La fuga di dati dal ministero della Giustizia è – ahinoi – una cosa “normale”

Effettua la tua ricerca

More results...

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Filter by Categories
#finsubito

Contabilità

Buste paga

 


Lo scorso 25 ottobre è esploso lo scandalo dossieraggio, legato al mercimonio di dati attinti dalle banche dati di istituti, enti e istituzioni con la complicità di persone interne.

I media hanno dato ampio spazio all’episodio, ma cerchiamo di restituire la misura di ciò che c’è sotto, di cosa non ha funzionato, del perché non ha funzionato e del come mai è stato possibile che un manipolo di pubblici funzionari – parole del ministro della Giustizia, Carlo Nordio – abbia potuto esporre la democrazia a rischi concreti.

Per capire meglio ci siamo rivolti al ministero della Giustizia, all’Agenzia per la Cybersicurezza nazionale (ACN), al Garante per la privacy e, a corredo, abbiamo chiesto il parere terzo dell’ingegner Pierluigi Paganini, Ceo di Cybhorus e membro ENISA Ad-Hoc Working Group on Cyber Threat Landscapes.

Richiedi prestito online

Procedura celere

 

Per creare un parallelismo utile a chi ha poca dimestichezza con l’argomento, va sottolineato come uno Stato che si vende i dati dei cittadini è collegabile a una banca che sperpera il denaro dei clienti, con l’unica differenza che ognuno è libero di scegliere la banca che preferisce ma non è libero di assegnare i propri dati all’ente statale che vuole.

Il mercimonio di informazioni di cui si è reso colpevole lo Stato è un pericolo per la democrazia e, ancora prima, è segno di mancanza di rispetto nei confronti dei cittadini, non soltanto quelli i cui dati sono stati ceduti illegittimamente.

La relazione sulla giustizia telematica

A luglio del 2024, il Consiglio Superiore della Magistratura ha reso pubblica la Relazione sullo stato della giustizia telematica, documento non certamente attinente al tema che stiamo trattando ma che, a tratti, assume toni premonitori.

Un esempio di ciò, si rintraccia a pagina 66 della relazione, laddove si legge che: “L’assegnazione delle funzioni di gestione dei sistemi a soggetti non appartenenti al Ministero delle Giustizia rende infatti ancora più difficoltoso ai dirigenti dell’Ufficio ed ai loro delegati, se non addirittura impossibile, il diretto accesso alle funzionalità ‘apicali’ dei sistemi stessi…”

Ciò significa che le persone deputate alla gestione dei sistemi sono esterne al ministero della Giustizia e questo, come sottolinea il Consiglio Superiore della Magistratura rende necessarie delle azioni perentorie e immediate: “… appare quindi necessario elaborare modalità organizzative e tecniche che consentano di non ridurre ad un livello meramente simbolico le funzioni di direzione, organizzazione e sorveglianza sulle attività giudiziarie svolte con modalità informatiche”.

Sempre a pagina 66 si legge un altro passaggio che, a nostro avviso, merita una riflessione: “Per altro verso, è evidente che la massiva traslazione della gestione dei dati sui cloud comporterà un aumento del traffico sulle reti che, in assenza di un generale monitoraggio delle performance delle infrastrutture informatiche, potrebbe portare a gravi difficoltà nella tempestiva gestione dei flussi giudiziari creando concreti ostacoli all’esercizio della giurisdizione”. L’assenza di monitoraggio delle infrastrutture informatiche vanifica anche le tecniche di Intrusion Detection System (IDS) che, tra le altre cose, analizzano anche il traffico di rete alla ricerca di picchi anomali di attività potenzialmente connesse a intrusioni (quindi accessi non autorizzati).

La privacy e il GDPR

A pagina 65 della relazione del Consiglio superiore della magistratura figurano altri passaggi degni di approfondimento: “ Va evidenziato comunque che, dopo la fine dell’emergenza pandemica, non risulta ulteriormente chiarita l’attuale collocazione dei server Microsoft che gestiscono, attraverso Teams, flussi di dati relativi anche ad attività a distanza dell’autorità giudiziaria ai sensi dell’art. 133 bis c.p.p. e 127 bis c.p.c.. Il ricorso a Teams per la gestione di attività a distanza anche delle indagini preliminari, comporta infatti il transito (e in alcuni casi la conservazione) di documenti e dati riservati e sensibili all’interno dei server della società Microsoft. Appare dunque rilevante comprendere come il Ministero assicuri attualmente la sicurezza e la riservatezza di tali informazioni nonché il tracciamento di eventuali accessi non autorizzati, così come già avviene per i registri e gli applicativi gestiti direttamente dall’Amministrazione”.

