da Guerre di Rete – newsletter di notizie cyber a cura di Carola Frediani

Era il 26 aprile 2021 quando a Roma, alla Direzione centrale della polizia criminale, veniva inaugurata la nuova sala C-SOC (Cyber Security Operations Center) all’interno del Servizio per il Sistema informativo interforze.
“La nuova sala operativa, una struttura d’avanguardia, si occuperà di proteggere le banche dati interforze, da eventuali malfunzionamenti o da attacchi informatici, attraverso un complesso sistema di controlli e allarmi gestiti da software e operatori specializzati nell’analisi del funzionamento dei sistemi informatici”, recitava il comunicato della polizia [grassetti miei]. “La funzione del C-SOC è quella di vigilare sulla sicurezza dei sistemi informativi presenti nella Direzione centrale della polizia criminale, affinché tutte le informazioni possedute (sui documenti, sulle persone, sui veicoli) siano adeguatamente protette; nello stesso tempo garantisce la protezione dei dati personali per evitare che questi vengano dispersi”.

Si tratta di una struttura, definita d’avanguardia, finanziata dai fondi europei, “per la prevenzione e l’intervento tempestivo sugli incidenti alle banche dati delle forze di polizia, di natura accidentale, naturale o dolosa, come gli attacchi hacker”, spiegava nel 2021 la Rivista trimestrale di perfezionamento delle forze di polizia.

Si tratta probabilmente del Fondo di Sicurezza Interno 2014-2020 (che rientra nei fondi europei per la sicurezza) attraverso il quale nel 2018 viene finanziato il progetto e realizzazione del Cyber Security Operations Center delle Banche Dati del Sistema Informativo Interforze per quasi 2 milioni di euro, stando a un documento del Ministero dell’Interno visionabile online.

“La sala operativa [del C-SOC] si trova presso la Direzione Centrale della Polizia Criminale”, scriveva AreaNetworking in una intervista del 2022 ai dirigenti, “che tra le altre attività che svolge nell’ambito delle forze anche internazionali, gestisce i sistemi informativi interforze, ossia un insieme di banche dati alimentate e consultate da tutte le forze di polizia. Tra queste banche dati vi sono: il c.d. CED Interforze, ovvero il Centro elaborazione dati del Ministero dell’Interno istituito con la Legge 121/1981, la banca dati nazionale del DNA e il sistema informativo Schengen di nuova generazione”.

Come si vede la consapevolezza della necessità di proteggere le nostre banche dati strategiche, insieme a iniziative e fondi, era presente da anni. Uno dei pilastri di queste banche dati, e dell’inchiesta della Dda di Milano (quella comunemente definita dei dossieraggi), è infatti il sistema che fa capo al CED Interforze – e che contiene l’ormai stranoto SDI, Sistema D’Indagine.

Il Centro Elaborazione Dati del Ministero dell’Interno, detto anche CED Interforze, è stato istituito dall’art. 8 della legge 1° aprile 1981, n. 121 col compito di curare la raccolta delle informazioni e di gestire la banca dati del Dipartimento di Pubblica Sicurezza. I dati raccolti sono custoditi nel cosiddetto Sistema Informativo Interforze (definito spesso anche Sistema D’Indagine o SDI, da una sua banca dati) che sono posti a disposizione delle forze di polizia.

SDI, scriveva anni fa la Rassegna dell’Arma, pubblicazione dei Carabinieri, “è un sistema chiuso, accessibile, cioè, solo da postazioni di lavoro certificate che consentono l’acquisizione delle informazioni in sede locale utilizzando una rete intranet, senza esporsi ad interazioni con la rete pubblica. L’accesso alla Banca Dati, quindi, è possibile solo a persone debitamente autorizzate in sede locale dal proprio Funzionario/Ufficiale Responsabile e previa abilitazione di un apposito profilo, diversificato a seconda delle informazioni che il personale deve conoscere, in ragione delle mansioni da svolgere”.

Come ci accedono gli operatori autorizzati? Tramite “l’inserimento di una password unica e personale”, scriveva nel 2023 la rivista specialistica Sicurezza e Giustizia, “assolutamente non cedibile a terzi, motivando altresì a sistema, il motivo tale per cui si accede in banca dati (Es, controllo durante un posto di blocco, indagini in corso, rilascio di porto d’ armi, ricerca persone, cose, autovetture, ecc.)”.

