Report e quel software che non spia: anatomia di una suggestione tv

Non è un software spia. Non è un trojan di Stato. Non è uno strumento pensato per controllare i magistrati. Report ha mandato in onda il suo servizio domenica sera, e Sigfrido Ranucci ha dovuto precisarlo, a differenza di come tanti giornali avevano scritto prima. A differenza de Il Dubbio, che ha approfondito la questione.

La premessa cautelativa c'è stata, viene scandita all'inizio: niente spyware, niente intercettazioni occulte. Subito dopo, però, parte la rappresentazione. Tecnici che “possono entrare nei pc”, parametri che “si possono cambiare”, documenti che “si possono manipolare”. Il risultato è prevedibile: lo spettatore medio non ricorda la premessa, ricorda la paura. Ed è su quel sospetto che si regge l'intero impianto del servizio.

Prendiamo il tecnico intervistato da Report, un perito delle procure, che mostra come sia semplice modificare impostazioni da amministratore. È una semplificazione forzata. I tecnici della manutenzione ordinaria non hanno le credenziali per fare queste cose. Gli amministratori di sistema, quelli veri, sì, ma sono monitorati passo per passo. Ogni azione lascia tracce nei log, e c’è un audit continuo che controlla tutto.

Non è roba da film, dove uno clicca e sparisce. Se qualcuno prova a fare il furbo, scattano allarmi in tutta la rete. Il software al centro della narrazione è il Microsoft Endpoint Configuration Manager, ex SCCM. Un sistema di gestione degli endpoint usato da anni in grandi aziende, banche, ministeri, organizzazioni internazionali. Come abbiamo già scritto su Il Dubbio , lo usa la Nato e ciò emerge da documenti dell’Alleanza. Non è fatto per spiare, ma per evitare che un tecnico debba correre in tutti gli uffici delle procure ogni volta che c’è un problema. Senza strumenti del genere, la macchina giudiziaria italiana, già fragile, si paralizzerebbe alla prima falla di sicurezza.

Report lo sa. E infatti non contesta il software in sé. Sposta l'attenzione altrove. Costruisce uno scenario ipotetico: il tecnico infedele. Nel servizio viene mostrato un perito informatico che, in laboratorio, dimostra quanto sia “facile” intervenire sui parametri di un computer. È una scena efficace, televisivamente perfetta. Peccato che non descriva il funzionamento reale di un'infrastruttura come quella del ministero della Giustizia. Nei pc degli uffici giudiziari il magistrato non ha privilegi di amministratore. Il tecnico che fa manutenzione non ha accesso illimitato. I ruoli sono separati, i poteri segmentati, le operazioni tracciate. Ogni intervento amministrativo lascia log, orari, identità. Altro che invisibilità.

Dire che “un tecnico potrebbe farlo” è una banalità. È come dire che un impiegato potrebbe falsificare un atto. Oppure che lo stesso cancelliere di una Procura può duplicare un fascicolo cartaceo e usarlo per scopi malevoli. Vero in astratto, irrilevante senza un caso concreto. E il caso concreto, dopo sei mesi di indagini da parte della procura romana, non c'è. Questo è il fatto che Report ha solo riportato velocemente, come se fosse un dettaglio trascurabile. La Procura di Roma ha indagato sull'ipotesi che il ministero della Giustizia abbia spiato i magistrati attraverso questo sistema. L'ipotesi non è stata accolta. Nessun sistema predisposto per controllare, nessuna prova di spionaggio. Una conclusione netta. Che però non cambia l’impianto del servizio, né ne ridimensiona il tono. Al contrario, l’Anm cavalca la trasmissione, nonostante a indagare siano stati i magistrati che rappresenta. Un cortocircuito.

Altro punto chiave della narrazione è quello del “consenso”. Report suggerisce che il tecnico possa intervenire senza che il magistrato lo sappia. È vero. Lo ha testimoniato il giudice di Torino che ha sollevato il caso. Ed è normale. In una rete con decine di migliaia di macchine, gli aggiornamenti di sicurezza non chiedono il permesso. Se c'è un attacco informatico in corso, non si aspetta che novemila magistrati tornino in ufficio a cliccare “ok” su una finestra. La sicurezza funziona così.

