Il “software spia” l’hanno voluto anche 5S e Pd e lo usa la Nato

Domenica sera, almeno un milione di persone si sintonizzeranno su Rai3 per guardare Report, aspettandosi di scoprire uno scandalo di dimensioni epocali: un "software spia" installato su 40mila computer di tribunali e procure italiane, per giunta all'insaputa dell'allora ministro della Giustizia Alfonso Bonafede, capace di "videosorvegliare i magistrati" senza lasciare traccia. Non solo. Un software che, stando alle anticipazioni, viene usato per i supermercati, ma non per i luoghi sensibili come le procure. Nulla di tutto questo, però, è vero.

Andiamo con ordine. Il programma "incriminato" ha un nome tecnico che a chi non mastica informatica suona come una sigla dei servizi segreti: ECM o SCCM. Oggi si chiama Microsoft Endpoint Configuration Manager e chi lavora in una banca, in un'assicurazione o in una grande azienda, con ogni probabilità se lo ritrova installato anche sul proprio computer. Non è un virus, non è un trojan e non è stato creato per spiare nessuno. Serve a una cosa molto banale: evitare che un tecnico debba girare fisicamente per tutti i 40mila pc degli uffici delle procure ogni volta che c'è da installare un aggiornamento di Windows, un nuovo antivirus o fare semplicemente manutenzione. Senza questo strumento, la giustizia italiana, già lenta di suo, si fermerebbe al primo problema tecnico.

Nell'inchiesta di Report, questo software viene descritto come un prodotto per i "totem dei supermercati", quasi a voler dire che il Ministero ha usato una tecnologia di scarto, utile per controllare dolosamente i fascicoli riservati. È una ricostruzione completamente falsa. Questo programma è lo standard mondiale per la sicurezza delle reti complesse. Il Dubbio ha recuperato un documento della NATO in cui compare la sigla SCCM (Microsoft System Center Configuration Manager) nella lista delle abbreviazioni usate nei processi di gestione della configurazione. Questo indica che l'organizzazione utilizza il software, lo stesso "incriminato" da Report. Ma non solo. In una descrizione di posizione lavorativa della NATO, tra i compiti c'è il mantenimento e l'amministrazione di sistemi di gestione endpoint Microsoft. Così come c'è un documento di un bando della NATO che avvia una procedura per selezionare fornitori di servizi di formazione commerciale. Tra questi, emerge l'ex SCCM. Questo perché parliamo di un software noto proprio per le sue capacità di sicurezza avanzate. SCCM è certificato per conformità FIPS 140-2 e NSA Suite B, standard crittografici richiesti per ambienti governativi sensibili.

Tolto ogni dubbio sull'affidabilità di questo software, passiamo all'altro allarme lanciato da Report. Il punto di partenza è il presunto "software spia" (e abbiamo visto che è una bufala) che non lascerebbe tracce. È un'affermazione che fa a pugni con la realtà tecnica. Nel mondo dei computer, l'invisibilità totale non esiste, specialmente quando si parla di programmi professionali usati dallo Stato. Ogni volta che un tecnico del Ministero si collega a un computer per risolvere un problema – cosa che accade migliaia di volte al giorno in una macchina complessa come quella giudiziaria – il sistema scrive una sorta di "verbale digitale". Sono i file di log, una scatola nera che memorizza il nome di chi entra, l'ora esatta e ogni singola operazione compiuta. Un magistrato che avesse il dubbio di essere spiato non avrebbe bisogno di un esorcista informatico: basterebbe che un perito aprisse quel registro per trovare le impronte digitali di chiunque si sia avvicinato al suo computer.

Ma c'è un altro aspetto che smonta la narrazione della "sorveglianza occulta" ed è il confronto con il resto dello Stato. Se questo programma fosse davvero il cavallo di Troia per spiare i poteri dello Stato, allora dovremmo preoccuparci per molto più di una quarantina di procure. Come abbiamo visto, questi software sono scelti proprio perché garantiscono standard di sicurezza internazionali, gli stessi richiesti dalla NATO per le sue reti . Ma Report, come se non bastasse, ha puntato molto sulla suggestione del "controllo remoto" attivabile a tradimento. È la classica tecnica della mezza verità. Qualsiasi strumento di assistenza ha una funzione di controllo, altrimenti non servirebbe a nulla. Ma un conto è avere la chiave di una porta, un altro è aprirla di nascosto . Per spiare davvero un magistrato, un tecnico dovrebbe violare non solo le regole del Ministero, ma anche le barriere informatiche del sistema operativo, lasciando dietro di sé una scia di allarmi che scatterebbero in tutta la rete. Invece di raccontare questo, si è preferito dipingere un quadro in cui tecnici infedeli osservano le vite degli altri in totale impunità.

Per rendere il tutto più suggestivo, ecco che viene intervistato un giudice del tribunale di Alessandria che racconta come un tecnico, da remoto, gli abbia potuto leggere tutto ciò che ha scritto sul suo PC, e senza che se ne accorgesse. La spiegazione è di una banalità disarmante. Una volta chiarito che nei PC della pubblica amministrazione, e quindi anche delle procure, sono presenti software per l'assistenza da remoto o strumenti integrati come questo software di Microsoft, alcuni richiedono l'approvazione esplicita, altri consentono di intervenire sul PC senza chiedere il permesso. Questo perché nella totalità dei casi vengono utilizzati dagli addetti ai servizi informatici per l'installazione di aggiornamenti software, patch sulla sicurezza, operazioni che possono avvenire in qualsiasi momento della giornata, quando non sempre può esserci fisicamente un magistrato davanti allo schermo.

Ma davvero nel 2019 questi software sono stati installati all'insaputa dell'allora ministro Bonafede? No, come scrive la collega Simona Musco. Del resto i bandi di gara sono pubblici. Nei dataset del Ministero della Giustizia relativi alla Legge 190/2012 (anticorruzione), alla voce "DGSIA", compaiono gli affidamenti diretti in adesione a Convenzioni Consip. Alla voce CIG 8151833167 (2019), appare l'acquisto di licenze per 42.882 postazioni di lavoro. Adesione che compare nella convenzione Consip "Microsoft Enterprise Agreement". E il bello è che, come risulta dalla scheda di sintesi dei contratti del Ministero, ad aprile del 2022, quindi Governo Draghi con l'allora PD, si avvia una procedura negoziata per la fornitura del servizio Microsoft Unified Support per 12 mesi. Praticamente è la riacquisizione dei software installati nel 2019. Rinnovi che ci saranno anche nel 2024. Stiamo dicendo che questa tecnologia ha attraversato ben tre governi. Il giornalismo che ama i teoremi ha trasformato una manutenzione ordinaria in un complotto Orwelliano. Ma basta guardare le date e i nomi dei contratti per capire che l'occhio del "Grande Fratello" è in realtà solo il lavoro, a volte noioso ma indispensabile, di chi deve far funzionare i computer di una giustizia già malandata di suo.