Il Caso Equalize e la Compromissione dei Dati Sensibili

Equalize Srl, un’agenzia di sicurezza e investigazioni con sede a Milano, è accusata di accesso illecito a banche dati riservate del Ministero dell’Interno italiano e di altri enti di massima importanza. Tramite una piattaforma informatica avanzata, Equalize ha potuto accedere a sistemi di polizia, servizi segreti e altre banche dati istituzionali, inclusa la possibilità di scaricare direttamente informazioni dal Sistema d’Indagine (Sdi) della polizia.

Cos’è lo Sdi

Lo Sdi, nato nel 1981, è una banca dati che raccoglie segnalazioni, denunce e dati giudiziari su persone. Accessibile solo a ufficiali di polizia e altri agenti autorizzati, ogni accesso richiede una password e deve essere giustificato.

La Piattaforma «Beyond» e l’Accesso Illegittimo ai Dati

Equalize Srl, indagata dalla Direzione distrettuale antimafia di Milano, aveva ai vertici figure come Carmine Gallo, ex poliziotto e amministratore delegato della società; Nunzio Calamucci, esperto informatico; e i soci Massimiliano Camponovo e Giulio Cornelli, specializzati in sicurezza informatica.

La piattaforma «Beyond», creata da Samuele Calamucci, permetteva di scaricare dati direttamente dalla banca dati Sdi del Ministero dell’Interno. Questo strumento, un vero «aggregatore di banche dati», raccoglieva informazioni da molte fonti: dettagli su persone denunciate, arrestate o fermate, dati ACI, ISTAT, segnalazioni della Guardia di Finanza e accesso ai cassetti fiscali dell’Agenzia delle Entrate. Vi si potevano consultare anche le SOS (Segnalazioni di Operazioni Sospette) e, a detta di Calamucci, persino la banca dati della Consob, l’Autorità di vigilanza della Borsa, per monitorare in tempo reale transazioni di acquisto o vendita di azioni.

Tra i dettagli emersi dalle indagini, l’accesso era protetto dalla password “Putin1424.” L’enorme potenziale del sistema rendeva necessaria una certa attenzione su come dissimulare l’attività, come evidenziato dalle conversazioni tra Calamucci e Gallo: «Non vorrei finire nei guai come con Eni», in riferimento a precedenti investigazioni problematiche su figure come Piero Amara e Vincenzo Armanna, coinvolte nel processo Eni-Nigeria.

I coinvolti avrebbero ottenuto anche copie forensi di telefoni cellulari raccolte per indagini. Questi cloni digitali dei dispositivi, autorizzati a fini giudiziari, possono essere usati in tribunale e vanno restituiti al termine delle analisi. In alcune intercettazioni, Calamucci fa riferimento alla possibilità di commercializzare tali copie, menzionando un certo «Checco», un collaboratore delle analisi forensi presso la procura. Fra i file sequestrati, uno era classificato come riservato e legato all’Aisi, il servizio segreto interno italiano.

Clienti, vittime e collaboratori coinvolti

Diversi nomi di rilievo sono apparsi tra i clienti che avrebbero richiesto o ricevuto informazioni sensibili. Tra questi, Leonardo Maria Del Vecchio, figlio del patron di Luxottica, accusato di aver chiesto dati sui suoi fratelli per motivi di eredità e sulla sua ex fidanzata per poterla controllare. Pierfrancesco Barletta, all’epoca dei fatti consigliere di amministrazione di Leonardo e attuale vicepresidente di Sea. Si contano anche figure provenienti da noti studi legali, professionisti e aziende di rilievo come Eni, il gruppo Erg e Barilla.

Le vittime dei dossieraggi includevano, oltre a privati, manager e amministratori delegati di banche e grandi aziende, alcuni magnati russi e diverse figure politiche di rilievo come Matteo Renzi, il presidente del Senato Ignazio La Russa, suo figlio Geronimo e anche Sergio Mattarella, di cui avrebbero clonato un account mail. Una cassaforte di dossier che conta circa 800 mila fascicoli rubati.

Equalize sfruttava le connessioni con agenti deviati dei servizi segreti e collaboratori della Guardia di Finanza per accedere a banche dati riservate e raccogliere informazioni sensibili. L’indagine infatti si estende anche ai collegamenti degli indagati con i servizi segreti e i pregiudicati per mafia.

Tecniche di Spionaggio e Infiltrazione dei Sistemi

Calamucci descriveva due modalità di accesso illecito ai dati del Ministero dell’Interno: tramite un virus RAT (Remote Access Trojan) per il controllo remoto dei server come amministratore e grazie all’infiltrazione di persone fidate all’interno del team che gestisce l’infrastruttura informatica del Ministero. Secondo Calamucci, i server Sdi sono gestiti da tecnici a Bologna e Colchester, mentre i server fisici si trovano a Torino. Il gruppo godeva di un vantaggio temporaneo, ma che sarebbe svanito con i prossimi aggiornamenti della rete del Ministero, richiedendo continui adattamenti.

Le Gravi Carenze di Cybersecurity

Il punto critico è senza dubbiola mancanza di adeguati standard di sicurezza informatica: Equalize, fornitore del Ministero dell’Interno e di altri enti di rilievo, aveva accesso diretto a banche dati cruciali, utilizzate per creare dossier e vendere informazioni.

A fronte delle falle di sicurezza rivelate, il governo propone una nuova legge per limitare l’accesso ai dati sensibili. Tuttavia, non possiamo non notare la mancata assunzione di responsabilità per la gestione inadeguata della cybersecurity.

Nonostante la gravità della questione, i media main stream sembrano soffermarsi solo sugli aspetti scandalistici e di violazione della privacy, manteniamo un discreto scetticismo sui possibili effetti di eventuali rivelazioni scioccanti, notando come casi eclatanti precedenti, come ad esempio Mani Pulite o il dossier Mitrokhin, non abbiano portato cambiamenti sostanziali.

Il vero problema, che ci pare stia passando – non per caso – in secondo piano, risiede nelle gravi lacune di cybersecurity dei sistemi informatici dello Stato. Gli amministratori IT non dovrebbero mai avere accesso ai dati sensibili, tanto meno quando riguardano dati riservati come quelli di polizia, servizi segreti e finanza. Invece, per l’ennesima volta, la gestione della sicurezza è stata inadatta, lasciando completamente esposti dati di altissimo valore.

Questo episodio dimostra che l’espansione della digitalizzazione, se non accompagnata da adeguate competenze di cybersecurity, non solo mina la privacy dei cittadini, ma si ritorce inevitabilmente contro gli stessi enti e rappresentanti politici che l’hanno accelerata.

L’intenzione di centralizzare le informazioni e di normare la società, con l’illusione di poter accedere in modo istantaneo e sicuro ai dati di ciascun cittadino, rende questi stessi dati appetibili e vulnerabili, mettendo in luce non solo la fragilità dei sistemi di sicurezza pubblici, ma anche un’ingenuità strategica che sottovaluta la sofisticazione delle minacce moderne. L’incompetenza tecnica nella gestione della digitalizzazione si traduce quindi in una sorta di boomerang tecnologico: un apparato pensato per il controllo che finisce per indebolire proprio chi lo sostiene, mostrando una vulnerabilità strutturale che può essere sfruttata.