Ci siamo soffermati su questo punto nel porre delle domande al Garante per la privacy il quale, come vedremo più avanti, non ha voluto rispondere. C’è però un precedente che deve indurre a una riflessione: a dicembre del 2022, il Garante per la privacy portoghese ha multato l’ente nazionale di statistica anche per non avere garantito che il flusso dei dati raccolti rimanesse all’interno dell’Ue.

Conto e carta

difficile da pignorare

 

La gestione dei sistemi

Intervenendo a Otto e mezzo su La7 il 18 novembre scorso, il procuratore capo di Napoli, Nicola Gratteri, ha detto: “Non ho mai utilizzato la tecnologia del ministero della Giustizia […] sul mio telefonino non ho nessuna app, non ho nemmeno il localizzatore…”.

Questo passaggio offre almeno due letture e altrettante domande: al ministero della Giustizia come vengono garantiti i principi di cyber security, riservatezza e compliance se c’è chi utilizza dispositivi proprietari? E, non di meno, perché Gratteri sembra nutrire così poca fiducia nelle politiche di sicurezza del ministero?

Risposte che non abbiamo perché, gli enti a cui ci siamo rivolti, non hanno voluto dare seguito alle nostre domande. Il quadro generale però rimane quello che è: nella relazione del CSM, tra le altre cose, si legge che non tutti i magistrati hanno a disposizione un computer, questo vuole dire: o che non ne usano uno oppure che usano un dispositivo personale. Insomma, l’idea che la Cosa pubblica ha della cyber security risulta essere pastorale.

Le domande all’Agenzia per la Cybersecurity nazionale

Ci siamo rivolti all’ACN, l’Agenzia per la Cybersecurity nazionale alla quale abbiamo formulato le domande che riportiamo qui sotto. L’ACN ha comunicato che non è possibile rispondere, senza aggiungere motivazioni.

  • In che misura il caso dossieraggio è dipeso da incursioni esterne (attacchi hacker) e in che misura dalla collaborazione di persone interne al ministero della Giustizia?
  • Alcune evidenti lacune erano già state evidenziate a luglio del 2024 dalla relazione sulla giustizia telematica redatta dal Consiglio superiore della magistratura. Chi avrebbe dovuto intervenire per evitare il peggio e perché non è stato fatto?
  • A bocce ferme, cosa non ha funzionato? Quali correttivi sono stati apportati?
  • Quali sono i fornitori di servizi di Cyber security coinvolti? I cittadini meritano di sapere le ragioni sociali delle imprese terze ingaggiate?
  • L’ACN è consapevole del fatto che tutto ciò si sarebbe dovuto evitare? Perché si è arrivati a questo punto?

I cittadini non possono sapere cosa è successo, perché è successo, chi è il responsabile dell’accaduto e, ancora peggio, non possono sapere neppure perché non vengono informati.

Le domande al ministero di Giustizia

Sono le medesime che abbiamo formulato all’ACN e, anche in questo caso, non sono pervenute risposte.

Siamo stati contattati al telefono dal ministero di Giustizia e ci è stato detto che, proprio a causa dell’istruttoria in corso, non è opportuno fare trapelare informazioni.

Dilazione debiti

Saldo e stralcio

 

Benché tutto ciò ha una logica condivisibile, non può esserlo rispetto all’ultima domanda che meriterebbe una risposta, ossia: “Il ministero è consapevole del fatto che tutto ciò si sarebbe dovuto evitare? Perché si è arrivati a questo punto?”.

Le domanda al Garante per la privacy

Come scritto, la relazione del Consiglio Superiore della Magistratura ha evidenziato potenziali falle nel rispetto del GDPR. Su questo ci siamo concentrati nel formulare i quesiti al Garante, ovvero:

  • Il Garante era al corrente di quanto sostenuto dal Csm nella relazione del mese di luglio del 2024?
  • Se sì, cosa ha fatto per verificare la situazione ed eventualmente collaborare alle misure risolutive?
  • Il Garante ha comminato un’ammenda? Ha gli strumenti e il potere di farlo?
  • Cosa farà ora il Garante?

