Corriere della Sera, 15 luglio 2019
I rischi e le falle sulle intercettazioni
Il materiale è ad altissimo tasso di riservatezza. Parliamo delle intercettazioni disposte dall’autorità giudiziaria: strumento alla base di indagini penali sui reati più gravi e arma fondamentale nelle inchieste di mafia, terrorismo, corruzione. Da esse può dipendere la sicurezza dello Stato, la garanzia delle istituzioni, la vita delle persone. Ma chi materialmente si occupa di intercettare i telefoni, piazzare le microspie o apparati informatici (trojan ecc), facendosi carico poi del riversamento dei dati raccolti? Non possono che essere aziende specializzate, certificate e selezionate dal ministero della Giustizia, viene da dire. Non è così. Sono aziende private talvolta con un management di livello, ma anche senza dipendenti, proprietarie dei software o solo locatarie, con azionisti noti o con prestanome, tipo la moglie di un poliziotto.
I 130.000 bersagli l’anno Il costo delle intercettazioni è la voce più rilevante delle spese che gli Uffici giudiziari mettono in conto allo Stato: 169 milioni su 193 nel 2017. Più della metà è concentrata in cinque distretti: Palermo, Reggio Calabria, Napoli, Milano e Roma. Le intercettazioni telefoniche (106 mila) rappresentano, per numero di bersagli, l’80% del totale (130 mila).
Dalle ultime stime disponibili, le imprese del settore sono 148, con 285 milioni di fatturato e 198 mila «interventi operativi effettuati» annualmente. Oggi alcune delle più attrezzate aziende del comparto hanno fatturati tra i 20 e i 30 milioni. Come la Rcs che «opera dal 1993 – si legge sul sito – nel mercato mondiale dei servizi a supporto dell’attività investigativa»; era di Rcs la famosa intercettazione Fassino-Consorte del 2005 («Abbiamo una banca») non depositata agli atti ma portata direttamente ad Arcore dall’ex amministratore delegato della società. La Innova di Trieste è di un gruppo di ingegneri e manager. La Ips di Mario Romani ha sede nella Capitale, mentre la Loquendo (10 milioni) è controllata dalla Nuance Communications, multinazionale Usa di sviluppo software. Nella gran parte dei casi però sono piccole imprese da qualche centinaia di migliaia di euro e a sostanziale conduzione familiare.
È possibile che una qualsiasi piccola società che gestisce risparmio, o polizze, debba strutturarsi con svariati livelli di controllo, ed essere soggetta a una vigilanza esterna (Bankitalia, Ivass, Consob) mentre chi maneggia per conto delle Procure dati sensibilissimi può permettersi la governance di una ditta artigiana? Eppure la posta in gioco è altissima. Ce ne siamo accorti qualche settimana fa quando è scoppiato il caso Exodus, uno spyware per Android in grado di impossessarsi e controllare da remoto gli smartphone. Due fin lì sconosciuti signori, un manager con licenza media superiore e un tecnico informatico (Diego Fasano e Salvatore Ansani, ora agli arresti), gabbando le Procure di mezza Italia che utilizzavano il software della loro società (eSurv) e bucando i sistemi di sicurezza di Google con app camuffate e pubblicamente disponibili, hanno infettato migliaia di telefoni e computer, risucchiando 80 terabyte di dati riservatissimi (soprattutto intercettazioni giudiziarie) parcheggiandoli su un cloud di Amazon nell’Oregon accessibile dall’esterno con una password. Tanto per capirci: per occupare un terabyte di memoria ci vogliono 250 mila foto. E là dentro c’è anche la privacy «rubata» a centinaia di ignare persone mai indagate: messaggi, whatsapp, conversazioni.
La ditta della moglie del poliziotto Casi simili, seppure di minore portata, erano emersi anche in passato. Exodus ha alzato di molto il livello d’allerta. La storia inizia con alcune società di intercettazione che «affittano» questo trojan. Fra queste la Stm di Cosenza, che aveva un contratto con la Procura di Benevento. Stm è una piccola azienda con poca storia (nata nel 2016) e fatturato, posseduta al 100% da Marisa Aquino, moglie di un poliziotto della questura di Cosenza, Vito Tignanelli. Anche i Servizi segreti italiani hanno comprato Exodus proprio dalla Stm. Che garanzia può dare un’azienda così per essere fornitore delle Procure? I contorni della vicenda non sono ancora chiari. Dal dossieraggio alla vendita di informazioni riservate, fino all’intromissione di 007 stranieri. C’è un’indagine avviata dalla Procura di Napoli.
Nei rapporti con le società di intercettazione non c’è una linea guida, ogni Procura si regola come meglio crede: formando short list, affidandosi alle scelte della polizia giudiziaria, e risparmiando il più possibile sul budget, sempre più risicato. A Torino, però, Exodus, proposto da un’altra ditta, è stato bocciato senza appello per il fiuto e i dubbi sollevati da un fidatissimo funzionario appassionato di informatica: la ditta non era proprietaria del software; non dava garanzie totali di riservatezza nel riversamento dei dati al server della Procura; non c’era la certezza che fosse «mirato» ai soggetti sotto indagine.
Cosa chiedono le Procure da 20 anni «L’unica soluzione – dice Francesco Greco, capo della Procura di Milano – è che il ministero assuma la guida». «Occorre un quadro di norme, controlli e verifiche sull’attività di queste società» sostiene Giovanni Melillo, procuratore capo a Napoli. Intanto, secondo Patrizia Caputo, procuratore aggiunto a Torino, «diffidare di quelle società che si improvvisano nel campo e ti abbagliano con un prodotto eccezionale».
Nel 2017 Milano fece un bando al quale risposero 15 società. Sette furono escluse per mancanza dei requisiti: compagine societaria opaca, oppure dati riservati deviati fuori dagli ambienti stabiliti per legge, contenzioso con il Fisco, giro d’affari nullo. Qualcuno fece ricorso e vinse al Tar, rientrando nella griglia e allungando di un anno i tempi. Tant’è che oggi il procuratore aggiunto di Milano, Riccardo Targetti, ammette: «Scade nel 2020 e non lo rifaremo». Però invita il ministero a fare un bando centralizzato e a stabilire anche «un prezzario nazionale». Alessandra Dolci, capo della Dda di Milano (le intercettazioni sono indispensabili nelle indagini di mafia) ritiene che «bisogna avere un albo o un’authority di controllo». In sostanza da Nord a Sud i capi delle Procure, da 20 anni, chiedono al ministero della Giustizia di fornire un elenco di società selezionate e certificate. Meglio ancora società in possesso di «nulla osta sicurezza», ovvero abilitate al trattamento di informazioni, documenti o materiali classificati dal grado di riservatissimo fino a segretissimo.
Dice che sul prezzario «è stato costituito un apposito tavolo di lavoro». E poi che in vista del processo penale telematico il ministero «sta operando presso le sedi della Procura della Repubblica per l’installazione di server ministeriali la cui finalità è anche quella di innalzare ulteriormente i livelli di sicurezza dei sistemi informativi ministeriali». Risposta burocratica a un allarme che suona. Segui il denaro... e lo smartphone, direbbe oggi Giovanni Falcone.