, inaugurato nel 2017, oltre che su altri sistemi informatici più vecchi, come il RADAR (Raccolta e analisi dati per l’antiriciclaggio), elaborato nel 2011 proprio per condividere meglio le analisi con i soggetti obbligati e garantire l’anonimato dei funzionari che seguono queste procedure.
C’è poi Serpico, la banca dati dell’Agenzia delle Entrate dove vengono archiviate, tra l’altro, le dichiarazioni dei redditi e altre informazioni riservate dei contribuenti. A queste si aggiungono il SIVA (Sistema informativo valutario), un sistema utilizzato dalla Guardia di Finanza sempre per la segnalazione di operazioni finanziarie sospette; l’ANPR, l’Anagrafe nazionale della popolazione residente, la banca dati del ministero dell’Interno con tutte le informazioni anagrafiche raccolte dai comuni; la banca dati dell’INPS, dove vengono custoditi tutti i dati previdenziali delle persone.