Cyprus Confidential
Quelle ombre russe sulla cybersecurity europea
I computer della Commissione sono protetti da un software italiano, ma a manovrare l'azienda è una società di Cipro con misteriosi soci tra Russia e Bielorussia. Nella misteriosa società hanno investito anche la Bioera della ministra Daniela Santanché, Guido Maria Barilla, Roberto Berger e lo stilista Santo Versace
Gli uffici si trovano in un anonimo condominio in zona Maggiolina, a Milano, tra la Stazione Centrale e viale Zara. Nulla di appariscente. Ci si aspetterebbe una sede più moderna e accattivante per il quartier generale di una società di «cyber security» che fornisce sofisticati programmi di sicurezza informatica per aziende di rilevanza strategica, istituzioni come la Commissione europea e vari ministeri italiani. Un’azienda con venti dipendenti che ha saputo attrarre investitori famosi, fino a diventare una specie di club per vip.
La società milanese, fondata nel 2011, si chiama Boole Server. Il suo prodotto chiave è un software che si basa su «un algoritmo di cifratura di livello militare», come si legge nei bilanci, a prova di attacchi informatici. I prodotti offerti, compresa la piattaforma Boole Box, sono tutti legati a quel programma di rango «militare» (aggettivo non meglio precisato) che porta il nome dell’azienda: criptazione di file e documenti, sistemi di protezione per e-mail, password e banche dati. La società pubblicizza che tra i suoi clienti ci sono la Commissione di Bruxelles, che tramite una portavoce lo ha confermato a L’Espresso, ma anche il servizio diplomatico dell’Unione europea (European External Action Service), la polizia di Jersey, le forze armate del Qatar, oltre ad aziende come Rai, Eni e British Telecom.
A un ruolo così rilevante e delicato, però, non corrisponde una completa trasparenza sui dati societari e sull’identità degli azionisti fondatori. Notizie che ora vengono svelate dalle carte di Cyprus Confidential, i documenti sulle società offshore con base a Cipro (che sono stati condivisi con L’Espresso, in esclusiva per l’Italia, dal consorzio Icij e da Paper Trail Media). Gli atti mostrano che la storia della Boole Server inizia proprio lì, nell’isola europea di lingua greca. Nel giugno del 2011 i professionisti dello studio MeritServus annotano di aver incontrato un uomo d’affari di origine vicentina, Giacomo Corà, classe 1941, con residenza in Svizzera, a Crans-Montana, e interessi immobiliari in Italia affidati alla moglie e al figlio. L’imprenditore li informa che sta creando una «server company» e vuole che venga finanziata attraverso una società anonima dell’isola, chiamata Victory Holdings (Cyprus) Limited.
Corà precisa che solo il 25 per cento dell’azienda italiana farà capo a quella compagnia cipriota, mentre «il restante 75 sarà di proprietà di tre uomini d’affari russi, ciascuno con il 25 per cento, di cui fornirà i nomi» in seguito, si legge in un fascicolo scritto a mano su carta intestata di MeritServus e conservato in un faldone da centinaia di pagine sull’attività della Victory, visionato da L’Espresso.
L’imprenditore si avvale da molti anni di studi ciprioti specializzati in trust anonimi. La Victory controlla due quote della società milanese: il 25,5 per cento è gestito da MeritServus, il restante 74,5 da Sanmeritus. La fuga di notizie di Cyprus Confidential riguarda solo il primo studio, le carte del secondo restano invece segrete. Gli atti disponibili non chiariscono perché le quote di partecipazione nell’azienda italiana sono state divise in due, come se ci fossero due proprietà.
I faldoni di MeritServus illuminano la parte estera della carriera di Corà. Nella seconda metà degli anni ’90 gestisce affari a Varsavia, ma già allora diventa il factotum della Victory di Cipro (che era nata dalle ceneri di una precedente offshore di Jersey). Corà riceve anche un mandato (power of attorney) con i poteri di rappresentare una società bielorussa, la Victory Tradeholdings, con sede nella capitale Minsk.
