Più attenzione ai rapporti con le società private che forniscono alle Procure gli apparati per le intercettazioni: perché «le acquisizioni in corso di ulteriore verifica» sullo «stato delle tecnologie e delle prassi applicative» hanno «evidenziato che l’attuale assetto del sistema registra il rischio concreto di significative dimensioni di criticità, con riferimento a plurimi profili infrastrutturali, organizzativi e metodologici», e impongono «la necessità di ulteriore, significativa implementazione dei livelli di sicurezza».
In una circolare inviata in queste ore a tutte le Procure italiane, il ministero della Giustizia chiede ai pm di alzare la soglia di allerta sulla «sicurezza dei sistemi informativi delle intercettazioni», e addita un cambio di passo anche rispetto a quella che pur ritiene di rivendicare come «fase di approfondita analisi» di questi temi già «dal maggio 2015».
Difficile al momento pesare quanto l’«opportunità di proporre un miglioramento dei livelli di sicurezza» sia accelerata da segnali d’allarme quali quelli emersi casualmente da un guasto a Trieste: l’intoppo che ha consentito alla locale Procura di accorgersi che sul pc locale di una dipendente di una società informatica privata con sede vicino a Malpensa, azienda fornitrice dei server e incaricata di una teleassistenza a distanza, permanessero i dati di migliaia di intercettazioni di una decina di Procure, dati che per legge devono stare sul server delle Procure e che invece presumibilmente erano finiti nel pc della società privata come conseguenza della possibilità tecnica di quel tipo di software di «scaricare» dati dal server giudiziario durante la manutenzione.
La circolare di 7 pagine indica almeno sei direttrici, incentrate su «una diversa interazione coi fornitori». Alle Procure «si sottopone una prima bozza di contratto standard con i fornitori» privati di servizi informatici, per «il necessario e urgente adeguamento delle prestazioni» nei «requisiti minimi essenziali all’innalzamento dei livelli di sicurezza dei sistemi». Ai fornitori andrà inoltre chiesta «una dichiarazione di responsabilità», a «ulteriore rafforzamento delle specifiche contrattuali» e del «pieno e integrale rispetto delle prescrizioni del Garante della Privacy». Le Procure sono sollecitate a indicare il personale interno da formare come «amministratori dei sistemi informatici» in aggiunta ai 42 operatori che già frequentano un corso sulla sicurezza delle intercettazioni.
Negli «interventi normativi in definizione» si prefigura poi «la previsione di obbligatorietà di trasmissione cifrata delle comunicazioni telematiche intercettate dal punto di loro estrazione dalla rete del gestore fino agli apparati riceventi». All’interno della «Direzione generale per i servizi informativi automatizzati» del ministero, guidata da Pasquale Liccardo, è istituito «un centro di competenza» per «dare supporto» alle Procure nelle soluzioni «alle criticità denunciate dalle unità periferiche». E il «tavolo tecnico» presso l’ufficio del capo di gabinetto Gianni Melillo (fra gli altri con il Garante della Privacy, la VII commissione del Csm, il pg della Cassazione, il procuratore nazionale antimafia, le forze di polizia) continuerà a valutare l’evolversi delle potenziali falle in un tipo di sicurezza, quella informatica, che «costituisce una condizione non statica ma mobile, chiamata a misurarsi con l’avanzamento delle tecnologie, il contesto criminale d’interesse dell’azione investigativa, il valore delle informazioni custodite, il mutamento dei fattori di rischio».