Il caso della Equalize sta riempiendo le prime pagine della stampa nazionale e si sta allargando a macchia d’olio. Sui social se ne parla in chiave molto tecnica rischiando, però, di trascurare aspetti importanti della questione.
La cultura del dato
È bene chiarire subito il problema: il caso Equalize riguarda l’informatica ma non è un problema solo informatico. Riguarda prevalentemente la capacità di gestire e proteggere le informazioni con correttezza (siano esse digitali o cartacee) e nell’ultimo periodo in Italia ci sono stati diversi casi che hanno evidenziato alcune difficoltà:
- Marzo 2024 – Il caso del Tenente della Guardia di Finanza Pasquale Striano per accessi abusivi nella banca dati della Direzione Nazionale Antimafia (per approfondire clicca qui).
- Settembre 2024 – Il caso del dipendente di Banca Intesa San Paolo che accedeva, liberamente, ai conti di vari clienti famosi senza alcun particolare controllo da parte dell’istituto bancario (per approfondire clicca qui).
- Settembre 2024 – Il caso di Carmelo Milano, 24 anni, che accedeva alle banche dati del Ministero di Giustizia, Procure e altri soggetti (per approfondire clicca qui).
- Ottobre 2024 – Il caso Equalize e dei furti di dati alle principali banche dati italiane (per approfondire clicca qui).
Tutti questi casi recenti denotano un problema comune: l’incapacità di attribuire al dato un corretto valore e, sulla base di quello, impostare corrette misure di sicurezza e di monitoraggio. Si sta parlando, nello specifico, di adottare misure di protezione interne ed esterne, proporzionali alla delicatezza delle informazioni contenute in banca dati. Molti lettori riconosceranno nel termine di proporzionalità una delle caratteristiche fondanti del nostro ordinamento di protezione dei dati personali.
Perché non è un problema informatico
È certamente importante notare che questi eventi hanno coinvolto banche dati differenti tra loro tra cui:
- SDI (Sistema Di Indagine): per il controllo dei precedenti penali, a cui accedono le forze dell’ordine per controllare i precedenti penali delle persone;
- INPS: dove sono custodite le informazioni su contributi e redditi;
- Serpico: un sistema informatico di raccolta ed elaborazione dei dati dell’Agenzia delle Entrate per incrociare possibili casi di evasione, e che custodisce le dichiarazioni dei redditi;
- ANPR: l’Anagrafe Nazionale della Popolazione Residente;
- SIVA: il Sistema Informativo Valutario della Guardia di Finanza per le segnalazioni di operazioni finanziarie sospette;
- SIDDA/SIDNA: nel quale confluiscono tutti i dati relativi alle “informazioni” inerenti le indagini preliminari ed i procedimenti pendenti o definiti presso le singole procure distrettuali (per approfondire cliccare qui).
Chi ipotizza un bug è in errore: non è un problema tecnico; la problematica è di altra natura e riguarda la consapevolezza nei processi di trattamento di queste informazioni. Consapevolezza che, come nel caso Striano, lascia molto a desiderare.
Un esempio: le misure di sicurezza nel caso Striano
Il 24 ottobre 2024 si è tenuta presso l’Aula del V piano di Palazzo San Macuto l’audizione del colonnello Antonio Sassi, capo Ufficio analisi del nucleo speciale di polizia valutaria della Guardia di finanza, e del colonnello Stefano Giovanni Salvatore Rebechesu, capo Ufficio operazioni del comando interregionale dell’Italia centrale della Guardia di finanza, in merito a quanto accaduto intorno al cosiddetto caso Striano. Per completezza si riporta il link al video dell’audizione, l’intervento di Scarpinato è all’inizio della parte 2 intorno al minuto 05:00.
Durante l’audizione il Senatore Scarpinato ha posto una serie di domande al Col. Sassi soprattutto in merito ai controlli interni operati a tutela delle informazioni. In particolare il Sen. Scarpinato ha chiesto delucidazioni in merito alla vigilanza delle interrogazioni che il personale della Guardia di finanza poteva operare su se stesso:
Non avete un alert che indichi l’anomalia di un accesso di questo genere, perché evidentemente c’è una falla […] se non si ritiene di inserire un alert per un’anomalia di questo genere, cioè un finanziere che fa delle interrogazioni su se stesso, c’è qualcosa che non funziona. C’è qualcosa che non funziona anche per il futuro.
La domanda di Scarpinato è molto intelligente ed è tesa a mostrare un possibile errore di progettazione di un sistema che indubbiamente ha livelli di sicurezza alti ma apparentemente solo per le potenziali minacce provenienti dall’esterno e non dall’interno. Scarpinato, ancora, avrebbe chiarito il concetto in un altro passaggio.
Scarpinato: lei mi sta dicendo, mi scusi, che attualmente un finanziere può fare interrogazioni su se stesso e nessuno se ne accorge?
Sassi: non solo un finanziere, qualsiasi appartenente alle forze di polizia o comunque abilitato a banche dati.
Scarpinato: è grave che ancora sia così.