La Boole Server italiana viene costituita nel maggio 2011 con un capitale iniziale minimo di 10 mila euro. Corà cerca subito finanziatori a Cipro. Il primo bonifico arriva in autunno. Una società anonima cipriota, Borisia Investments Limited, firma un impegno ad acquisire il 20 per cento della società milanese. A vendere è la Victory, che incassa un milione di euro. In Italia non viene mai rivelato il nome del titolare della Borisia. Ma dalle carte di Cipro risulta che (attraverso una complicata catena di offshore dei Caraibi) questa fa capo a un trust, chiamato Good Hope Intertrading, che ha come beneficiario un cittadino russo, un certo Sergey Shchohot, residente a Mosca, come risulta dal suo passaporto.
Cipro è da decenni un paradiso finanziario per gli oligarchi, ma quel nome è sconosciuto in Russia, non compare in alcuna società, tanto da far pensare che possa trattarsi di un fiduciario, una specie di prestanome legale. Dalle e-mail di Cipro emerge anche uno spiacevole malinteso: la Borisia era convinta di spendere un milione per comprare il 20 cento della società italiana, invece la Victory gliene cede solo il 10, la metà. A quel punto i fiduciari chiedono la restituzione di mezzo milione, senza successo. Poi i messaggi s’interrompono, segno che è stato trovato un accordo, non precisato. Di certo l’affare è gestito da Corà. E la Borisia è tuttora tra gli azionisti della Boole, ma con una quota minima, perché non ha mai partecipato ai tanti successivi aumenti di capitale. Il misterioso titolare russo ci ha rimesso almeno un milione, ma non si trovano tracce di altre sue proteste.
In quei mesi la società milanese è ancora allo stato nascente: il primo brevetto viene registrato nel novembre 2011. La piccola ditta informatica è ancora ignota in Italia, ma in Bielorussia è già famosa: un centro statale di ricerche, incardinato «sotto la Presidenza della Repubblica», celebra in un articolo la sua tecnologia. Nella primavera del 2012, la società italiana riesce a siglare un accordo con un’agenzia statale: l’Istituto di Ricerca scientifica per le Tecniche di Protezione informatica della Bielorussia.
A Milano intanto, all’atto costituivo della Boole Server, datato 16 maggio 2011, ha partecipato anche un grande nome della moda italiana: Santo Versace. Il fratello maggiore dello stilista Gianni Versace (ucciso nel 1997 a Miami) fa un investimento personale: assieme a due figli, entra nella Boole con circa il 10 per cento. All’epoca è anche parlamentare del Popolo della Libertà. La società milanese si fa un nome nel mondo della sicurezza, ma chiude tutti i bilanci in perdita. Santo e i suoi figli la finanziano per altri sei anni. Nel 2017, dopo la richiesta di un nuovo aumento di capitale (per un totale di quattro milioni), la famiglia Versace cede le proprie quote, per circa 400 mila euro, alla Victory di Cipro.
L’ex manager della moda non ha avuto difficoltà a rispondere alle domande de L’Espresso, affidandosi all’avvocata Valentina Adornato, che lo ha rappresentato nel Consiglio della Boole. «Il dottor Versace aveva deciso di investire nella società per supportare un progetto che gli aveva presentato un amico della figlia, Massimiliano Maggi, socio di Valerio Pastore, il tecnico che aveva sviluppato il software Booler Server». Versace però non ha mai partecipato alla gestione, ci ha investito «perché era una startup innovativa, che aveva vinto premi internazionali». Ma poi «assorbiva molte risorse» ed era «in perdita costante», per cui la famiglia «ha deciso di vendere alla Victory Holdings, che ne era già azionista». Da notare che Versace «non conosce personalmente il signor Corà» e non ha mai sentito parlare di soci russi o di accordi con la Bielorussia. L’avvocata ricorda solo che «il software era stato venduto anche a una società russa, chiamata Victory Moscow, per commercializzarlo».
A partire dal 2015, dopo le prime sanzioni internazionali contro Mosca, la società informatica cerca altri investitori importanti in Italia. Tra i nuovi azionisti spiccano Guido Barilla, rappresentato da una fiduciaria milanese, e la società Bioera, controllata dall’attuale ministra Daniela Santanchè e dal suo compagno dell’epoca Canio Mazzaro.
