Emiliano Fittipaldi su l’Espresso ha scritto un editoriale davvero interessante che mette alla luce un retroscena davvero inquietante.
Le indagini sono svolte dalla procura di Roma. Parliamo di migliaia di fotografie, chat private, audio vocali e dati sensibili intercettati dai nostri servizi segreti rilasciate ad una società privata calabrese che le ha custodite in un archivio segreto negli Stati Uniti, in Oregon, in un cloud server di Amazon che a quanto pare può essere consultato da più “individui”.
Insomma delicatissime informazioni dei nostri 007 sarebbero state in rete per anni, allocate non in Italia su server protetti ma all’estero, e facilmente accessibili (con una semplice password e uno username) da chiunque avesse avuto voglia di darci una sbirciata.
È questa la clamorosa ipotesi investigativa di Giuseppe Pignatone – procuratore della Repubblica di Roma – e dei suoi pm, che stanno segretamente lavorando da settimane sulla vicenda del sistema spyware chiamato “Exodus”. Se è noto che la procura di Napoli ha sequestrato la piattaforma informatica messa a punto dalle società informatiche e.Surv e STM sri (il procuratore capo Giovanni Melillo ha spiegato che il software – di fatto un trojan che infettava i cellulari trasformandoli in microspie – era usato da procure di mezza Italia per le indagini giudiziarie), gli inquirenti hanno scoperto che tra i clienti delle ditte calabresi c’erano infatti anche i nostri 007. Cioè l’Aisi, l’agenzia che monitora la sicurezza intema del Paese, e lAise, l’organismo di intelligence che ha il compito di prevenire le minacce provenienti dall’estero. Impossibile dire, a oggi, se i responsabili delle due società abbiano costruito un sistema informatico illegale per un mero errore operativo o per commettere reati (qualche giornale ha ipotizzato che i pm napoletani indaghino anche su presunte attività di dossieraggio e ricatto). Ma è un fatto che l’imprenditore Giuseppe Fasano e l’ingegnere Salvatore Ansani della e.Surv, e Maria Aquino e Vito Tignanelli della STM che commercializza i prodotti informatici della prima, sono tutti indagati a vario titolo per violazione della privacy, frode in pubbliche forniture e intromissione abusiva in sistema informatico. Come possibile che i nostri servizi di sicurezza abbiano acquistato un malware pagan do centinaia di migliaia di euro senza accorgersi che Exodus inviava le loro intercettazioni ambientali e telefoniche in Oregon? Com’è accaduto che la polizia giudiziaria e molte procure della Repubblica abbiano assegnato appalti pubblici alla e.Surv senza aver notato che pure ignari cittadini potevano scaricare da Google Play il trojan – nascosto in app civetta che avrebbero così bucato la sicurezza del colosso di Mountain View trasformando il loro telefonino in un captatore illegale? Gli investigatori stanno cercando di rispondere a ogni domanda. La procura di Roma, che per competenza è titolare del fascicolo sull’uso di Exodus fatto da Aisi e Aise, ha iniziato a chiedere informazioni dettagliate. Rispettivamente a Mario Parente, nominato direttore dellAisi nel 2016 e prorogato di altri due anni nel 2018, e a Luciano Carta, arrivato al vertice di Forte Braschi solo lo scorso novembre. All’Espresso risulta che l’acquisto di Exodus da parte dellAise sia avvenuto alla fine del 2016. In concomitanza con l’arrivo, nel servizio, di Sergio De Caprio, il Capitano Ultimo che quell’anno – dopo polemiche con l’allora comandante dei carabinieri Tullio Del Sette – s’era spostato all’agenzia guidata allora da Alberto Manenti. A Ultimo, che vantava eccellenti rapporti con l’allora sottosegretario a Palazzo Chigi con delega ai servizi Marco Minniti, e ai suoi uomini traslocati dal Noe vengono affidati compiti rilevanti. Dal rafforzamento della sicurezza degli accessi della sede romana al tentativo di pacificare le tribù del Fezzan (la regione della Libia meridionale dal quale passano le carovane di migranti dirette verso Nord), fino al rilancio dell’ufficio delegato alla sicurezza interna. De Caprio – l’uomo che ha catturato Totò Riina – diventa presto il dominus del reparto, che deve investigare anche sulle possibile talpe che si annidano tra le nostre barbe finte. Per lavorare bene (il terrorismo dell’Isis è il pericolo maggiore, e in quei mesi il governo spinge affinchè i servizi possano usare di più e meglio le cosiddette intercettazioni preventive) Ultimo chiede ai suoi capi un trojan decente e un sistema di captazione informatico di qualità. AllAise, nel 2016, sono del tutto scoperti: i vecchi software spia dell’agenzia, forniti dall’azienda milanese Hacking Team, sono finiti in soffitta dal luglio 2015. Da quando, cioè, la società milanese di David