Il software "spia" denunciato da Report è sicuro. Parola dell’allora ministro Bonafede

«Il fornitore selezionato ha operato in modo conforme alle prescrizioni nazionali ed euro unitarie». Il 23 dicembre 2020, l’allora guardasigilli Alfonso Bonafede liquidava così i dubbi messi nero su bianco in un’interrogazione a risposta scritta della deputata Carolina Varchi (FdI). Al centro del quesito: le garanzie offerte da Microsoft per la tutela dei dati giudiziari trattati e raccolti nel sistema in forza al ministero nel periodo Covid. Sistema ricompreso nella Convenzione Consip Microsoft Enterprise Agreement 4, nella quale rientra anche l’agent per l’aggiornamento da remoto di tutte le macchine del ministero oggi nel mirino di Report.

La risposta di Bonafede - che, dunque, era informato sul sistema utilizzato e scelto tramite bando dal Dipartimento dell’Organizzazione giudiziaria - riguardava il modello gestionale telematico del processo penale e il rispetto, tra le altre cose, del principio di segretezza delle indagini. E il sistema risale al 2017, quando via Arenula ha acquistato le licenze a valere sulla Convenzione Consip, attiva sin dal 2011. «La validazione preventiva dell’idoneità di tali prodotti - aveva aggiunto Bonafede -, ai fini dell’inserimento nelle Convenzioni Consip, è stata effettuata dall’Agenzia per l’Italia digitale, secondo le linee del codice dell’amministrazione digitale (decreto legislativo n. 82 del 2005) e del piano triennale per l’informatica». I prodotti, aveva dunque detto l’allora Guardasigilli, sarebbero «conformi» alle prescrizioni legge. Insomma, tutto a norma di legge secondo Bonafede. E anche secondo la procura di Roma, che ieri ha rotto il silenzio: l’ufficio capitolino ha infatti aperto nei mesi scorsi un fascicolo a modello 45, ossia senza indagati o ipotesi di reato per verificare eventuali reati. Ma l’esito è stato negativo: non sarebbero emersi, infatti, profili penalmente rilevanti in riferimento al rischio di vulnerabilità informatica del sistema. Sarà dettata da questo la tranquillità dimostrata dietro le quinte dagli stessi magistrati.

La notizia, infatti, sembra suscitare ben poca preoccupazione. Proprio per evitare inutili allarmismi, 12 consiglieri del Csm (Basilico, Cosentino, Chiarelli, Morello, M. Carbone, Abenavoli Miele, Fontana, Mirenda, Romboli, Papa, E. Carbone) hanno chiesto l’apertura di una pratica. «In relazione alla notizia divulgata da numerosi organi di informazione, secondo la quale il programma informatico Ecm, installato nei personal computer distribuiti dal ministero della Giustizia agli operatori giudiziari, tra cui i magistrati, consentirebbe la possibilità di accedere da remoto – all’insaputa dell’utente e senza lasciare tracce dell’accesso – anche a qualsiasi soggetto con permesso di amministratore - si legge nella lettera indirizzata al comitato di presidenza -, chiedono l’apertura urgente di una pratica volta a verificare quali siano stati e siano attualmente i presidi di sicurezza adottati al fine di scongiurare il rischio di accessi anonimi e illeciti alle postazioni di lavoro dei magistrati e del personale di cancelleria». Non un gesto di preoccupazione, fanno sapere da Palazzo Bachelet, ma di «prudenza». Contemporaneamente, la VII Commissione ha chiesto al ministero informazioni per chiarire la questione. Una richiesta che rientra nella più ampia pratica aperta sulla sicurezza dei sistemi informatici. «Non c’è panico - spiega una fonte del Csm - la nostra intenzione è verificare il livello di sicurezza per garantire tranquillità e massima sicurezza. Ma la sensazione generale e condivisa è che si tratti di una bolla di sapone».

La conferma arriva anche da una grande procura italiana, un ufficio giudiziario importante che era in ritardo rispetto all’installazione del software e i cui vertici (che preferiscono rimanere anonimi), a seguito di esplicito quesito del Magistrato di riferimento per l’innovazione, hanno assicurato al Dubbio di aver ricevuto dalla Dgsia, nel 2024, un’attestazione scritta sullo standard di sicurezza. Se si trattasse di una macchinazione ordita per spiare i pc delle procure e dei giudici, dunque, vorrebbe dire che i complici sono tanti, interni, per giunta, al Dipartimento per l’innovazione tecnologica della giustizia, dove a lavorare sono soprattutto magistrati. In fondo, come riportiamo in un altro pezzo su queste pagine, è un software usato anche dalla Nato. Il ministero, dal canto suo, sostiene che ogni macchina è intrinsecamente esposta a rischi, ma che il sistema in dotazione a via Arenula è in grado di intercettare e rilevare tempestivamente ogni intrusione. Tant’è che lo stesso magistrato contattato dal Dubbio porta l’esempio di quanto accaduto nel suo ufficio qualche mese fa, quando un aggiornamento ha disattivato temporaneamente le protezioni e il ministero ha immediatamente segnalato l’anomalia come “manovra sospetta”. Insomma, uno stress test andato a buon fine.

Ma emerge di più. Secondo quanto riferito dal magistrato, contattato dalla redazione del programma. Report avrebbe iniziato ad indagare sul sistema in questione almeno nella primavera del 2025. Non sembra un caso, dunque, che la notizia sia emersa proprio a ridosso dei referendum. Come diversi magistrati hanno sottolineato al Dubbio, la consultazione era già data per certa per la primavera del 2026 - come ribadito a più riprese dallo stesso ministro Carlo Nordio - suggerendo l’immagine di una “bomba” a orologeria, conservata con cura per il momento più delicato. A ridimensionare l’allarme è anche un magistrato che ha ricoperto un ruolo di vertice a via Arenula. «Sembra una notizia un po’ enfatizzata - ha spiegato -. Le dico solo questo: ogni volta che ci connettiamo ai programmi ministeriali, ogni mattina, ma anche dopo alcune ore nell’ambito della stessa giornata, siamo invitati a reimmettere la password e il codice, la cosiddetta identificazione a due fattori. Non so se questo tuteli rispetto ad ogni possibile aggressione, però credo che questo sia un meccanismo di sicurezza. Quel che è certo, è che non siamo di fronte ad uno spionaggio: non è uno spyware». Nonostante ciò, ad esprimere «grande preoccupazione» sono alcuni magistrati di Unicost - Michele Ciambellini, Annamaria Frustaci e Italo Federici -, secondo cui tale vulnus potrebbe incidere «non solo sulla segretezza e sulla riservatezza degli atti giudiziari, ma anche sulla tutela della privacy del personale coinvolto».

In attesa che il ministero fornisca i chiarimenti richiesti dal Csm, il sospetto è che la partita si giochi più sul piano della comunicazione politica che su quello della sicurezza informatica. Se di “bomba” si tratta, bisognerà vedere se esploderà nelle urne referendarie o se finirà per sgonfiarsi tra le maglie tecniche dei protocolli Microsoft.