C’è poi un’assenza che pesa più di molte parole: la DGSIA. La Direzione generale per i sistemi informativi automatizzati del ministero della Giustizia. È l’organo che progetta, gestisce e controlla l'infrastruttura informatica della giustizia. Non una centrale oscura di tecnici senza volto, ma una struttura composta soprattutto da magistrati fuori ruolo, pensata proprio per garantire il raccordo tra tecnologia, sicurezza e regole processuali. La domanda che Report non pone mai è semplice: dovremmo pensare che i magistrati spiano i magistrati?

Ma arriviamo a un’altra suggestione. Quella del post Facebook di Ranucci il giorno prima della puntata. Scrive: “Ma perché il senatore Gasparri si agita tanto sullo scoop di Report sul software installato sui pc dei magistrati? Non si è ancora reso conto che l'hanno confermato un giudice, due procure che indagano, e lo confermano numerosi audio di dirigenti del Ministero. Come mai si agita sui dossieraggi? Non è che magari si scopre che a installare i software e a chiedere dossier sono soci o persone che gravitano intorno alla Cyberealm, la società di cui era presidente e che aveva soci ex agenti del Mossad?”.

Parliamo della società di cybersecurity di cui il senatore Maurizio Gasparri era presidente fino al 2024. Gasparri si è dimesso dopo le inchieste di Report che resero noto il suo ruolo. Tira in ballo Gasparri, i dossieraggi, la società Cyberealm, ex agenti del Mossad. Nel servizio tutto questo non c’è ancora, ma la suggestione è lanciata. È il metodo classico: anticipare lo scenario, seminare collegamenti, preparare il terreno. Cherry picking allo stato puro.

La realtà, però, è meno cinematografica. La gestione del software MECM per il ministero della Giustizia passa da accordi quadro Consip, forniture pubbliche, contratti che attraversano governi di colore diverso. Atlantica Digital, una partecipata della Cyberealm, è uno dei soggetti che forniscono supporto sistemistico e servizi Microsoft nell'ambito di queste convenzioni. Ma non è l'unica ad avere accessi, né esiste un soggetto che “ha le chiavi” in senso assoluto. I livelli di controllo sono distribuiti, regolati, verificabili.

Analizzando i decreti di pagamento della DGSIA emessi tra il 2024 e l’inizio del 2026, si scopre che il ministero della Giustizia non ha consegnato le chiavi di casa a un unico soggetto “oscuro”. Il controllo operativo del software incriminato è frammentato tra decine di player. Solo nel 2024 e nei primi mesi del 2025, i mandati di pagamento ministeriali mostrano un “esercito”. TIM S.p.A. e Leonardo gestiscono la sicurezza perimetrale e i servizi di telepresenza, con contratti identificati dal codice CIG 990255246C. Italware S.r.l. ha fornito migliaia di PC portatili alle Procure attraverso il contratto CIG 89220157B0. Engineering Ingegneria Informatica sovrintende all'area penale con il CIG 73479643B7. Almaviva, Lutech e Accenture gestiscono l'infrastruttura Cloud (altro sistema che teoricamente può essere facilmente violato) e i servizi di “System Management” tramite il CIG 97947313B8. Converge S.p.A. e Vodafone si occupano dei cablaggi e della connettività fisica degli uffici con il CIG 9093375A6E.

Quanto agli ex appartenenti ai servizi di intelligence che lavorano oggi nel settore della sicurezza informatica, non c'è nulla di anomalo. Chiunque mastichi un minimo di difesa digitale sa che il mercato della sicurezza informatica è popolato, in tutto il mondo, da professionisti che provengono dai servizi segreti o dalle forze armate. Vedere un ex Mossad, ex Cia, ex Kgb, o ex servizio segreto nostrano che, lasciato il servizio, diventa imprenditore della sicurezza è come stupirsi se un ex pilota di Formula 1 apre una scuderia: è la norma. Altro discorso è se è stato commesso qualcosa di illegale, approfittando delle sue competenze. Alla fine resta una domanda. Se non c’è un trojan, se la Procura di Roma non ha trovato nulla, se i sistemi sono gestiti da strutture pubbliche controllate, perché mandare in onda un servizio che insinua il contrario?