La recente vicenda sul “dossieraggio” illecito ha impressionato e turbato fortemente l’opinione pubblica ed ha suscitato un unanime coro di sdegno per quanto era avvenuto nei mesi e negli anni precedenti; tuttavia essa non è stata accompagnata da un’approfondita disamina tecnica in ordine alla reale portata di quanto è avvenuto e soprattutto non ha ancora indotto ad approfondire adeguatamente il dibattito concernente la necessità di adottare delle adeguate “contromisure” volte ad evitare il reiterarsi di questi fatti.
Oltretutto, il generale moto di critica ha finito per coinvolgere anche strumenti di controllo di per sé non solo leciti ma addirittura fondamentali per la lotta al crimine ed in particolare, nel caso di specie, per la lotta alla corruzione e per l’individuazione di comportamenti corruttivi. Ancora una volta, del resto, il problema non è rappresentato dallo strumento, ma dal suo cattivo utilizzo.
Il rischio, pertanto, è che, passato il momento di interesse, si formi nell’opinione pubblica un sentimento di condanna generalizzata e radicale, assolutamente da evitare perché in tal modo, citando una nota espressione, si finirebbe per “buttare il bambino insieme con l’acqua sporca” e cioè, in concreto, si riterrebbe, del tutto erroneamente, che vadano smantellati dei fondamentali meccanismi di controllo, e ciò solo perché taluno ha fatto un uso illecito e distorto degli stessi.
La verifica sulle operazioni economiche sospette, in chiave di antiriciclaggio e di antiterrorismo, non va certamente eliminata; essa risulta imposta a chiare lettera da numerosi Regolamenti comunitari.
Si può osservare, sotto questo aspetto, come la normativa italiana ponga finora il nostro Paese in una posizione esemplare per l’impegno profuso al riguardo.
In particolare l’art. 35 del decreto legislativo 21 novembre 2007 n. 231 impone agli intermediari bancari e finanziari, nonché ad una serie di altri soggetti, che ai fini della nostra disamina non è necessario elencare, di inviare una segnalazione alla UIF (Unità di informazione finanziaria) della Banca d’Italia, concernente le operazioni sospette, e cioè le operazioni per le quali detti intermediari «sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso o che siano state compiute o tentate operazioni di riciclaggio o di finanziamento del terrorismo o che comunque i fondi, indipendentemente dalla loro attività, provengano da attività criminosa».
D’altro canto, come ben noto a tutti, nel momento in cui una banca od un altro operatore finanziario chiede ad un soggetto di rispondere ad un questionario sui suoi dati, domanda se costui sia o meno “politicamente esposto” (PEP). Infatti, per il ruolo da essi rivestito, gli individui che ricoprono determinate cariche pubbliche sono ritenuti maggiormente esposti a potenziali fenomeni corruttivi, in conseguenza degli incarichi ricoperti. In tal caso la normativa prevede una serie di obblighi rafforzati di segnalazione.
Veniamo ora ad una sigla finora del tutto ignota agli italiani e venuta alla ribalta proprio a seguito del caso dei dossieraggi illeciti. Stiamo parlando del S.O.S. (Segnalazioni operazioni sospette) e della Sezione costituita dalla Guardia di Finanza per la valutazione di dette S.O.S.
Fino a questo punto, si badi bene, siamo in presenza di attività di controllo non solo pienamente lecite, ma fondamentali per la lotta ai fenomeni corruttivi.
Il problema scatta nelle fasi successive del controllo. Ci si trova in presenza di un’enorme mole di dati, contenuti in database ai quali devono fare accesso solo pochissimi addetti, e le cui modalità di accesso andrebbero delineate con estrema precisione.
Per utilizzare una metafora, si è di fronte ad una sorta di “giardino proibito”, all’interno del quale purtroppo, come la vicenda in esame conferma, qualche infedele servitore dello Stato si sofferma a suo piacimento, cogliendo i “frutti” (e cioè le informazioni ivi contenute) più “ghiotti”, per portarli poi all’esterno.
Il caso in esame appare paradigmatico rispetto a potenziali pericoli ancora più estesi.
Siamo ormai in presenza di giganteschi database, contenenti una quantità impressionante di notizie, talvolta altamente sensibili.
Occorre al riguardo fronteggiare alcuni gravissimi rischi. Vi è in primo luogo il timore di cyberattacchi volti a colpire queste strutture ed a trafugare le relative notizie. Bisogna inoltre evitare che, “dall’interno” gli appartenenti all’Amministrazione statale, siano essi della Guardia di Finanza, dell’Arma dei Carabinieri e della Polizia di Stato, facciano un accesso abusivo agli archivi informatici, sfruttando la carenza di un’adeguata, rigorosa regolamentazione di tali modalità di accesso.
Per quanto concerne il primo aspetto il Procuratore Nazionale Antimafia, Giovanni Melillo, in sede di audizione resa il 6 marzo 2024 innanzi alla Commissione parlamentare antimafia ha affermato che negli anni passati la struttura da lui diretta appariva del tutto carente dal punto di vista delle protezioni da possibili cyberattacchi (tali sue dichiarazioni sono state considerate da molti come una implicita critica rispetto alla gestione organizzativa del suo predecessore in detta carica).
