È questa la clamorosa ipotesi investigativa di Giuseppe Pignatone - procuratore della Repubblica di Roma - e dei suoi pm, che stanno segretamente lavorando da settimane sulla vicenda del sistema spyware chiamato “Exodus”.
Se è noto che la procura di Napoli ha sequestrato la piattaforma informatica messa a punto dalle società informatiche e.Surv e STM srl (il procuratore capo Giovanni Melillo ha spiegato che il software - di fatto un trojan che infettava i cellulari trasformandoli in microspie – era usato da procure di mezza Italia per le indagini giudiziarie), gli inquirenti hanno scoperto che tra i clienti delle ditte calabresi c’erano infatti anche i nostri 007. Cioè l’Aisi, l’agenzia che monitora la sicurezza interna del Paese, e l’Aise, l’organismo di intelligence che ha il compito di prevenire le minacce provenienti dall’estero.
Impossibile dire, a oggi, se i responsabili delle due società abbiano costruito un sistema informatico illegale per un mero errore operativo o per commettere reati (qualche giornale ha ipotizzato che i pm napoletani indaghino anche su presunte attività di dossieraggio e ricatto). Ma è un fatto che l’imprenditore Giuseppe Fasano e l’ingegnere Salvatore Ansani della e.Surv, e Maria Aquino e Vito Tignanelli della STM che commercializza i prodotti informatici della prima, sono tutti indagati a vario titolo per violazione della privacy, frode in pubbliche forniture e intromissione abusiva in sistema informatico.
Com’è possibile che i nostri servizi di sicurezza abbiano acquistato un malware pagando centinaia di migliaia di euro senza accorgersi che Exodus inviava le loro intercettazioni ambientali e telefoniche in Oregon? Com’è accaduto che la polizia giudiziaria e molte procure della Repubblica abbiano assegnato appalti pubblici alla e.Surv senza aver notato che pure ignari cittadini potevano scaricare da Google Play il trojan - nascosto in app civetta che avrebbero così bucato la sicurezza del colosso di Mountain View - trasformando il loro telefonino in un captatore illegale?
Gli investigatori stanno cercando di rispondere a ogni domanda. La procura di Roma, che per competenza è titolare del fascicolo sull’uso di Exodus fatto da Aisi e Aise, ha iniziato a chiedere informazioni dettagliate. Rispettivamente a Mario Parente, nominato direttore dell’Aisi nel 2016 e prorogato di altri due anni nel 2018, e a Luciano Carta, arrivato al vertice di Forte Braschi solo lo scorso novembre.
All’Espresso risulta che l’acquisto di Exodus da parte dell’Aise sia avvenuto alla fine del 2016. In concomitanza con l’arrivo, nel servizio, di Sergio De Caprio, il Capitano Ultimo che quell’anno - dopo polemiche con l’allora comandante dei carabinieri Tullio Del Sette - s’era spostato all’agenzia guidata allora da Alberto Manenti.
A Ultimo, che vantava eccellenti rapporti con l’allora sottosegretario a Palazzo Chigi con delega ai servizi Marco Minniti, e ai suoi uomini traslocati dal Noe vengono affidati compiti rilevanti. Dal rafforzamento della sicurezza degli accessi della sede romana al tentativo di pacificare le tribù del Fezzan (la regione della Libia meridionale dal quale passano le carovane di migranti dirette verso Nord), fino al rilancio dell’ufficio delegato alla sicurezza interna. De Caprio - l’uomo che ha catturato Totò Riina - diventa presto il dominus del reparto, che deve investigare anche sulle possibile talpe che si annidano tra le nostre barbe finte.
Per lavorare bene (il terrorismo dell’Isis è il pericolo maggiore, e in quei mesi il governo spinge affinché i servizi possano usare di più e meglio le cosiddette intercettazioni preventive) Ultimo chiede ai suoi capi un trojan decente e un sistema di captazione informatico di qualità. All’Aise, nel 2016, sono del tutto scoperti: i vecchi software spia dell’agenzia, forniti dall’azienda milanese Hacking Team, sono finiti in soffitta dal luglio 2015. Da quando, cioè, la società milanese di David Vincenzetti era stata presa di mira da un hacker che aveva rubato e messo in rete centinaia di gibabyte di informazioni, dati, codici, email e liste dei clienti.
Manenti, il suo allora capo di gabinetto (e attuale vicedirettore) Giuseppe Caputo e Ultimo, che aveva già usato Exodus in alcune inchieste giudiziarie quando comandava il Noe di Roma, decidono così di comprare lo spyware di e.Surl. Che viene dato in dotazione, in via sperimentale, solo all’ufficio di De Caprio. E non al reparto tecnico dell’agenzia.
Possibile che eventuali intercettazioni dell’Aise (che devono sempre essere autorizzate dalla procura generale della Corte d’appello di Roma) siano finite nell’archivio segreto in Oregon? Secondo Carta, no. Dopo aver analizzato per settimane - insieme al nuovo capo della sicurezza e dell’ufficio legale Massimiliano Macilenti - documenti ed evidenze interne, il direttore dell’Aise (che tra il 2016 e il 2017 era il numero due di Manenti, ma le sue deleghe non riguardavano sistemi di sorveglianza e intercettazioni preventive) ha risposto a Pignatone spiegando che, almeno “per tabulas”, lo spyware non è mai stato utilizzato. Né dagli uomini di Ultimo né da altri agenti segreti dell’Aise.
