La procura di Milano ha aperto un’indagine su un sistema di estrazione di informazioni da alcune importanti banche dati dello Stato italiano. La società di investigazioni private Equalize e altre cinque aziende avrebbero operato per conto di personaggi legati alla politica per raccogliere dossier sui propri avversari.
L’inchiesta ha svelato, secondo i dettagli diffusi dalla procura, un metodo relativamente semplice con cui le aziende incriminate avrebbero sottratto le informazioni sensibili dalle banche dati. Di conseguenza, le indagini potrebbero rivelare anche un problema di sicurezza informatica molto grave nelle istituzioni statali, che sarebbero quindi esposte agli attacchi non solo di società private come Equalize, ma anche di potenze straniere.
Non solo Equalize: le aziende coinvolte nell’inchiesta sul dossieraggio
Nell’inchiesta della procura di Milano sulla violazione delle banche dati dello Stato sono coinvolte in tutto 6 aziende. Equalize è la più esposta, ma nei documenti dell’indagine si trovano anche i nomi di Mercury Advisor e Develop and Go, che sono state poste sotto sequestro, e di Skp, Neis Agency e Safe Harbour, alle quali venivano appaltati alcuni servizi specifici, come attacchi informatici o intercettazioni.
Equalize è al centro della vicenda: è di proprietà di Enrico Pazzali, presidente della Fondazione Fiera Milano, e in parte minoritaria di Carmine Gallo, ex agente delle forze dell’ordine, definito da molte testate “superpoliziotto” per il suo coinvolgimento in importanti inchieste nell’area di Milano negli ultimi anni. Si presentava come società di sicurezza informatica dedicata alle aziende.
“Reputazione e rispetto delle regole sono facce della stessa medaglia. Per questo occorre interpretare il pieno rispetto della legalità non solo come virtuoso in quanto tale, ma come fattore decisivo di competitività. Tutto ciò richiede un alto approccio professionale, capacità di individuare buone pratiche a livello internazionale, conoscenza degli strumenti per intervenire in caso di crisi”, recita ancora oggi il sito dell’azienda.
Mercury Advisor è invece una società che offriva servizi di due diligence, investigazioni digitali, analisi di clienti e fornitori e di bonifica elettronica e ambientale, ossia di individuazione: “In un determinato ambiente, qualsiasi tipologia di dispositivi capaci di captare informazioni (audio, video e dati) in modo fraudolento”, come riportato sullo stesso sito dell’azienda.
Develop and Go è invece una società di Reggio Emilia, l’ultima ad essere stata sequestrata dalla procura di Milano. Sarebbe di proprietà dell’imprenditore Giulio Cornelli che, stando a quanto riportato dal quotidiano locale la Gazzetta di Reggio, avrebbe anche collaborato alla programmazione della piattaforma Beyond, che Equalize utilizzava per raccogliere i dati sottratti allo Stato.
Skp, Neis Agency e Safe Harbour, le tre società citate dall’inchiesta della procura di Milano ma non sequestrate, si occupano tutte e tre di investigazioni private digitali. La loro posizione rispetto all’operato di Equalize verrà chiarita in fasi successive dell’indagine in corso.
Come Equalize entrava nelle banche dati dello Stato
Il Corriere della Sera ha ricostruito i metodi utilizzati da Equalize per accedere alle banche dati dello Stato ed entrare in possesso delle informazioni richieste dai propri clienti. I canali principali tramite cui la società riusciva a raggiungere i propri obiettivi erano due, uno digitale e uno più tradizionale.
Da una parte, Equalize utilizzata un Remote Access Trojan, o Rat, un malware abbastanza comune, che potrebbe essere paragonato a un classico virus. Il nome stesso di questo software malevolo svela il suo funzionamento: garantisce infatti accesso a un dispositivo da remoto, quindi senza dover controllare fisicamente le periferiche (mouse, tastiera) collegate. Il termine Trojan fa invece riferimento al modo in cui viene diffuso, quindi attraverso un file infetto all’apparenza innocuo.
Un virus di questo tipo permette di controllare un computer come se ci si fosse seduti davanti, anche stando a chilometri di distanza. Viene utilizzato soprattutto per accedere a dati a cui, solitamente, si può avere accesso soltanto con il controllo fisico del dispositivo. Il Rat di Equalize era diffusissimo e aveva raggiunto anche gli archivi del Ministero dell’Interno. Le istituzioni però si accorgono abbastanza facilmente di questo tipo di intrusioni. Qui sarebbe entrata in funzione la seconda fase dell’operazione di Equalize, quella tradizionale.
Alcuni manutentori dei sistemi infettati dal Rat sarebbero stati corrotti da Equalize e avrebbero avvistato l’azienda ogni volta che il Ministero dell’Interno prendeva provvedimenti per limitare l’azione del proprio malware. I dati raccolti in questo modo sarebbero poi stati inseriti all’interno del software Beyond, di proprietà di Equalize, che svolgeva due diversi ruoli.
Da una parte era in grado di assemblare i dati raccolti da varie banche dati in report su singole persone o istituzioni. Questo permetteva di velocizzare la raccolta delle informazioni sensibili per conto dei clienti. Inoltre, Beyond era in grado di “ripulire” questi file. Ogni contenuto digitale porta infatti con sé, oltre ai dati normalmente visibili, i cosiddetti metadati. Si tratta di informazioni ulteriori che possono variare dall’orario e dalla data della realizzazione e della modifica del file al dispositivo su cui è stato creato.
Beyond modificava questi metadati in modo che, dopo il passaggio all’interno del software, non fosse più possibile utilizzarli per risalire all’origine illecita dei dati. In questo modo tutelava anche i clienti, che non potevano sapere come i dati presentati loro fossero stati ottenuti.
Le banche dati dello Stato hanno un problema di sicurezza?
Prima di questa inchiesta, l’Italia era considerata tra i Paesi maggiormente impegnati nella modernizzazione dei propri sistemi di sicurezza informatica. Un report del Massachusetts Institute of Technology (Mit) aveva posizionato il nostro Paese all’11° posto su 20 nella classifica degli Stati che stavano facendo maggiori progressi per quanto riguarda questo ambito.
La ricerca sottolineava però che, nonostante il nostro Paese avesse buoni risultati nella protezione delle infrastrutture critiche e nelle risorse, peccava in capacità organizzativa, settore in cui si posizionava 17° su 20. Il metodo utilizzato da Equalize per raccogliere i dati e avere accesso alle banche dati non è particolarmente sofisticato. Questo fa sorgere dubbi sull’effettivo stato della sicurezza informatica delle banche dati italiane e sulla loro vulnerabilità non solo nei confronti di società private, ma anche dei servizi segreti di altri Paesi.