Equalize e le banche dati: mai fidarsi del wetware
Spionaggi di banche dati statali: serve un radicale ripensamento dell’accreditamento delle strutture, degli operatori e dei responsabili. Perché se il wetware fa acqua, è inutile disporre del software e dell’hardware migliori del mondo. L’analisi di Gregory Alegi
29 Ottobre 2024 15:28
Fonte: startmag.it
Le reti informatiche italiane sono davvero così vulnerabili che chiunque può bucarle e portarsi via quel che crede? È la domanda che il caso Equalize ha messo sulla bocca di tutti. È possibile che l’ingombrante normativa Gdpr, che solo quattro anni rendeva difficile persino conservare i dati sanitari dei ragazzi che venivano in palestra o partecipavano ai campi Scout, sia solo l’ennesimo ingombro burocratico? Davvero l’unico motivo per cui nessuno accede ai dati di una data persona è perché quella conta poco o niente? A giudicare dal tam-tam mediatico, parrebbe proprio di sì. E invece, forse non è così.
Cercando di fare ordine nel flusso mediatico, sostanzialmente auto-ripetente ed alimentato da atti giudiziari chissà come finiti in mano ai giornalisti, sembra di capire che Equalize fornisse due servizi distinti. L’uno, la compilazione di schede informative su persone d’interesse di un certo cliente; l’altro, l’accesso abusivo a banche dati per trarne dati riservati con i quali alimentare quelle schede. Il primo è forse poco elegante, ma del tutto possibile su fonti aperte. Per i medici, per esempio, si trova di tutto, dallo stipendio all’autorizzazione all’intra moenia, dalla partecipazione a congressi alle pubblicazioni, passando per date di laurea, specializzazione e iscrizione all’ordine. Per gli avvocati, è abbastanza semplice accedere alle sentenze e ricostruire clienti e persino spese legali. Per molti livelli dello Stato e per molti collaboratori, basta un po’ di ginnastica sulla tastiera per trovare CV interi pubblicati in nome della trasparenza. In uno depositato a suo tempo, l’allora prof. avv. Giuseppe Conte aveva addirittura inserito i nomi degli autorevoli colleghi presenti ai congressi. Tanti altri dati sono disponibili attraverso i pubblici registri, che sono appunto pubblici.
Tutto materiale buono per un “dossier”, entità mitica temuta sin dai tempi del Sifar del generale De Lorenzo. Evidentemente, non è di questo che si parla.
UN PROBLEMA DI HARDWARE
Secondo la stampa, Equalize avrebbe avuto accesso anche a dati non pubblici, per le quali l’accesso è consentito solo al titolare o ai suoi delegati (per esempio, il commercialista) oppure alle forze dell’ordine (l’Agenzia delle Entrate non lo è, ma semplifichiamo). Il problema sta tutto qui. Come ci è entrata Equalize? La domanda è la stessa che tutti si sono posti quando un oscuro dipendente di Intesa Sanpaolo che in poco più di due anni (2022-24) ha sbirciato 6.637 volte i dati di 3.572 clienti della banca, quasi nessuno della filiale di Bisceglie dove lavorava. E che dire del tenente della Guardia di Finanza Pasquale Striano, indagato nel marzo 2024, pure lui per presunti accessi non autorizzati tramite le reti informatiche della Procura antimafia dove prestava servizio?
Se fossero tutti hacker, se ne dovrebbe concludere che in Italia c’è abbondanza di hacker di altissimo livello, che le reti e banche dati italiane hanno un livello di protezione “domestico”, o forse le due cose insieme. Così, l’abile (ancorché infedele) operatore può bucare facilmente hardware arcaico e software commerciale di basso livello. Può darsi che sia così, magari in piccolo comune della provincia di Bolzano o tra le montagne della Sila. Ma davvero è così per la DIA o Banca Intesa?