Dal Garante ci hanno spiegato, al telefono, che non è possibile dare risposta alle nostre domande perché ci sono delle indagini in corso. E questo apre un capitolo proprio sulla mancanza di trasparenza. Un accenno almeno agli strumenti di cui il Garante dispone sarebbe stato un gesto di apertura nei confronti dei cittadini.

Va sottolineato che il Garante ha creato una task force per fare luce sul caso dossieraggi. Il vicepresidente del Garante privacy, Ginevra Cerrina Feroni, si è espressa delineando anche alcune soluzioni possibili, tra formazione del personale, investimenti nella sicurezza ed evitare di duplicare banche dati. Questo ultimo aspetto è noto a chiunque abbia frequentato una facoltà di ingegneria, formazione e investimenti sono necessità note a chiunque.

Più che spiegazioni sembrano essere scuse, un premio di consolazione insufficiente a chiarire il quadro in ogni suo dettaglio: se c’è chi scorrazza indisturbato tra i dati e ha persino la libertà di venderli è proprio perché le misure citate dalla vicepresidente Feroni non sono mai state implementate correttamente. Non è corretto dipingere come soluzioni quelli che dovrebbero essere prerequisiti fondamentali: allora, perché lo Stato fa in modo che persone non adeguatamente addestrate possano accedere ai dati dei cittadini? Perché lo Stato, che deve tutelare i dati anche mediante tecniche e tecnologie opportune non lo fa?

L’impressione è che non si stia neppure cercando di chiudere la stalla dopo la fuga dei buoi.

Contributi e agevolazioni

per le imprese

 

L’assenza di risposte

Il perché delle mancate risposte lo spiega il Garante per la privacy sul proprio sito web. Il passaggio su cui vogliamo attirare l’attenzione del lettore è questo: “Tra inchieste della magistratura in corso, audizioni parlamentari, strumentalizzazioni politiche di ogni genere, se si ha la responsabilità istituzionale di garantire la privacy in Italia, scrivere, rilasciare interviste o partecipare attivamente al dibattito pubblico su quanto accaduto presso – o, forse, meglio, a partire da – la Direzione Nazionale Antimafia, è inopportuno perché si corre, inevitabilmente, il rischio di essere tirati per la giacchetta da una parte o dall’altra, di perdere quella indispensabile terzietà e indipendenza dalle cose della politica e, soprattutto, di alimentare lo svilimento e la svalutazione del diritto alla privacy, già trascinato e strattonato in un agone politico chiassoso, polarizzato e polarizzante, più interessato a effimeri successi elettorali che alla reale affermazione e difesa di diritti e libertà”.

Una considerazione che rischia di lasciare un senso di incompiuto solo parzialmente giustificato. Le domande che abbiamo fatto sono legittime e indagano i tempi e i modi con cui le autorità preposte hanno reagito a una situazione che è un macigno sulla schiena della democrazia.

Sapere cosa è successo dopo la relazione del CSM del luglio 2024, sapere quali considerazioni sono emerse dalla necessaria autocritica che le istituzioni avrebbero dovuto fare e rendere noto ai cittadini, in che misura i dossieraggi sono dipesi da ingerenze esterne alla Pa è un dovere, così come è diritto di ognuno venirne a conoscenza.

Il silenzio di uno Stato è sempre una lesione della democrazia. Ancora prima, non è mai un rimedio intelligente.

Un punto di vista terzo

Abbiamo chiesto all’ingegnere Pierluigi Paganini, nella misura del possibile, di contestualizzare la situazione sulla scorta delle domande che abbiamo formulato alle autorità.

“Dalle informazioni rese pubbliche i recenti casi di dossieraggio sono principalmente imputabili all’operato di personale interno che avrebbe effettuato centinaia di migliaia di richieste ai sistemi interni del ministero dell’Interno. Trattasi di sistemi riservati contenenti informazioni altamente confidenziali e segrete. Ci sono stati tuttavia anche casi di vere e proprie intrusioni in sistemi del governo italiano, come quello che ha visto Carmelo Miano accedere ai sistemi del ministero della Giustizia, acquisendo atti relativi a indagini che lo riguardano”.

