“Archivi aperti per combattere i cyberterroristi” il patto segreto tra 007 e colossi dell’economia

CARLO BONINI PIERO COLAPRICO GIULIANO FOSCHINI MARCO MENSURATI FABIO TONACCI. la Repubblica

SU QUELLA base sdrucciola che è il decreto Monti sulla “sicurezza informatica nazionale”, si stanno piantando i pilastri della futura difesa cibernetica del nostro Paese. Ma non solo. Perché, a ben guardare, quel testo è il presupposto legale di un piccolo, embrionale “Prism”. Tutto made in Italy. Con i servizi segreti che da tre mesi stanno sottoscrivendo convenzioni con i gestori dei più grandi database italiani. Telecom, in primis. Ma anche Poste Italiane, Alitalia, Agenzia delle Entrate, Finmeccanica, per citarne alcuni.
Del decreto emanato il 24 gennaio scorso da Mario Monti, presidente del Consiglio dimissionario, Repubblica ha dato conto il 15 giugno, aprendo le porte a un’inchiesta conoscitiva del Copasir: grazie a quel decreto, per la prima volta nella storia del paese, Aise e Aisi possono accedere direttamente alle «banche dati di interesse» di operatori privati «che forniscono reti pubbliche di comunicazione» o che gestiscono «infrastrutture critiche di rilievo nazionale ed europeo». Categorie in cui rientra di tutto: dagli ospedali agli aeroporti, dalle basi militari ai colossi della telefonia. Basta firmare la convenzione, non serve nemmeno l’autorizzazione di un magistrato. Di quei documenti il Dis, l’organismo che coordina le due agenzie di sicurezza, ne ha già firmati undici con altrettanti operatori. E ce ne sono altri venti in corso di definizione.
TELECOM, POSTE ITALIANE E FINMECCANICA
La prima a firmare è stata Telecom. Sui suoi server passano e vengono conservati i dati di navigazione, tutte le telefonate e persino i movimenti sul territorio di milioni di utenti. Ma Telecom è un’azienda chiave anche per un altro motivo: attraverso Telecom Italia Sparkle possiede un’infrastruttura fisica strategica: la complessa rete di dorsali in fibra ottica lunga 55.000 km in Europa, 7.000 km nel Mediterraneo, 30.000 km in Sud America, continente collegato con un cavo sottomarino nell’Atlantico di 15.000 km. Anche la H3G (9,5 milioni di Sim attive) è stata contattata dal Dis, ma per ora non è stata firmata alcuna convenzione.
Ancor più importante è Poste Italiane. Rappresenta un unicum nel panorama nazionale: essendo contemporaneamente agenzia di recapiti, banca, operatore telefonico e assicurativo, ha nella sua pancia la più completa banca dati nazionale. Poste sa cosa spediamo, quando lo spediamo, con chi parliamo, conosce l’entità dei nostri conti correnti postali, i bollettini che paghiamo, le pensioni integrative, le transazioni con PostePay e il BancoPosta, cosa abbiamo assicurato. E tra i suoi partner ci sono i servizi segreti americani. Nel 2009 la società guidata dall’ad Massimo Sarmi ha costituito a Roma la European Electronic Crime Task Force, un organismo per il contrasto dei crimini informatici a cui partecipano la Polizia di Stato e lo United State Secret Service, l’agenzia governativa deputata alla sicurezza del presidente degli Stati Uniti. A giugno del 2010, poi, è nato il Global Cyber Security Center, istituto voluto da Poste e creato insieme alla Booz Allen Hamilton, l’azienda dove lavorava Edward Snowden, la spia del datagate.
Oltre che con Finmeccanica, colosso industriale e militare con decine di società controllate, sono state stipulate convenzioni con l’Agenzia delle Entrate (possiede tutti i dati fiscali di 40 milioni di contribuenti italiani), con Enel ed Eni, nei cui database sono “scritte” le nostre abitudini di consumo. Convenzionate anche Alitalia e Ferrovie dello Stato: due aziende che sanno quando, dove e come ci spostiamo. E quanto spendiamo per muoverci.
GLI ACCESSI PREVENTIVI
Chi ha scritto il decreto Monti assicura che il Dis non potrà maneggiare dati personali, ma solo quelli riguardanti la sicurezza dei sistemi: dunque log di firewall (le tracce informatiche che si lasciano quando si entra in un sito), informazioni su attacchi o tentativi di violazione. Dati pescati dai cosiddetti “Soc”, Security operations center delle aziende. E però tecnicamente i Soc funzionano grazie a sonde in grado di filtrare tutto ciò che circola dentro un sistema. Per capire, le sonde sono quelle che l’agenzia britannica Gchq avrebbe usato per intercettare le chiamate telefoniche e il traffico di rete sui cavi di fibra ottica, condividendoli poi con la Nsa americana, come ha rivelato Snowden alcuni giorni fa. Chi garantisce che gli 007 italiani acquisiscano solo informazioni non personali? La normativa di riferimento, inoltre, non parla di ricerche “nominali”. Potenzialmente, insomma, si apre il campo a raccolte “a strascico”. Sebbene infatti l’accesso sia giustificato dalla “sicurezza cibernetica delle infrastrutture”, i servizi segreti possono entrare nei Soc anche senza un’effettiva minaccia in corso, a titolo preventivo. Lasciando però — almeno secondo quando riportato nelle convenzioni — tracce della propria presenza, tracce che permetteranno al Garante della Privacy, solo in un secondo tempo, di verificare eventuali abusi.
I DUBBI SUL DECRETO
Ad alimentare le polemiche c’è la natura della carta che permette tutto questo, cioè il decreto presidenziale di Monti, un atto amministrativo (diverso dai decreti legge) che non è stato votato dal Parlamento. E che non è stato sottoposto al parere del Garante della Privacy. «Ho più di un dubbio sul contenuto di quell’atto — dice Antonello Soro — e il fatto che non mi sia arrivato prima dell’emanazione aumenta le mie perplessità».
Alcuni parlamentari, tra cui il sottosegretario Marco Minniti, rivendicano la correttezza di quel testo sostenendo che sia “coperto” dalla legge 133 del 2012, che ha aggiornato la riforma dei servizi segreti datata 2007. «Ma nella 133 non c’è nessun riferimento all’accesso ai database degli operatori privati — sostiene Carlo Sarzana di Sant’Ippolito, presidente aggiunto onorario della Corte di Cassazione — il decreto Monti è palesemente illegittimo, viziato di eccesso di potere da parte del governo, e potenzialmente contrastante con l’art.15 della Costituzione sulla libertà e segretezza della corrispondenza. Oltretutto fa riferimento a un Dpcm precedente, il n.4 del 12 giugno 2009, che è coperto da segreto». Altra stranezza: il decreto viene emanato il 24 gennaio, ma appare sulla Gazzetta ufficiale più di un mese e mezzo dopo. Di solito gli atti del presidente del Consiglio vengono pubblicati dopo qualche giorno. In questo lasso di tempo, c’è il viaggio di Monti negli Stati Uniti: il 9 febbraio incontra Obama alla Casa Bianca. Infine, il decreto che dovrebbe consolidare la sicurezza del nostro paese non prevede un solo euro di budget. Pure i sostenitori sono rimasti delusi. Gli unici effetti sono state le convenzioni. La cui reale portata è ancora sconosciuta.

---