Scarpinato pone l’accento su una misura progettuale, organizzativa, concettuale e non meramente tecnica: è grave che un finanziere possa fare interrogazioni su se stesso senza che vi siano evidenze oggettive.
Meno amicizie e più risultati
Dov’era l’ACN mentre questi dati venivano ripetutamente consultati illegittimamente?
Questa è la sostanziale domanda che in molti si stanno ponendo sui social e sulla carta stampata perché ci vuole tempo per creare dossier sugli oltre 800.000 spiati. Negli ultimi anni l’Italia ha creato agenzie, task force, tavoli tecnici, cabine di regia e strutture organizzative in numero così tanto elevato da generare talvolta una sovrapposizione operativa nella osservanza delle competenze. Niente di tutto questo, però, è garanzia di qualità anzi, talvolta diviene la causa stessa del problema. Prendiamo il caso ACN: il Senatore Matteo Renzi ha pubblicato un’intervista nella quale è riportato un passaggio importante in merito alle nomine.
Eppure l’Autorità delegata per la Sicurezza nazionale è il sottosegretario Mantovano, ex magistrato e politico navigato. Mentre all’Agenzia per la cybersicurezza c’è un prefetto come Bruno Frattasi. I curriculum di rilievo ci sono, quindi cosa non funziona?
«È evidente che non ci sono le capacità tecniche necessarie per gestire una materia vitale come la nostra sicurezza e la nostra privacy. Frattasi è un prefetto, di cosa parliamo?».
I problemi secondo Renzi sarebbero due: l’incapacità tecnica necessaria al coordinamento di un’infrastruttura come l’Agenzia di Cybersicurezza Nazionale e l’amichettismo, fenomeno per il quale la scelta dei vertici delle aziende viene operata prevalentemente su base amicale.
Quando l’amichettismo arriva a mettere a repentaglio i diritti costituzionali dei cittadini deve scattare un allarme.
Parlando dell’ACN, il Vicedirettore de “Il Post” Francesco Costa cita il giornalista Carmelo Caruso (l’articolo di Caruso è a pagina 1 e 4 de “Il Foglio” del 31/10/2024) durante la rassegna stampa “Morning”:
L’Agenzia per la Cyber Sicurezza è piena di parenti e amici, di persone con incarichi molto importanti: c’è la figlia del capo della procura di Roma, c’è l’ex Capo di Gabinetto della’Ministra Lamorgese, c’è la moglie dell’attuale Prefetto di Roma con distacco firmato dal prefetto di Roma, c’è il cognato di una importante parlamentare.
La risposta che l’Italia offre da anni è basata su nomine dai curriculum apparentemente perfetti ma dai risultati discutibili con una forte penalizzazione dei diritti dei cittadini che talvolta sfociano persino nella compressione. Questa modalità di approccio è il motivo, tra l’altro, per cui una fascia di età (quella dei più giovani), è molto sfiduciata sul futuro professionale delle proprie carriere. L’Italia fondamentalmente sembra non aver capito che questo contesto operativo (quello del digitale) è molto più complesso e delicato di qualsiasi accordo amicale si possa raggiungere. Pertanto è fondamentale che a capo di tali agenzie siano presenti persone con una piena consapevolezza dei ruoli e delle responsabilità decisionali ma, soprattutto, con competenze proporzionate a tali ruoli.
Ciò che viene presentato all’interno dei convegni, delle tavole rotonde, dei webinar, è molto diverso da ciò che accade “nel mondo reale”. C’è la necessità di una conoscenza tecnica avanzata e comprovata, c’è bisogno che il decisore abbia l’esperienza ma anche la giusta conoscenza e questo, in fondo, vale per ogni settore professionale. Nessuno salirebbe su un aereo di linea se il comandante fosse esperto solo di piccoli aerei a motore: ogni contesto ha bisogno di competenze ma questo Paese continua a vedere tali posizioni apicali come “uno spazio per piazzare un amico” e quando gli spazi finiscono basta creare una nuova struttura tecnico-organizzativa.
I risultati non si fanno attendere e le vicende che in questi giorni affollano i giornali ne sono la piena dimostrazione. Ora che tutti si domandano “cosa abbia fatto l’ACN” oppure “a cosa serva l’ACN se non riesce a prevenire…“, bisognerebbe per l’appunto guardare in che modo l’organizzazione cresce, in che modo si sviluppa ed in che modo esercita le proprie competenze.
Conclusioni
A volte sembra che l’Italia sia rimasta ferma a quarant’anni fa: amicizie, lobbismi, mentre il mondo intorno al Paese va avanti e corre, ma corre proprio molto veloce. Il disgusto nel vedere il proprio Paese trascinato in scandali di questa natura dovrebbe far indignare tutti, così come dovrebbero far indignare l’inerzia, l’incapacità e l’amichettismo citato precedentemente ma evidentemente non ne abbiamo mai abbastanza, non riusciamo ad imparare dai nostri errori. Diamoci allora appuntamento alla prossima agenzia, al prossimo tavolo tecnico, alla prossima cabina di regia, magari anche non pagata e tenuta in piedi con il contributo gratuito di professionisti.