QUEL SOFTWARE DETTO “TROJAN”
In realtà, il tratto comune dei tre casi è il wetware, ovvero l’operatore umano, che per motivi dispone di tutte le password per accedere ai sistemi informatici. L’anonimo biscegliese ha detto di averlo fatto per curiosità e Striano su richiesta dei superiori (che negano). Così avrebbero fatto anche i collaboratori di Enrico Pazzali, patron di Equalize, e del socio, il “superpoliziotto” Carmine Gallo, con una rete di operatori infedeli disposti a fare un favore a un ex collega.
Secondo Claudio Antonelli, sulla Verità di oggi, Equalize avrebbe avuto altri strumenti. Uno sono i trojan (“cavalli di Troia”), pezzi di software che l’utente ignaro fa entrare nel proprio sistema o che gli vengono iniettati: di fatto, la versione digitale delle vecchie microspie. Ogni volta che viene fatta una ricerca, inviata una mail, fatta una telefonata, il trojan informa chi lo ha inserito, che così carpisce i contenuti. Sotto questo aspetto, è un problema di software.
LA SFIDA DEL WETWARE
Con il terzo elemento, si torna all’elemento umano. A penetrare i sistemi sarebbero stati, scrive Antonelli sulla base delle ordinanze, «informatici che, per ragioni di incarichi pregressi o in corso, conoscevano bene l’infrastruttura digitale da violare». Equalize avrebbe usato i servizi di «figure che in passato hanno gestito e manutenuto impianti digitali come quello del Ced, Centro elaborazione dati, che fornisce tutte le Forze di polizia italiane». Non è chiaro se essi abbiano creato delle backdoor, “entrate di servizio” che non richiedono password, o abbiano conservato i privilegi di accesso come amministratori o simili. Sta di fatto che, come con Striano e il biscegliese Coviello, anche qui il punto debole è il wetware: persone che per denaro o altre «utilità», come scrive il Codice penale, sono disposte a entrare nei sistemi o mettere altri in grado di farlo.
Bisogna insomma chiedersi come queste persone siano scelte, vagliate e confermate nei loro incarichi. Come abbiano cioè ricevuto il “Nulla Osta di Sicurezza” (NOS), per di più a livelli che consentono di girare liberamente per i sistemi, ben oltre le proprie immediate esigenze operative.
Tutto qui? Sì, salvo che chiedersi come vengano gestiti i NOS pubblici e privati è una di quelle domande che fanno tremare i polsi. Perché delle due cose l’una: o le strutture preposte non hanno chiari i concetti di privacy personale e sicurezza dello Stato, oppure li hanno chiarissimi ma decidono di chiudere un occhio per amici o, peggio ancora, clienti. Sarebbe forse il caso di ripescare qualche procedura della Guerra Fredda, magari persino spingendosi alla pratica tedesca del Berufsverbot, il crudele divieto di lavoro per coloro che ai tempi di Die Mauer, il Muro, lavoravano per quelli dall’altra parte.
Comunque vada a finire, è chiaro che serve un radicale ripensamento dell’accreditamento delle strutture, degli operatori e dei responsabili. Perché se il wetware fa acqua, è inutile disporre del software e dell’hardware migliori del mondo.
La vicenda di Equalize di cui si parla in questi giorni a scandalo scoppiato, dopo i primi interventi respreessivi dell’Autorità giudiziaria, dimostra quanto è forte la “domanda” di informazioni riservate nella nostra società.
Per spiegare bene il concetto, io penso che il mercato delle “informazioni riservate” è strettamente correlato alla esigenza di informzioni di cui ha bisogno la nostra imprenditoria, per crescere e per competere.
Devo anche dedurre che, le informazioni acquisibili da fonti aperte – pensiamo ai fatturati ed ai bilanci delle imprese depositatio presso le Camere di commercio – non interessano, perchè ritenuti poco attendibili, per usare un eufemismo.
Insomma, una pagina che dobbiamo ancora scrivere!