Database di Stato violati, informazioni protette su più livelli di controllo

Di certo c’è che nell’esfiltrazione di dati riservati dalle più importanti banche dati dello Stato, come il Ced Interforze del ministero dell’Interno o il Siva che raccoglie le segnalazioni antiriciclaggio (le cosiddette Sos), cruciale sarebbe stato il «fattore umano». Così lo hanno definito al Viminale, dopo che l’indagine della Procura di Milano sulla società Equalize di Enrico Pazzali ha fatto luce sul ruolo di “talpe” interne alle istituzioni che trafugavano informazioni segrete su persone e imprese.

Un po’ come faceva Pasquale Striano, il luogotenente della Guardia di finanza, distaccato all’ufficio Sos della Direzione nazionale antimafia, che «rubava» segnalazioni finanziarie su politici o imprenditori per consegnarle, su richiesta, a giornalisti. Cruciale il caso del ministro della Difesa Guido Crosetto che, secondo i magistrati di Perugia coordinati dal procuratore Raffaele Cantone, sarebbe stato uno dei «bersagli» principali del dossieraggio.

Funzionari infedeli

Ricostruzioni investigative che hanno innescato una profonda riflessione sulle banche dati e sulle modalità con cui sono gestite. La stessa Agenzia per la cybersicurezza nazionale (Acn), organismo d’intelligence che fa capo a Palazzo Chigi ed è diretto dal prefetto Bruno Frattasi, ha preso atto, tra le altre, di una «criticità» fondamentale: la gran parte delle azioni è stata perpetrata dalla possibilità di accesso alle informazioni grazie ai permessi assegnati a funzionari della Pa che poi si sono scoperti essere «infedeli». Personaggi che avrebbero fatto un doppio gioco per scopi da chiarire e che — nel delicato caso sotto esame alla Procura di Roma — potrebbero aver ceduto informazioni riservate a soggetti esteri interessati a speculazioni finanziarie in Italia.

Nei giorni scorsi l’Acn ha varato un documento di 19 pagine con cui sono state diffuse le nuove linee guida «per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio». Si è capito che l’eccessiva ampiezza dei permessi consentiti a utenti abilitati ha innescato un fenomeno degenerato nella compravendita di informazioni riservate. Materiale utile a colpire un nemico politico o imprenditoriale e che, inevitabilmente, rischia di manipolare l’andamento del mercato.

Controllo «robusto»

Si è deciso che strutturare un controllo coerente e robusto rappresenta «la base per garantire che» l’accesso alle banche dati «sia ristretto al personale e alle utenze autorizzati». A questo scopo le identità digitali del personale devono essere nominative e individuali, non condivise tra più persone, anche per poter tracciare gli accessi e risalire in modo inequivocabile al personale interno ed esterno che li fa.