In relazione al secondo punto, di diretta rilevanza ai fini della nostra disamina, è emerso che il luogotenente della Guardia di Finanza Pasquale Striano ha fatto oltre 800 accessi illeciti alla Banca Dati della Procura Nazionale Antimafia, non correlati alle indagini che era incaricato di svolgere, e quindi al di fuori di ogni esigenza investigativa.
In tal modo egli ha potuto consultare dossier di politici (per lo più appartenenti a ben precisi schieramenti), uomini di spettacolo, imprenditori, e avrebbe probabilmente continuato a farlo, qualora il Ministro Crosetto, ponendo con forza il problema di quanto stava accadendo, non avesse in tal modo obbligato gli organi a ciò preposti ad attivare una doverosa verifica in ordine a questi gravissimi fatti.
Appare davvero difficile ritenere, ingenuamente, che Striano abbia fatto tutto da solo, in assenza di regie occulte. E’quasi inverosimile ipotizzare che un soggetto posto non certo in un ruolo apicale all’interno della Guardia di Finanza abbia isolatamente deciso di orchestrare una simile operazione, ed abbia agito senza la presenza, quantomeno, di uno o più complici.
La vicenda pone inoltre in luce il persistente rischio della sussistenza di perversi legami tra organi investigativi e testate giornalistiche, per effetto dei quali vengono forniti, dietro compenso di denaro o di altre utilità, dei dati segreti, raccolti lecitamente o (come in questo caso) illecitamente, che vengono in tal modo utilizzati per scoop di vasta rilevanza mediatica, che possono incidere pesantemente sull’economia e sulla politica.
Veniamo ora alle misure che devono essere adottate. Melillo, sempre nel corso della sua audizione, ha affermato che dal giorno del suo insediamento nella carica di Procuratore Nazionale Antimafia egli si è particolarmente impegnato per un rafforzamento delle procedure di sicurezza contro i cyberattacchi.
Non basta peraltro focalizzare l’attenzione sull’aspetto tecnico della sicurezza dei database.
Bisogna rivedere le procedure di accesso a questi archivi informatici. Oltre a riservare la possibilità di “ingresso” solo a soggetti dotati di particolari autorizzazioni al riguardo, come già oggi avviene, occorre far sì che ogni accesso risulti monitorato, mediante la costante “tracciabilità”, ed accertare che gli investigatori si “introducano” negli archivi solo in relazione ad indagini ben determinate, e, al di fuori di esse, non “transitino” in queste aree informatiche “curiosando” su quanto è ivi contenuto, e “prelevando” da tali autentiche miniere di dati le informazioni concernenti questo o quel politico o personaggio di spicco, in assenza di ogni reale esigenza di accertamento.
L’Italia, come qualunque Nazione avanzata, ha immense banche dati. Non bisogna pensare di ridurle. Si deve invece fare in modo che chi entra in queste ideali casseforti informatiche si limiti a svolgere al loro interno solo quanto gli è stato assegnato e non si metta a cercare notizie al fine di venderle o utilizzarle per i fini più svariati.
Non si può fare un affidamento aprioristico sull’integrità morale degli appartenenti alle Forze dell’Ordine chiamati a controllare determinate operazioni, dovendosi constatare che, purtroppo, al momento finora nessuno “controllava i controllori”.
Né varrebbe sostenere che delle cautele erano state adottate; esse quantomeno non hanno affatto funzionato; altrimenti non staremmo a parlare di quanto è successo e non si riuscirebbe a spiegare come mai non una sola volta, ma in ben ottocento occasioni Striano, che era legittimato a svolgere solo alcuni, limitati accertamenti, abbia invece, a suo piacimento, potuto compiere accessi privi di ogni giustificazione.
Una metodologia efficace volta a contrastare il ripetersi di simili condotte sarebbe quella di prevedere che gli accessi vengano sempre effettuati da “squadre” chiamate od operare congiuntamente; in tal modo l’operatore infedele non potrebbe realizzare i suoi piani, stante il controllo costante da parte degli altri componenti.
Giunti alla conclusione di questo breve contributo, si può affermare che la vicenda può essere vista sotto un duplice angolo prospettico. Da un lato ci si può limitare ad esternare la propria indignazione ed a sostenere come appaia incredibile e sconcertante che simili fatti si siano verificati; d’altro canto, ed è questa l’impostazione che riteniamo preferibile, ci si può invece muovere con serietà e rigore al fine di adottare le dovute regolamentazioni atte ad impedire nel futuro la reiterazione di simili gravissimi fatti. In altri termini, quanto è avvenuto deve rappresentare un monito onde evitare che, tra un paio di mesi o di anni, si assista a nuove, analoghe vicende.
Pierpaolo Rivello
Procuratore generale emerito presso la Corte di Cassazione