Caso dossieraggio: quando una mancata sicurezza ha conseguenze nazionali

Legal Tech Italy

Un fatto di cronaca ha sconvolto l’opinione pubblica nei mesi scorsi: il cosiddetto caso dossieraggio. Un episodio che dalla cronaca giudiziaria è arrivato a produrre dibattiti e riflessioni sulla sicurezza informatica del nostro Paese, perché ha sollevato molti dubbi sia da parte di esperti del settore che di comuni cittadini.  

L’evento è stato protagonista sulle pagine dei giornali per diverso tempo e ha creato uno scandalo che ha indignato tutte le parti politiche e non solo. Oltre ad essere stato mediaticamente rilevante per la grande mole di dati in discussione e di personaggi politici coinvolti, il cosiddetto caso dossieraggio è stata una faccenda che ha posto delle evidenze concrete ad un tema di preminente importanza di questi tempi. 
Da ciò che emerge dalle inchieste delle procure, si delinea un quadro piuttosto preoccupante sullo stato di sicurezza informatica delle nostre istituzioni. Non si tratta infatti del primo caso di cronaca che vede implicato un ente o un’istituzione italiana presa di mira da attacchi hacker. Negli ultimi anni se ne sono registrati molti – non tutti arrivano alle prime pagine – e probabilmente se ne verificheranno altrettanti nei prossimi. Il caso dossieraggio ha però sicuramente una portata maggiore, sia per il numero di persone coinvolte, sia per la quantità di accessi illegali indisturbati e dati raccolti o, meglio, rubati.  

Analizzando i fatti, la prima domanda che viene da porsi è: come è stato possibile? Gli interrogativi che scaturiscono da questa vicenda sono leciti e ci mostrano in modo tangibile quanto sia importante proteggere i dati affidati alle pubbliche amministrazioni. Altrettanto lecite sono le perplessità su quanto enti e pubbliche amministrazioni sappiano realmente proteggere i dati in loro possesso. Con ogni probabilità, l’esito di questa inchiesta, o di altre che verranno, non ci darà una risposta univoca, ma l’insegnamento che possiamo trarre da vicende del genere è una presa di coscienza personale e collettiva per eradicare, laddove possibile, le cause che hanno portato al caso dossieraggio ed evitare repliche in futuro.  

Analizzando i fatti, la prima domanda che viene da porsi è: come è stato possibile? Gli interrogativi che scaturiscono da questa vicenda sono leciti e ci mostrano in modo tangibile quanto sia importante proteggere i dati affidati alle pubbliche amministrazioni. Altrettanto lecite sono le perplessità su quanto enti e pubbliche amministrazioni sappiano realmente proteggere i dati in loro possesso. Con ogni probabilità, l’esito di questa inchiesta, o di altre che verranno, non ci darà una risposta univoca, ma l’insegnamento che possiamo trarre da vicende del genere è una presa di coscienza personale e collettiva per eradicare, laddove possibile, le cause che hanno portato al caso dossieraggio ed evitare repliche in futuro.  

I fatti di cronaca 

Partiamo dal fatto: cosa è successo e cosa significa dossieraggio? Nell’ultimo anno il termine caso dossieraggio è stato utilizzato per indicare due diversi fatti di cronaca. Il primo vede coinvolto il ministro della Difesa Crosetto: a marzo 2024, la Procura di Perugia avvia un’inchiesta, in seguito ad un esposto alla procura di Roma del ministro, dopo che un articolo uscito su Domani nell’ottobre del 2022 aveva riportato una notizia relativa ai compensi che questo aveva ricevuto dalla società Leonardo. Nel corso delle indagini, i magistrati hanno scoperto svariate ricerche abusive negli archivi informatici di politici, calciatori e vip da parte di Pasquale Striano, ex capo della squadra Sos (Segnalazione operazioni sospette), in servizio alla Procura Nazionale Antimafia. Queste ricerche sarebbero servite per fornire informazioni a terzi, tra cui anche alcuni giornalisti. Per quanto riguarda questa inchiesta, il termine dossieraggio è stato utilizzato solo a livello mediatico e non negli atti ufficiali degli inquirenti. Il termine designa un’attività illecita di raccolta di informazioni riservate su personaggi noti ai fini di ricatto o “semplice” screditamento. Il modo in cui vengono raccolte tali informazioni costituisce un reato, perché reperite da siti istituzionali in cui non è possibile accedere per propri fini, atto punibile con la reclusione fino a 3 anni. Nel caso in cui a commettere tale reato è un pubblico ufficiale, la pena sale a 10 anni con l’accusa di abuso di potere e violazione dei doveri. 

