Oltre 20 pagine di dati di intercettazioni di parecchie Procure (come Reggio Calabria, Napoli, Catania, Trento, Busto, Torino, Milano, Roma, Trieste) trovati sul pc dell’impiegata di una delle società private che forniscono alle Procure i server per le intercettazioni: numeri e nomi di intercettati, loro interlocutori, durata, posizionamento, testi degli sms, sintesi e commenti della polizia giudiziaria sull’importanza delle varie intercettazioni, tutti dati che per legge devono invece stare solo sui server delle Procure. E adesso i pm di Trieste e Busto Arsizio, il Garante della Privacy, il Consiglio superiore della magistratura e il ministero della Giustizia sono impegnati a capire se tra le società private esista la potenzialità tecnica, nel momento in cui svolgono l’assistenza a distanza chiesta dalle Procure sui propri server per la manutenzione ordinaria o per specifici guasti, di invece «scaricare» dati e farli risiedere fisicamente e poi trattenerli sui propri computer locali. Per di più con l’ulteriore possibilità tecnica di farlo anche senza che la Procura abbia richiesto l’assistenza, e dunque senza che in teoria se ne accorga.
Almeno la prima delle due potenzialità si manifesta per caso alla Procura di Trieste quando, dovendo l’anno scorso rimediare a un guasto in una indagine del pm Maddalena Chergia, ci si avvede che alcune intercettazioni stanno non solo sul server della Procura, ma anche sul pc dell’impiegata della società privata Area che «da remoto», cioè a distanza dalla sede di Vizzola Ticino (vicino a Malpensa), aveva operato su richiesta dei pm per cercare di ritrovare file-audio di cui in Procura si era temuta la perdita sul server.
Il procuratore di Trieste Carlo Mastelloni e la sua pm, indagando l’impiegata per l’ipotesi di accesso abusivo a sistema informatico, il 15 dicembre 2015 ordinano alla GdF una perquisizione della sua postazione di lavoro, alla quale non partecipano avvisando il capo della Procura competente per territorio, Gianluigi Fontana a Busto Arsizio, che partecipa ma non conosce il contesto.
In questa che per metà inizia come perquisizione dei pm di Trieste e per metà diventa ispezione del pm di Busto Arsizio a fini contrattuali, nel pc dell’impiegata vengono trovati quei dati, oltre a migliaia di file audio, però non ascoltabili (a differenza degli sms subito leggibili) senza la chiave di cifratura che le prassi aziendali di sicurezza suddividono apposta fra più persone.
Al momento non c’è alcun sospetto di fughe di notizie mirate, anche perché nella maggioranza dei casi si tratterebbe di intercettazioni di indagini di routine, magari residui accumulatisi in manutenzioni passate come effetto collaterale di un software di teleassistenza forse più comodo per gli operatori aziendali.
Ma a preoccupare è il meccanismo tecnico in sé, la realizzabilità di questo vietato canale inverso (dal server della Procura al pc della società privata), visto che qualunque dato, se «scaricato» sul pc privato, in teoria da lì può essere poi trasmesso, o esportato e consegnato su chiavetta (e anche il tracciamento dei file di «log» non è una garanzia assoluta quando a operare è chi possiede i privilegi di «amministratore di sistema»).
Non a caso il Garante della Privacy nei giorni successivi ricevette dal procuratore di Busto Arsizio una segnalazione «che l’Autorità ha valutato nell’ambito della più generale verifica sulle misure di sicurezza prescritte alle Procure, verifica ancora in corso». E il procuratore di Trieste ha ritenuto per motivi istituzionali di avvisare della questione il Comitato di presidenza del Csm (formato dal vicepresidente Legnini, dal presidente della Cassazione, Canzio, e dal procuratore generale della Cassazione, Ciccolo), che a sua volta ha investito il ministero della Giustizia, che ha allertato gli organi di sicurezza e emanato circolari per suggerire alle Procure di elevare le pretese di sicurezza nei contratti con le società.
Interpellato dal Corriere, il presidente e titolare di Area, Andrea Formenti, nega che sia possibile lo «scarico» di dati dal server di una Procura su un pc locale, salvo su esplicita richiesta e autorizzazione della Procura titolare del server. E allora perché quella massa di dati di intercettazioni stava sul pc della dipendente dell’help-desk? Qui il manager afferma di non poter dire una parola «perché vincolato da ragioni di rispetto del segreto, da questioni di privacy e da motivi di natura giuslavoristica». Ci tiene però ad assicurare che Area, aderente a Confindustria, «ha il più alto standard di sicurezza nel settore», dove impiega 150 dipendenti, in un anno fattura circa 20 milioni di euro e riceve 25.000 incarichi da 100 uffici giudiziari in tutta Italia, collocandosi sui primi tre gradini nel settore: «Porte aperte a qualunque istituzione dovesse ritenere di fare accertamenti, siamo i primi interessati a sapere se esistano mele marce».