Barilla, al telefono, è sorpreso di figurare ancora tra i soci, con una quota ridottissima, e spiega: «Era un investimento di una decina d’anni fa, qualcosa come 50 mila euro. Mi fu proposto da un altro azionista, che si presentò con un tecnico esperto di sicurezza informatica. Non me ne sono mai occupato e non ho partecipato ai successivi aumenti di capitale». Barilla sottolinea di non sapere nulla di azionisti russi o società di Cipro.
Una risposta analoga arriva da Canio Mazzaro: «La società Bioera ha investito nel 2015 acquisendo una piccola quota, in quanto aveva trovato interessante lo sviluppo del software. I contatti erano con il presidente dell’epoca, l’unico azionista che conosciamo è la Berger Trust di Milano». Dal 2017 anche la Bioera ha smesso di finanziare gli aumenti di capitale, per cui «la quota di partecipazione a oggi è scesa al di sotto dello 0,2 per cento».
A fare da tramite con i vip era soprattutto la Berger Trust. Il fondatore, Tommy Berger, era un milionario che riuscì a imporre sul mercato, a colpi di réclame su Carosello, prodotti entrati nelle case degli italiani, come il caffè Hag, le lamette Wilkinson e l’acqua minerale «altissima, purissima, Levissima». Con il figlio Roberto aveva rotto i rapporti, accusandolo di sperperare il patrimonio familiare. Allora Roberto Berger era noto soprattutto per avere sposato in nozze segrete, nel 1983, la cantante Loredana Bertè. Con la morte del padre, nel 2009, ha ereditato anche la Berger Trust, che è entrata nella Boole Server e ha partecipato a tutti gli aumenti di capitale: oggi è il secondo azionista, con il 28,8 per cento.
Roberto Berger è stato socio di Canio Mazzaro in diverse aziende, come la Pierrel e la stessa Bioera. L’Espresso gli ha chiesto quando ha conosciuto Corà e perché, a differenza di Mazzaro, ha continuato a finanziare una società informatica che ha sempre bruciato cassa, costringendo gli azionisti a deliberare, solo tra il 2011 e il 2018, ben 23 aumenti di capitale, il quale, dopo aver superato i quattro milioni e mezzo, oggi si è ridotto a 200 mila euro. La Berger Trust però non ha risposto.
Dal 2011 fino al 2021 Giacomo Corà amministra, oltre alla Victory, un’altra società, la Russtech Engineering Limited, che fa da sponda a molte imprese italiane per concludere buoni affari in Russia e Bielorussia. Tra i clienti spicca la Selex Elsag, un’azienda di elettronica per la difesa militare, poi confluita in Leonardo, il colosso degli armamenti. L’impresa controllata dal gruppo statale italiano si è avvalsa in più occasioni delle società estere di Corà, in particolare per appalti e progetti con la Russian Post, l’azienda pubblica delle poste russe.
Attraverso quelle due compagnie, Victory e Russtech, nel corso degli anni passano fiumi di denaro, anche sotto forma di prestiti, per investimenti gestiti attraverso altri conti esteri. Corà ne ha aperti diversi in banche svizzere, ma aveva anche un conto personale in Bielorussia, nella filiale di Minsk della Alfa Bank, che è la più grande banca privata russa, controllata da oligarchi super-sanzionati per i legami con Vladimir Putin. La Victory di Cipro ha anche stipendiato, come rappresentante d’affari a Minsk, il console onorario della Bielorussia in Italia.
Tra gli azionisti storici della Boole, oltre a due finanzieri italiani con residenze tra Monte Carlo e Maldive, spiccano il manager Massimiliano Maggi e il tecnico Valerio Pastore, che ha sviluppato il sistema Boole Box, brevettato nel 2016. Vengono descritti come dirigenti seri e capaci. Ma non amano le banche italiane. In quegli anni sbarcano negli Stati Uniti con una società del Delaware, chiamata SnappyFame, che ha il conto in un paradiso dei Caraibi, Saint Vincent, nella filiale della Euro Pacific Bank di Porto Rico. Un istituto che poi è finito male: inquisito nel 2022 per evasione fiscale e riciclaggio, è stato chiuso e liquidato.