Si è tornati a parlare di dossieraggio anche questo autunno per un caso che presenta molte intersezioni con il primo. La Direzione distrettuale antimafia della Procura di Milano ha indagato su una rete di persone che ha effettuato centinaia accessi illeciti presso varie banche dati. Tra queste ci sono la SdI (il sistema di indagine informatico a cui possono accedere solo le forze dell’ordine della polizia giudiziaria), il Sistema di Interscambio dell’Agenzia delle Entrate, il sistema Serpico, Inps, Anagrafe nazionale e il portale di informazione Siva, per scoprire i compensi e i beni immobiliari dei personaggi ricercati nel quinquennio 2019-2023. 

Nel caso sono stati coinvolti molti politici, ministri ed ex ministri che sono stati oggetto delle ricerche, così come alcuni coniugi, parenti e personalità vicine agli stessi. Oltre ai politici, anche manager, imprenditori, dirigenti statali e addirittura calciatori. Il gruppo di cyber spie, guidato dall’ex poliziotto Carmine Gallo e Enrico Pazzali – fondatore di Equalize, una società investigativa perno del caso dossieraggio – comprende oltre 50 persone e ha raccolto oltre 800mila dati rubati. Le accuse a loro carico sono di accesso abusivo a banche dati, falso e abuso d’ufficio e rivelazione di segreti d’ufficio. Diversi indagati sarebbero accusati di aver violato sistemi informatici per ottenere informazioni riservate. Inoltre, vi sarebbe l’aggravante dell’associazione a delinquere finalizzata: l’associazione di cyber spie godrebbe di appoggi di alto livello, tra cui quello della criminalità organizzata e dei servizi segreti stranieri.  

Il caso ha scatenato una bufera mediatica e creato una certa agitazione a livello politico: sia dall’esecutivo – in prima persona dalla premier Giorgia Meloni – che dall’opposizione si chiede chiarezza e giustizia per questo scandalo di estrema gravità. Dietro il gruppo di persone indagate, secondo molti ci sarebbe una regia che ha manovrato tutto ciò e ha ostacolato i controlli permettendo gli accessi. Stando ai PM, questa rete avrebbe una struttura a grappolo, i cui singoli sono legati a cariche della pubblica amministrazione e alle forze dell’ordine. 

Il furto di dati e l’attività di dossieraggio

Il gruppo raccoglieva illecitamente dati sensibili attraverso l’accesso non autorizzato a banche dati e archivi digitali. Questo è stato possibile sfruttando sistemi di controllo deboli o non protetti in modo adeguato. I dati rubati poi diventavano merce che veniva venduta, in una sorta di mercato nero, a chiunque ne facesse richiesta, per ragioni dal ricatto alla manipolazione. 

Esperti informatici, ex poliziotti e imprenditori avrebbero realizzato centinaia di dossier illeciti contenenti informazioni di ogni genere su svariate personalità politiche per rivendere queste informazioni e ricattarli. Un mercato illegale di informazioni e dati personali, una rete criminale di cyber spie che avrebbe anche rapporti con la criminalità organizzata e mimetizzato i dati raccolti per farli apparire legali, non solo a scopo di lucro ma soprattutto per scopi di ricatto ed estorsione. 

Esperti informatici, ex poliziotti e imprenditori avrebbero realizzato centinaia di dossier illeciti contenenti informazioni di ogni genere su svariate personalità politiche per rivendere queste informazioni e ricattarli. Un mercato illegale di informazioni e dati personali, una rete criminale di cyber spie che avrebbe anche rapporti con la criminalità organizzata e mimetizzato i dati raccolti per farli apparire legali, non solo a scopo di lucro ma soprattutto per scopi di ricatto ed estorsione. 

I dubbi sulla privacy 

Il caso ha sollevato preoccupazioni sulla privacy, sulla sicurezza dei dati e sulla trasparenza delle istituzioni. In una formulazione dei magistrati si legge: “Associazione a delinquere finalizzata per finalità di profitto derivante dalla commercializzazione di informazioni illecitamente acquisite oppure a scopo estorsivo e/o ricattatorio per condizionare e influenzare all’occorrenza soprattutto i settori della politica e della imprenditoria o per danneggiare competitors”. Questa dichiarazione suscita non poche perplessità, a prescindere dalla gravità del fatto, su quanto siano sicuri i dati personali di politici e cittadini comuni negli archivi informatici della pubblica amministrazione. Il caso dossieraggio mostra l’estrema vulnerabilità del sistema informatico istituzionale italiano

L’assetto istituzionale ha cercato di adeguarsi alle esigenze con i nuovi organismi ed enti per la cyber sicurezza, l’anticorruzione e l’autorità di vigilanza. Anche la normativa ha dettato nuove regole, se pensiamo al decreto trasparenza del 2013 e la legge anticorruzione del 2012 nonché il recepimento del GDPR del 2018. Gli sforzi per un adeguamento ad un’amministrazione più trasparente, affinché ritrovi il dialogo con il cittadino e la sua fiducia, sono tanti e visibili, ma la strada è ancora lunga e forse qualcosa che non funziona nella gestione dei dati è da ricercare all’interno. Come emerge dalle inchieste, e dalle riflessioni di esperti, quello che manca nelle amministrazioni del nostro paese è una vera cultura della tutela del trattamento dei dati e della cyber sicurezza. 