Come mai Exodus non sia mai diventato operativo, nonostante i denari spesi per comprarlo, è un mistero. Il contratto con la STM è segreto e non è nemmeno stato depositato al Dis. Di certo il servizio esterno dopo il primo acquisto non ha interrotto i rapporti con la ditta calabrese: un anno e mezzo dopo l’agenzia acquisterà un altro software, stavolta destinato al reparto tecnico della cyber security. Una versione modificata di Exodus che, secondo fonti interne, «funzionava molto meglio del primo», con intercettazioni e dati tutti allocati «in un server protetto interno all’agenzia».
Anche il Copasir sta indagando sulla vicenda. «Perché è vero che l’Aise ha certamente comprato Exodus, chi ne ha fatto un impiego rilevante è l’Aisi, la polizia giudiziaria, oltre a procure di mezza Italia. Dobbiamo capire se ci troviamo di fronte a gravi errori e sottovalutazioni, o se invece esistono soggetti privati o delle istituzioni che hanno fatto un uso illecito del trojan», dice un autorevole esponente del Comitato per la sicurezza guidato dal piddino Lorenzo Guerini. Anche il grillino Angelo Tofalo, sottosegretario alla Difesa, s’è detto preoccupato: tutti i dati riservati captati dal malware finivano infatti nel cloud Amazon in Oregon. Chiunque aveva una password poteva entrare nell’archivio. E vedere (e scaricare) non solo i dati riservati della sua indagine, ma anche quelli di istruttorie segrete di terzi.
Il sistema Exodus, di fatto un malware di Stato, ha funzionato per anni indisturbato. Solo all’inizio di quest’anno, per un caso fortuito, un finanziere di stanza a Benevento s’è accorto che qualcosa non funzionava. Il militare, impiegato nella procura campana e al lavoro su un’indagine penale che prevedeva anche intercettazioni telematiche, dopo una serie di interruzioni delle connessioni di rete con il server ha provato a collegarsi sfruttando altri indirizzi, percorsi alternativi. Accorgendosi così che i dati della sua inchiesta non erano protetti in modo sicuro: da qualsiasi pc, persino da un tablet o uno smartphone, era possibile accedere a un server di Amazon localizzato negli Usa, che custodiva l’intero archivio realizzato dalla e.Surv. I responsabili della ditta, però, con ogni cliente istituzionale hanno firmato contratti che prevederebbero non solo la tutela della privacy di tutte le informazioni, ma anche la loro corretta conservazione. Possibile che la ditta calabrese abbia realizzato un deposito cloud non sul territorio nazionale e privo di adeguata sicurezza solo per risparmiare e fare margini migliori?
Si vedrà. Intanto le procure di Benevento e poi quella di Napoli (dove il fascicolo è stato acquisito per competenza) hanno scoperto pure - come i ricercatori di Security Without Borders e di Motherboard che hanno pubblicato per primi la notizia - che Exodus ha intercettato illegalmente anche un migliaio di cittadini italiani del tutto estranei ad indagini penali o investigazioni dei servizi.
Gli esperti hanno rivelato che su Google Play Store venivano piazzate dall’azienda di Catanzaro delle app malevole che, dopo il download, infettavano con Exodus il cellulare del malcapitato. Lo spyware si camuffava dentro applicazioni comuni, come quelle che vengono scaricate per migliorare le performance dei device o quelle che segnalano le nuove promozioni di vari operatori telefonici.
Secondo i tecnici di Motherboard, una volta che Exodus veniva installato, prima raccoglieva informazioni base sul cellulare che era stato hackerato, come il codice Imei. Poi, in una fase successiva, prendeva il controllo totale del telefonino, trasformandolo in una cimice, estraendo immagini e video, oltre alla cronologia del browser di Internet, tutte le chat di Whatsapp e di Telegram e i contatti della rubrica.
Secondo “Repubblica” è stato proprio Ansani, ingegnere di e.Surv, a fare agli inquirenti le prime ammissioni, e ha rivelare di avere piazzato su Android (non risultano invece operazioni simili sul sistema di Apple) applicazioni che trasformavano i cellulari in apparecchi-spia. Per l’ingegnere, però, il contagio è stato deciso a tavolino solo per effettuare dei test sul software, e non per effettuare intercettazioni a pioggia.
Antonello Soro, garante della privacy, conferma che la storia resta oscura. «È un fatto gravissimo», ha detto, «faremo anche noi i dovuti approfondimenti per quanto concerne le nostre competenze. La vicenda presenta contorni assai incerti, ed è indispensabile chiarirne l’esatta dinamica».
Il timore maggiore degli inquirenti di Roma e Napoli, però, non riguarda le centinaia di cellulari intercettati illegalmente. Ma il rischio che i dati segreti di indagini delle procure italiane e del nostro controspionaggio siano state oggetto non solo di archiviazioni illecite (una falla che potrebbe già aver compromesso investigazioni sensibili), ma di un vero e proprio mercimonio di informazioni riservate. È solo un sospetto, per ora. L’inchiesta è solo all’inizio.