L’inchiesta di Milano

Nell’inchiesta della Dda di Milano sui presunti dossieraggi che ruotavano attorno all’agenzia di investigazioni private Equalize, l’accesso alle banche dati strategiche è centrale. Si parla delle banche dati delle Agenzie delle Entrate Punto Fisco e Serpico, la banca dati SIVA che contiene le SOS ovvero Segnalazioni Operazioni Sospette in ambito finanziario, l’ANPR, con le informazioni anagrafiche dei cittadini, la banca dati INPS, e perfino la delicatissima banca dati FSE (Fascicolo Sanitario Elettronico). Ma a fare da padrona nell’inchiesta tratteggiata nell’inchiesta milanese è proprio lo SDI o Sistema d’Indagine delle forze di polizia, cui accedono una grande quantità di operatori.

Sono proprio i dati ottenuti dallo SDI a essere alla base dei presunti “dossieraggi” realizzati dal gruppo, sostengono gli inquirenti. La via principale sembra essere il passaggio di queste informazioni da una rete di funzionari che hanno accesso al sistema e che farebbero le interrogazioni su richiesta del gruppo, dice l’accusa. Insomma, un tipico problema di insider threat, espressione con cui si indica un dipendente infedele, oppure un ex-dipendente o anche un collaboratore esterno che abbia (o abbia avuto) accesso alla rete e che usi questo accesso per sottrarre dati (o eseguire altre attività malevole).

È quindi una minaccia interna alla confidenzialità dei dati che, ricordiamolo, rientra tra i rischi previsti in ambito cybersicurezza e che quindi prevede anche una serie di misure con cui monitorare e mitigare questi rischi.

Gli inquirenti descrivono anche delle altre presunte vie d’accesso più diretto a queste banche dati, ad esempio attraverso delle backdoor su un “disaster recovery” dei dati situato in un luogo diverso dalla sede di Roma del CED, e sembrano convinti di queste altre vie, ma per loro stessa ammissione su questo aspetto sembrano avere meno riscontri tecnici.

Su un elemento però insistono molto: i dati estrapolati da SDI sono centrali nell’attività di presunto dossieraggio del gruppo. Più in generale riconoscono il valore di mercato di queste informazioni per un grande numero di soggetti privati che vendono investigazioni e advisoring. Sono una miniera d’oro, per scopi privati e politici e come arma di ricatto. Ricatti che non vediamo normalmente, che non emergono sempre in scandali, che spesso si risolvono in forma di accordi privatistici ed extragiudiziali.

Un fenomeno giudicato in crescita, almeno quanto la digitalizzazione della pubblica amministrazione. Si percepisce anche la frustrazione di chi indaga, nel momento in cui vede accedere una serie di soggetti sotto inchiesta alla banche dati strategiche nazionali più rapidamente di chi sta esercitando le funzioni di polizia giudiziaria.

Ogni individuo e società coinvolta nell’indagine milanese avrà modo di chiarire le proprie posizioni, e resta per tutti la presunzione di innocenza. Ma se ci astraiamo dai casi singoli e guardiamo il disegno complessivo che emerge dall’inchiesta è una rete fitta di agenzie private, investigatori, consulenti, pubblici ufficiali, ex membri di forze dell’ordine, soggetti in relazione coi servizi, che fanno delle informazioni confidenziali il loro business quotidiano.

Quanti altri casi esistono nel Paese che meriterebbero un approfondimento di indagine? E quanto possono stare le nostre banche dati strategiche ancora a rischio di essere saccheggiate per potere e denaro, per citare sempre gli inquirenti?

Sempre su questo caso:
– Come funziona Beyond, il database finito al centro dell’inchiesta sui dossier – Luca Zorloni, Wired Italia
– Agenzia per la cybersicurezza nazionale, perché se ne parla nell’inchiesta sui dossieraggi, sempre Luca Zorloni, Wired Italia

Attacchi al Ministero della Giustizia: Di questo caso, ma soprattutto della sicurezza delle nostre infrastrutture critiche, a partire dall’indagine su Miano (violazioni del ministero Giustizia e Procure) abbiamo parlato martedì scorso in questa live che potete rivedere qua.
VIDEO Youtube.

Sul tema Giustizia e digitalizzazione in generale segnalo i frequenti articoli di Claudia Morelli, Avvocato4.0, su Altalex.

Foto AGI