Il recente di Nunzio Samuele Calamucci, sospettato di essere a capo di una rete criminale dedita alla raccolta illecita di dati sensibili, ha portato a galla nuovi rischi per la sicurezza informatica e persino per la tenuta democratica del Paese. Al centro dell’inchiesta, che ha portato all’arresto di altri tre indagati e che essendo ancora agli inizi potrebbe rivelare aspetti ancora più inquietanti, ci sono le società Mercury Advisor, di cui Calamucci è socio, e soprattutto Equalize, società milanese formalmente impegnata nella Business Intelligence e nella gestione della reputazione aziendale, ma accusata di utilizzare accessi riservati per creare dossier sfruttando dati riservati.

Un elemento chiave del caso è l’accesso allo Sdi (Sistema d’Indagine Informatico), un archivio di dati riservato alle forze di polizia italiane contenente informazioni personali derivanti da altre banche dati pubbliche, come fisco e catasto. Sebbene l’accesso a questo sistema sia rigidamente regolato, sembra che Calamucci e la sua organizzazione abbiano approfittato di poliziotti corrotti che violavano le norme e fornivano dati sensibili a Equalize senza lasciare traccia.

Oltre agli accessi abusivi allo Sdi, l’organizzazione di Calamucci avrebbe usato tecniche avanzate di hacking, incluso l’impiego di RAT (Remote Access Trojan). Questo tipo di malware consente l’accesso remoto ai dispositivi infettati, permettendo di intercettare dati e monitorare attività senza che l’utente ne sia a conoscenza. L’inchiesta suggerisce che l’organizzazione riusciva a infiltrarsi persino nei sistemi del Ministero dell’Interno grazie a trojan inseriti nei server, una pratica che mette in discussione la sicurezza delle infrastrutture statali.

Nonostante la sofisticazione tecnologica, molte delle tecniche di spionaggio utilizzate da Equalize risultano sorprendentemente “tradizionali”. Come spiegato dall’esperto informatico Paolo Dal Checco, la rete di Calamucci si basava su pratiche di corruzione di funzionari e su dipendenti infedeli per ottenere accesso ai dati, sfruttando la scarsa sorveglianza interna sui permessi di accesso.

Nelle indagini, è emerso anche il frequente uso di “copie forensi” per raccogliere e conservare i dati. Queste copie, effettuate nel rispetto di normative legali, consentono di cristallizzare il contenuto di dispositivi digitali per l’uso in ambito giudiziario. Tuttavia, quando queste copie vengono utilizzate senza autorizzazione, possono compromettere seriamente la privacy delle persone coinvolte.

equalize

Di fronte a questa situazione, e con l’aumento degli attacchi informatici e accessi illeciti ai dati sensibili, il governo italiano sta accelerando sulle nuove regole per proteggere le banche dati. Gli strumenti proposti includono alert in caso di intrusioni, password usa e getta, rotazione delle responsabilità e stop agli accessi da remoto. Le linee guida, attese a novembre, rappresentano un passo importante per contrastare un problema globale, visto che l’Italia, come gli Stati Uniti, la Germania e altri Paesi, è costantemente esposta a violazioni informatiche, spesso aggravate dall’inadeguatezza delle infrastrutture pubbliche nel tenere il passo con la digitalizzazione.

A Palazzo Chigi, un tavolo di confronto tra il sottosegretario Alfredo Mantovano, la Banca d’Italia, l’Agenzia per la Cybersicurezza Nazionale e la Guardia di Finanza ha esaminato misure organizzative e amministrative per rafforzare il controllo sugli accessi alle banche dati. I vertici hanno proposto un sistema di verifiche periodiche e alert per prevenire abusi, con controlli che testino la sicurezza delle infrastrutture digitali.

A novembre verrà finalizzato un “decalogo” destinato in primo luogo a forze dell’ordine e intelligence. Le nuove regole mirano a una gestione più rigorosa, con accessi monitorati e tracciabilità garantita da team di lavoro soggetti a rotazione. Inoltre, i responsabili dei controlli saranno penalizzati in caso di negligenza e le infrastrutture dovranno rispondere agli standard di sicurezza più elevati suggeriti dall’Agenzia per la Cybersicurezza Nazionale.

A sostegno di questo piano, la legge sulla cybersicurezza approvata nel giugno 2024 ha inasprito le pene per accessi abusivi e prevede investimenti significativi per migliorare la protezione dei dati pubblici. Il ministro della Giustizia Carlo Nordio ha inoltre avvertito dell’impatto futuro dell’intelligenza artificiale, che potrebbe rendere ancora più complessa la gestione dei dati attraverso la loro manipolazione.