Dopo giorni di fibrillazione ieri Carlo Nordio ha provato a disinnescare le polemiche sul “decreto-antispioni”: “Abbiamo trovato una quadra, non c’è un problema politico, è squisitamente tecnico”. Quello del ministro della Giustizia sembra un tentativo tardivo di ridimensionare gli scontri intestini e i veti incrociati che a fine ottobre hanno portato prima a inserire e poi a ritirare dall’ordine del giorno del Consiglio dei ministri l’annunciato giro di vite contro i dossieraggi informatici. Il provvedimento, infatti, sembrava aver incontrato, da un lato la resistenza del Viminale e dell’agenzia per la cybersicurezza Nazionale diretta da Bruno Frattasi, dall’altro l’opposizione politica di Forza Italia, che aveva manifestato preoccupazione per il rischio di trasformare la Dna in una sorta di Superprocura con competenze di indagine sui cyber reati.
Un rischio in realtà smentito da più fonti di Via Giulia: la Dna manterrebbe i compiti di coordinamento dei reati informatici, in tema di mafia e terrorismo, e le singole direzioni distrettuali la competenza sulle indagini ordinarie. Ora la proposta di inserire due nuove norme nel testo in discussione. Il primo intervento riguarderebbe la modifica del reato di estorsione telematica, commesso attraverso i cosiddetti ransomware. Il dl Sicurezza cyber approvato quest’estate aveva già innalzato le pene, dando ai pm la possibilità di intercettare e richiedere misure cautelari. La nuova formulazione consentirebbe di spostare una maggiore attenzione sull’intrusione abusiva nei sistemi informatici; che poi è il vero tema scatenato dall’inchiesta milanese sul caso Equalize, ultimo di una serie di scandali che hanno come filo conduttore il mercato dei dossieraggi e macroscopiche violazioni nell’accesso informatico a banche dati segreti e a dati sensibili, dal bancario spione di Banca Intesa di Bari ai dati dei clienti fino al caso del finanziere Striano. Il secondo ambito di intervento, forse il più rilevante, riguarderebbe l’utilizzabilità delle intercettazioni in tema di cyber reati originati da fascicoli di altre Procure. L’intento è quello di equiparare alcuni reati informatici alla disciplina che regola mafia e terrorismo, per rendere più snella la trasmissione di atti nati in procedimenti diversi. Un provvedimento che riconoscerebbe così che determinate violazioni penali non sono più “minori”, ma hanno preso connotati di spionaggio industriale e nascondono una complessità criminale organizzata.
Sugli scandali delle banche dati violate nei giorni scorsi è intervenuto anche l’avvocato Roberto De Vita, presidente dell’Osservatorio Cybersicurezza di Eurispes. Secondo De Vita, fra i più rispettati esperti del settore, il tema non è tanto l’assenza di strumenti repressivi, ma la carenza nella prevenzione, e cioè nella difesa di quei dati sensibili da parte delle istituzioni che li raccolgono: “Sono numerosi i casi che dimostrano la debolezza degli alert preventivi e della tempestività della scoperta, oltre che una scarsa propensione alla condivisione immediata con le autorità di vigilanza e l’autorità giudiziaria (a frenare è alle volte il timore della lesione reputazionale o il timore di potenziali sanzioni derivanti da disfunzioni organizzative). Ma il dato macroscopico riguarda l’ancora strutturale mancanza di monitoraggio capillare automatizzato degli accessi alle banche dati, che attraverso algoritmi riesca a costruire indici di rischio comportamentale che consentano poi di orienta- re selettivamente il controllo su specifici accessi e condotte di dipendenti.
Tale mancanza non dipende da complessità tecniche, ma da una colpevole sottovalutazione del rischio, da una idea “proprietaria” dei dati raccolti e da una presunzione di insindacabilità del loro utilizzo interno”.