Sorge spontaneo domandarsi come sia stato possibile che così tante banche dati istituzionali siano state violate e raccolte in maniera indisturbata così tante informazioni da farne dossier su dossier. La gravità starebbe nel fatto che nessuno se ne sia accorto o, peggio, abbia permesso tutto ciò. Per questo motivo, uno dei punti su cui si sono soffermati gli esperti del settore che hanno analizzato il caso, e che hanno anche collaborato con le pubbliche amministrazioni e le istituzioni, è stata la carenza di cultura sulla sicurezza informatica. Per quanti sistemi informatici vogliamo utilizzare, il fattore umano è ancora, purtroppo o per fortuna, determinante.

La cultura sulla cyber sicurezza in Italia

La vulnerabilità e l’estrema permeabilità dei sistemi istituzionali non rappresenta un problema solo per i personaggi politici e pubblici, ma è una minaccia per tutti i cittadini e per la loro privacy. Il caso dossieraggio ha permesso di mostrare le grandi falle che persistono nel sistema di sicurezza e di protezione dei dati in Italia. La forte inadeguatezza dei sistemi e dei processi di vigilanza, ancora troppo blandi e aggirabili, impongono una riflessione sia pratica che culturale. Nonostante le iniziative per la formazione e le raccomandazioni sulla sicurezza, nelle pubbliche amministrazioni c’è ancora chi non ritiene fondamentale la protezione dei dati personali. Sembra che archivi informatici porosi, uniti alla mancanza di rigorose prassi di vigilanza sugli accessi, abbiano permesso che questo gruppo di hacker accedesse indisturbato. Le inchieste di questi mesi, ancora in corso, hanno rivelato che molto spesso alcuni sistemi per introdursi illegalmente negli archivi sono stati installati alla vecchia maniera, ovvero corrompendo funzionari interni, dipendenti infedeli, che hanno permesso l’inserimento di malware e trojan senza fare troppo rumore e senza meccanismi troppo complessi. 

Una notizia che mina l’affidabilità delle istituzioni e di coloro che vi lavorano, nonostante gli sforzi che la pubblica amministrazione sta facendo per dimostrarsi sempre più vicina ai cittadini e ai loro bisogni. Il caso dossieraggio è solo uno dei tanti che sono emersi: molte fughe di dati e attacchi hacker non vengono nemmeno a galla. Questo è stato un fatto di cronaca che per mesi ha interessato molti personaggi pubblici e politici, ma non si tratta di un caso isolato. Purtroppo, gli attacchi degli ultimi anni dimostrano che l’Italia è uno dei paesi in cui si commettono più irruzioni nei sistemi istituzionali. Talvolta si temono incursioni da altri paesi, magari da parte di regimi autoritari o illiberali, ma la connivenza di alcuni funzionari dimostra che i pericoli sono spesso interni alle nostre democrazie. Molti dei sistemi istituzionali hackerati dispongono infatti di sistemi di monitoraggio e allerta contro gli abusi, lasciando pensare che sia molto più alta di quanto si pensi la componente corruttiva di tutto questo ingranaggio. La maggior parte degli accessi proveniva da personale autorizzato: forse questa è la cosa più preoccupante e grave di questa faccenda. Le macchine iper-performanti e iper-efficienti non bastano da sole, dobbiamo focalizzarci prima di tutto sulla formazione umana. Il capitale umano ancora non è pronto ad abbracciare in toto la cultura cyber, della privacy e dell’importanza dei dati. Versiamo ancora in una società in cui chiunque può essere corruttibile e per fini personali possono essere messe in crisi istituzioni e intere democrazie. Per spiegare il fenomeno c’è chi ipotizza che in Italia manchi completamente la cultura del lavoro e la fidelizzazione alla propria azienda, un senso di appartenenza e fedeltà alla realtà in cui si lavora. I motivi di questa mancata fidelizzazione potrebbero essere vari, ma resta il fatto che questa precarietà può mettere a repentaglio la sicurezza nazionale.  

CORSO ACCREDITATO SU LEGAL TECH ACADEMY

Data Protection

Il termine Data Protection identifica quella serie di operazioni volte a preservare la sicurezza delle informazioni di un’organizzazione e dei suoi membri. Il corso permette di acquisire competenze su come tutelarsi contro fenomeni lesivi come la compromissione, la perdita o la diffusione illecita di dati personali e come intervenire in caso di incidenti.

SCOPRI IL CORSO SU LEGAL TECH ACADEMY

Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.

SCRIVI PER NOI

Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.

SEGUICI