Vincenzetti era stata presa di mira da un hacker che aveva rubato e messo in rete centinaia di gibabyte di informazioni, dati, codici, email e liste dei clienti. Manenti, il suo allora capo di gabinetto (e attuale vicedirettore) Giuseppe Caputo e Ultimo, che aveva già usato Exodus in alcune inchieste giudiziarie quando comandava il Noe di Roma, decidono così di comprare lo spyware di e.Surl. Che viene dato in dotazione, in via sperimentale, solo all’ufficio di De Caprio. E non al reparto tecnico dell’agenzia. Possibile che eventuali intercettazioni dellAise (che devono sempre essere autorizzate dalla procura generale della Corte d’appello di Roma) siano finite nell’archivio segreto in Oregon? Secondo Carta, no. Dopo aver analizzato per settimane – insieme al nuovo capo della sicurezza e dell’ufficio legale Massimiliano Macilenti – documenti ed evidenze interne, il direttore dellAise (che tra il 2016 e il 2017 era il numero due di Manenti, ma le sue deleghe non riguardavano sistemi di sorveglianza e intercettazioni preventive) ha risposto a Pignatone spiegando che, almeno “per tabulas”, lo spyware non è mai stato utilizzato. Ne dagli uomini di Ultimo ne da altri agenti segreti dellAise. Come mai Exodus non sia mai diventato operativo, nonostante i denari spesi per comprarlo, è un mistero. Il contratto con la STM è segreto e non è nemmeno stato depositato al Dis. Di certo il servizio esterno dopo il primo acquisto non ha interrotto i rapporti con la ditta calabrese: un anno e mezzo dopo l’agenzia acquisterà un altro software, stavolta destinato al reparto tecnico della cyber security. Una versione modificata di Exodus che, secondo fonti interne, «funzionava molto meglio del primo», con intercettazioni e dati tutti allocati «in un server protetto interno all’agenzia». Anche il Copasir sta indagando sulla vicenda. «Perché è vero che lAise ha certamente comprato Exodus, chi ne ha fatto un impiego rilevante è l’Aisi, la polizia giudiziaria, oltre a procure di mezza Italia. Dobbiamo capire se ci troviamo di fronte a gravi errori e sottovalutazioni, o se invece esistono soggetti privati o delle istituzioni che hanno fatto un uso illecito del trojan», dice un autorevole esponente del Comitato per la sicurezza guidato dal piddino Lorenzo Guerini. Anche il grillino Angelo Tofalo, sottosegretario alla Difesa, s’è detto preoccupato: tutti i dati riservati captati dal malware finivano infatti nel cloud Amazon in Oregon. Chiunque aveva una password poteva entrare nell’archivio. E vedere (e scaricare) non solo i dati riservati della sua indagine, ma anche quelli di istruttorie segrete di terzi. Il sistema Exodus, di fatto un malware di Stato, ha funzionato per anni indisturbato.
Come funziona lo spyware “Exodus”
Gli esperti hanno rivelato che su Google Play Store venivano piazzate dall’azienda di Catanzaro delle app malevole che, dopo il download, infettavano con Exodus il cellulare del malcapitato. Lo spyware si camuffava dentro applicazioni comuni, come quelle che vengono scaricate per migliorare le performance dei device o quelle che segnalano le nuove promozioni di vari operatori telefonici. Secondo i tecnici di Motherboard, una volta che Exodus veniva installato, prima raccoglieva informazioni base sul cellulare che era stato hackerato, come il codice Imei. Poi, in una fase successiva, prendeva il controllo totale del telefonino, trasformandolo in una cimice, estraendo immagini e video, oltre alla cronologia del browser di Internet, tutte le chat di Whatsapp e di Telegram e i contatti della rubrica. Secondo “Repubblica” è stato proprio Ansani, ingegnere di e.Surv, a fare agli inquirenti le prime ammissioni, e ha rivelare di avere piazzato su Android (non risultano invece operazioni simili sul sistema di Apple) applicazioni che trasformavano i cellulari in apparecchi-spia. Per l’ingegnere, però, il contagio è stato deciso a tavolino solo per effettuare dei test sul software, e non per effettuare intercettazioni a pioggia.
Il garante della Privacy
Antonello Soro, garante della privacy, conferma che la storia resta oscura. «E un fatto gravissimo», ha detto, «faremo anche noi i dovuti approfondimenti per quanto concerne le nostre competenze. La vicenda presenta contorni assai incerti, ed è indispensabile chiarirne l’esatta dinamica». Il timore maggiore degli inquirenti di Roma e Napoli, però, non riguarda le centinaia di cellulari intercettati illegalmente. Ma il rischio che i dati segreti di indagini delle procure italiane e del nostro controspionaggio siano state oggetto non solo di archiviazioni illecite (una falla che potrebbe già aver compromesso investigazioni sensibili), ma di un vero e proprio mercimonio di informazioni riservate.