Il trojan sul cellulare di Luca Palamara, ex capo dell’Anm ed ex zar delle nomine, ha continuato a “lavorare” fino all’8 settembre 2019, ovvero ben tre mesi oltre la data di cessazione delle intercettazioni, fissata con decreto dal gip al 30 maggio. È quanto emerge dalle 15 pagine consegnate dagli uomini del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche al giudice per l’udienza preliminare di Perugia Piercarlo Frabotta, che dovrà ora decidere se le intercettazioni effettuate sul telefono del pm siano state o meno eseguite legittimamente. Al centro dell’ispezione, disposta dalle procure di Firenze e Napoli, l’architettura dei server della Rcs, la società che ha fornito lo spyware installato sul cellulare di Palamara e su quelli di decine e decine di indagati dalle diverse procure d’Italia. L’ipotesi della difesa è che i dati captati sul cellulare di Palamara siano passati attraverso un server “occulto” - collocato a Napoli - prima di finire su quello di Roma, a disposizione della Guardia di finanza, l’unico autorizzato ufficialmente a ricevere quei dati. Un fatto già ammesso dall’ingegnere di Rcs Duilio Bianchi - ora indagato assieme ad altre tre persone - e confermato dall’ispezione, dalla quale è emerso come la società si servisse, in un primo tempo, di un sistema fondato su un unico server centrale che faceva transitare i dati su quelli periferici attraverso internet, salvo poi optare, tra agosto e settembre 2019, per un sistema decentralizzato, con server nelle singole procure, attraverso un sistema di cifratura rinforzato. Il tutto dopo un misterioso trasferimento dei server da un palazzo all’altro del centro direzionale, fin dentro la procura di Napoli, all’oscuro di qualsiasi manovra. La testimonianza in aula In aula, ieri, il vice ispettore della Polizia postale Francesco Sperandeo ha confermato davanti al giudice quanto emerso dall’ispezione, aggiungendo, inoltre, di non poter escludere «la possibilità che le attività siano continuate» dopo il termine disposto dal giudice. Dall’ispezione è emerso infatti che la prima connessione del server con lo spyware installato sul telefono di Palamara risale al 2 maggio 2019, mentre l’ultima l’8 settembre alle 20.46. L’ultima “istruzione” impartita dal server al trojan risale a pochi minuti prima, ovvero alle 20.20. «Potrebbe esserci stata un’indicazione di registrazione, ovvero che il trojan comunicava di essere ancora vivo e presente all’interno del telefono del dottor Palamara - ha spiegato Benedetto Buratti, difensore dell’ex pm, al termine dell’udienza -. La Polizia postale non ha aperto i file ancora esistenti sul server Css, ma ci sono una ventina di cartelle riferibili a Palamara». La difesa punta ora alla perizia, per capire se i dati captati sul telefono dell’ex pm siano stati manipolati; perizia inutile, però, secondo il procuratore di Perugia, Raffaele Cantone. «Noi riteniamo che la questione degli impianti sia stata chiarita», ha detto, ammettendo poi che «è emerso un dato che può aprire una lettura ambigua e cioè il fatto che c’è un contatto di questo spyware a settembre, che a nostro modo di vedere è però irrilevante. Ovviamente non c’è nessuna prova che sia stata fatta una registrazione, ma c’è questo dato, un contatto che arrivava dal cellulare, come se ci fosse stato un impulso». Per il capo della procura, in ogni caso, le intercettazioni «sono legittime, fatte in modo rituale, rispettando i criteri», in quanto nonostante la presenza di un server sconosciuto, il tutto si è svolto comunque su di una macchina collocata in una procura della Repubblica. Motivo per cui non sarebbe necessaria una perizia, sulla quale il gup si pronuncerà dopo gli interventi delle difese e delle parti civili, previste per l’udienza del 4 giugno. La relazione Sono gli stessi ispettori del Cnaicpic ad affermare che le attività svolte non esauriscono «il novero degli accertamenti in astratto esperibili» e che, dunque, altro potrebbe emergere da un’analisi più approfondita. Dall’ispezione si rileva intanto un dato: una modifica improvvisa dell’architettura del sistema, tra agosto e settembre 2019, su decisione del management aziendale. Fino a quella data, la struttura aveva un carattere centralizzato, con un unico server Css ed un unico server Hdm installati a Napoli e serventi l’intero territorio nazionale, e diversi server Ivs presso le singole procure. Successivamente, invece, si è passati a più server Css, uno per ogni procura, senza più la necessità di smistare i dati verso gli Ivs tramite il server Hdm. E in mezzo a questi cambiamenti si è registrato il trasferimento dei server centralizzati dall’Isola E/7 del Centro direzionale ai locali della procura di Napoli, il tutto tenendo all’oscuro il procuratore partenopeo Giovanni Melillo. Ma quali sono le differenze tra le due architetture? Nel primo caso, il server Css “istruisce” il trojan che poi “restituisce” i dati al server attraverso un canale cifrato. Tale sistema, affermano gli agenti che hanno effettuato l’ispezione, «non garantisce univocamente che un determinato dato non possa esser stato modificato». I dati vengono inviati in maniera frammentata, per poi essere ricomposti da Css e inviati al server Hdm attraverso un indirizzo ip privato. Una volta completato il passaggio, i dati vengono automaticamente cancellati. Nel secondo sistema, invece, i dati arrivano direttamente al server finale, installato negli uffici delle singole procure, con un accesso al server maggiormente protetto e sottocartelle cifrate. Ma per quale motivo l’architettura del sistema è stata cambiata improvvisamente dopo aver terminato le operazioni sul cellulare di Palamara? E come incide, ciò, sulla legittimità di quelle intercettazioni? Riuniti i procedimenti Il gup Frabotta ha inoltre stabilito la riunione dei due procedimenti che riguardano l’ex procuratore generale della Cassazione, Riccardo Fuzio. La posizione di Fuzio, accusato di rivelazione di segreto d’ufficio, era stata stralciata dall’altro procedimento in corso a Perugia davanti al gup Angela Avila. Una richiesta che era stata avanzata dalla difesa, secondo cui si trattava di «ipotesi di reato connesse e contestuali».