In Italia, Paese del G7, nel 2024, le istituzioni vengono “bucate” manco fossero delle piccole imprese locali. Cosa è emerso dalle indagini della Repubblica di Milano.
Dopo il caso Miano, il cybercriminale di 24 anni che è riuscito a bucare per anni il sistema IT del ministero della Giustizia, scoppia un altro caso, più grave, che riguarda la (non) sicurezza informatica di questo Paese.
Un indagine della Procura della Repubblica di Milano ha svelato l’accesso illecito alle banche dati istituzionali dello Stato da parte di una banda di criminali informatici che si avvaleva della collaborazione di alcuni pubblici ufficiali infedeli, ‘venduti’ per 1.200 euro con un bottino di affari di oltre 3 milioni di euro.
L’indagine ha portato a quattro arresti e due sospensioni dal servizio, ha smantellato un network di presunti spioni guidato dall’ex super poliziotto Carmine Gallo, braccio operativo di Enrico Pazzali, il presidente di Fondazione Fiera e titolare di Equalize, la società di investigazione perno di una attività di dossieraggio a livello industriale per i magistrati “inquietante” in quanto avrebbe potuto essere in grado di “tenere in pugno” cittadini e istituzioni” e “condizionare” dinamiche “imprenditoriali e procedure pubbliche, anche giudiziarie”.
Dagli atti dell’inchiesta emerge che nella rete dell’associazione con base in via Pattari, che avrebbe incassato un totale di oltre 3,1 milioni di euro di “profitti illeciti”, sono finiti migliaia e migliaia di nomi ma anche le più alte cariche del nostro Paese.
L’accusa: “Reiterato accesso abusivo a banche dati istituzionali”
Tra le 1.172 pagine dell’indagine della Procura della Repubblica di Milano dove si legge il principale reato compiuto: “reiterato accesso abusivo a banche dati istituzionali riservate protette da misure di sicurezza”, tra tutte, principalmente:
- Sistema Informativo Interforze, denominato in gergo investigativo banca dati SDI, contenente tra tutti precedenti Polizia dei cittadini,
- ma anche banche dati SIVA,
- SERPICO,
- FISCO,
- Anagrafe Nazionale Popolazione Residente – ANPR,
- INPS
- e Anagrafe dei conti correnti bancari
E le domande che sorgono sono: nel 2024 c’è ancora l’assenza di alert che NON scattano in caso di intrusioni indebite, mancanza di controlli incrociati a campione, nessuna tracciabilità degli ingressi utilizzando password usa e getta come per l’otp bancario, niente rotazione delle responsabilità. E quando sarà introdotto lo stop agli accessi da remoto?
Clonata anche l’email di Mattarella?
Nell’indagine c’è anche l’intercettazione telefonica tra l’ex super poliziotto Carmine Gallo e il vero hacker criminale del gruppo: Nunzio Samuele Calamucci, con un passato nel collettivo Anonymous. Nel corso della telefonata – si legge – i due lasciano intendere di aver intercettato, per il tramite di un gruppo denominato “Campo Volo“, un indirizzo email assegnato alla massima carica dello Stato, il Presidente della Repubblica Sergio Mattarella, o comunque di essersi riusciti, sempre attraverso lo stesso gruppo, a utilizzare abusivamente o a clonare il predetto account.
Ecco le parole esatte dette al telefono da Calamucci: “Gli faccio sì guarda noi l’abbiamo spedita a venti persone, più tre mail, una mail intestata a MATTARELLA, con nome e cognome che se vanno a vedere l’account è intestato al Presidente della Repubblica…”
Chiesto report su Ignazio La Russa
Un report sul presidente del Senato Ignazio La Russa e su suo figlio Geronimo è stato commissionato nel maggio 2023 da Pazzali a Calamucci. I carabinieri di Varese “ascoltano” e filmano in diretta Pazzali quando il 19 maggio 2023 nella sede della Equalize srl dietro il Duomo. Stavolta — riassume il pm Francesco De Tommasi — il soggetto su cui Pazzali vuole venga realizzato un report è il presidente della Senato La Russa. A Calamucci che gli consegna un report su altre persone, Pazzali subito domanda: “Va beh… fammene un’altra nel frattempo! Ignazio La Russa, del ‘53, no, ha 75 anni lui…vai giù… giù — si capisce che i due stanno scorrendo qualcosa sul video di un computer —, giù…questo… esatto. E metti anche se c’è…come si chiama l’altro figlio? Prova Geronimo La Russa…ma non si chiama Geronimo, come cavolo si chiama? Metti Antonino?”.