La narrazione secondo cui ci sarebbero state forti ingerenze dei criminal hacker che, peraltro, fino da subito è apparsa poco credibile, è da relativizzare: incursioni esterne ci sono state, sì, ma il danno maggiore è stato fatto dall’interno.

Carta di credito con fido

Procedura celere

 

Riguardo ai temi sollevati dalla relazione sulla giustizia telematica curata dal Csm, l’esperto contribuisce a dipingere un quadro allarmante: “ Esiste una catena di responsabilità che coinvolge numerosi attori, dai responsabili delle infrastrutture informatiche dei ministeri, alle eventuali aziende coinvolte nelle attività di remediation delle falle emerse, e persino l’ACN, tra i cui compiti c’è quello di supportare i soggetti pubblici e privati nazionali, che esercitano funzioni ed erogano servizi essenziali, nella prevenzione e mitigazione degli incidenti, nonché ai fini del ripristino dei sistemi. Per comprendere coloro che sarebbero dovuti intervenire, dovremmo avere informazioni precise circa le vulnerabilità emerse ed il piano di remediation redatto a seguito degli assessment. Quel piano deve definire ruoli, responsabilità e tempistiche delle fasi di remediation. Solo la presa visione di questo piano può aiutarci a comprendere chi abbia fallito nel suo compito”.

Sarà interessante seguire l’iter delle indagini in corso per riuscire a stabilire meglio le responsabilità dei soggetti coinvolti e, parallelamente, capire secondo quali procedure hanno operato ed entro quali limiti.

“Troppe lacune, su tutte la mancata vigilanza degli accessi. Tutto ciò è imbarazzante quanto inconcepibile per la natura dei sistemi violati e/o acceduti e delle informazioni compromesse”, continua Paganini.

Il ruolo dell’ACN e le conclusioni

L’ACN è deputata anche a dare supporto ma non può fare tutto da sé e, soprattutto, non può fare miracoli: l’azione del coadiuvare è possibile laddove c’è già una logica da implementare e non attecchisce laddove regna l’anarchia procedurale.

“L’ACN è sicuramente consapevole, e sebbene sia stata bersaglio di critiche accese da molti esponenti della comunità italiana di cyber sicurezza, le sue responsabilità sono limitate.

È mia opinione che la cyber sicurezza, sebbene si siano fatti passi da gigante negli ultimi anni grazie anche all’operato della stessa ACN, rischia di avere una involuzione importante a livello nazionale.

Dopo l’avvio dell’agenzia è mancato completamente il sostegno di reali competenze. La politica ha compreso il ruolo strategico della cyber sicurezza per il proprio tornaconto e ha preso a utilizzarla per creare nuove opportunità e poltrone. I risultati sono sotto gli occhi di tutti”, illustra l’ingegner Paganini.

Cessione crediti fiscali

procedure celeri

 

Non sappiamo quali conclusioni trarre al di là dei pareri personali che non sempre sono allineati alla realtà. Occorre attendere la fine delle indagini e, nel frattempo, nessuna delle parti coinvolte contribuisce a fare un po’ di chiarezza.

Pierluigi Paganini conclude dicendo che: “È in corso un’investigazione, ragione per cui auspico che alla conclusione delle indagini si possa fare maggiore chiarezza sulle parti coinvolte. Riguardo alla conoscenza delle imprese a cui sono state affidate delle commesse, è sicuramente possibile risalire ad esse dalla presa visione dei contratti. Ricordiamo che grazie ai FOIA (Freedom of Information Act) si garantisce a chiunque il diritto di accesso alle informazioni detenute dalle pubbliche amministrazioni, ivi compresi i contratti”.

Considerato il quadro nel suo insieme, che un manipolo di manigoldi possa fare ciò che gli pare all’interno delle istituzioni appare del tutto normale. Illegale, deleterio ma pienamente nella logica del pensiero criminale.



Source link

***** l’articolo pubblicato è ritenuto affidabile e di qualità*****

Visita il sito e gli articoli pubblicati cliccando sul seguente link

Source link

Finanziamo agevolati

Contributi per le imprese