Crosetto: ‘Capire se c’è un filo rosso sui dossieraggi’
“La cosa più importante sarebbe sapere però se esiste un filo rosso che lega, magari nell’inconsapevolezza degli attori minori, tutte queste, e molte altre, raccolte informative, intrusioni illegittime, inseguimenti, pedinamenti, filmati, fotografie, registrazioni, non autorizzate e non giustificate da nulla di legale e a tutela dell’interesse pubblico”. Così il ministro della Difesa Guido Crosetto sull’inchiesta della procura di Milano sui dossieraggi. Il ministro ricorda di essere stato lui a lanciare l’allarme dossier da cui è partita l’inchiesta di Perugia ed aggiunge: “l’abuso non è finito, come si dimostra con l’inchiesta milanese di oggi, ma continua imperterrito”.
“Le dimensioni ormai raggiunte dai fenomeni che stanno emergendo, che per me non sono che la punta dell’iceberg di un malcostume diffusissimo, debbano portare anche il Parlamento ad una riflessione su come vada affrontato, normato ed indagato questo tema, che può gravemente minare la convivenza democratica, influenzandone uno svolgimento corretto. In molti, troppi, ne hanno goduto, in questi anni”, ha concluso Crosetto.
Mauri (Pd): “Gravissima violazione, da governo più fatti e meno convegni”
“La sottrazione dei dati dal Sistema del Viminale, quello a cui dovrebbero attingere esclusivamente le Foze dell’Ordine, è un fatto di una gravità assoluta. Si tratta di dati della massima sensibilità, il cui uso illegittimo può minare le libertà personali, il funzionamento delle istituzioni e la sicurezza nazionale. Dalle prime reazioni del governo non sembra che ci sia la piena consapevolezza della gravità dell’accaduto”. Così la dura reazione del deputato dem Matteo Mauri, responsabile nazionale Sicurezza del Partito Democratico, al caso sui dossier che sta coinvolgendo il nostro Paese.
“Ci aspettiamo – aggiunge l’esponente Pd – che il ministro Piantedosi non si limiti a dare solo mandato al Capo della Polizia di parlare con i magistrati per capirci qualcosa. Ma che faccia di tutto per scongiurare che questo si possa ripetere e che riferisca al Parlamento ogni informazione utile per valutare la profondità del fenomeno. Anche perché quando si scopre un fatto del genere non si può non pensare che sia già avvenuto nel passato. Sono ormai due anni che questo governo è in carica e che continua a pontificare sulla cybersicurezza. Ma in realtà in questo periodo tutti i dati ci dicono che la situazione è molto peggiorata”.
“Il sottosegretario alla Presidenza del Consiglio Mantovano e il Direttore Generale dell’ACN (Agenzia per la cybersicurezza nazionale) Bruno Frattasi – conclude Mauri – invece di fare cose utili, passano il tempo a pontificare dai palchi dei convegni sulla pericolosità degli hacker. Nella Legge Cyber, fatta approvare in fretta e furia per far bella figura al G7, e nel decreto di recepimento della Direttiva europea NIS2, il governo non ha fatto altro che imporre regole e minacciare di sanzioni economiche, ma senza mettere mai un soldo per mettere l’Italia al riparo da questi rischi gravissimi. È troppo comodo imporre ai privati cosa devono fare senza aiutarli mentre nel frattempo vengono bucati i santuari istituzionali della Sicurezza”, conclude Mauri.
English (US)