La Boole Server non ha risposto a nessuna domanda (aggiornamento: la replica della società, successiva alla pubblicazione dell'articolo, è in coda all'articolo). Mentre la Commissione europea mostra di ignorare i legami della società italiana con Russia e Bielorussia. Alle domande de L’Espresso la portavoce risponde che l’esecutivo di Bruxelles ha acquistato «solo il software Boole Server, con rinnovi annuali a partire dal 2016, senza gara pubblica». E precisa che i fornitori «devono possedere una certificazione di sicurezza governativa». La Boole Server, infatti, l’ha ottenuta dall’Agenzia italiana per la cybersicurezza.
L’ultimo capitolo della storia sembra un lieto fine: dal 2021 la società milanese ha smesso di essere controllata da strane società cipriote. Giacomo Corà ne è diventato personalmente l’azionista di controllo, con oltre il 70 per cento. Basta paradisi fiscali, basta ombre russe, ora è tutto italiano. A rovinare l’happy end patriottico è l’ultimo bilancio: anche nel 2022 la società ha perso più di 800 mila euro, accumulando un debito complessivo di oltre dieci milioni, con ricavi annuali lordi scesi a 1,1 milioni. A salvare la società è un prestito (senza ipoteche) da 1,5 milioni, concesso da Banca Progetto e coperto totalmente dal fondo ministeriale di garanzia per il Covid. Spariti i soci di Cipro, insomma, se l’azienda dovesse avere problemi con il mutuo, a rimetterci i soldi sarebbe lo Stato italiano.
La replica di Boole Server al nostro articolo
Desideriamo rispondere alle affermazioni su Boole Server pubblicate su L’Espresso del 15 dicembre per chiarezza su alcune questioni sollevate. Nell’articolo si riporta che la Boole Server «fornisce sofisticati programmi di sicurezza informatica per aziende di rilevanza strategica, istituzioni come la Commissione europea e vari ministeri italiani». Va sottolineato che la società, ad oggi, non fornisce alcun ministero italiano.
Nel passaggio in cui ci si riferisce al cosiddetto “programma di rango «militare» (aggettivo non meglio precisato) che porta il nome dell’azienda” va chiarito che la cifratura (non il programma) di livello militare è una definizione standard che viene adottata tra le società di sicurezza quando ci si riferisce ad un livello di protezione con algoritmo di cifratura a 256 bit (AES) che è lo stesso che viene utilizzato dal governo degli Stati Uniti per proteggere le informazioni classificate e dalla NSA (National Security Agency) per tutelare i dati di sicurezza nazionale. Infatti, nel 2001, il National Institute of Standards and Technology (NIST) ha adottato l'AES come nuovo standard per la sicurezza delle informazioni. Precisiamo anche che tale standard non porta il nome della nostra società come scritto. Si tratta di un protocollo open-source.
Occorre rettificare anche il passaggio in cui si dichiara che «la storia della Boole Server inizia proprio lì, nell’isola europea di lingua greca. Nel giugno del 2011…», in quanto è stata invece fondata il 16 maggio 2011 presso un notaio a Milano e da soci esclusivamente italiani.
Possiamo solo confermare che Borisia ha una quota davvero minima, (2,88€ su 200.000€ di capitale sociale), che non ha mai partecipato ad una assemblea né ad un aumento di capitale, tanto è che mi risulta che i soci stiano modificando lo Statuto per avere la possibilità di escludere dalla partecipazione i soci «inadempienti».
Nell’articolo l’avvocato Valentina Adornato «ricorda solo che il software era stato venduto anche a una società russa, chiamata Victory Moscow, per commercializzarlo»: questo ricordo risulta inesatto in quanto, con lo scopo di commercializzare il software, la società ha sempre solamente siglato contratti di rivendita o distribuzione per la vendita appunto delle licenze d’uso ai potenziali clienti e non per la vendita del software in se.
È inesatto asserire che Boole Server abbia ottenuto una certificazione di sicurezza «dall’Agenzia italiana per la cybersicurezza»: Boolebox come prodotto e Boole Server come azienda, hanno ottenuto la certificazione EAL2+, emessa dall’Organismo di Certificazione della Sicurezza Informatica (OCSI) e le certificazioni UNI EN ISO 9001:2015 e UNI CEI ISO/IEC 27001:2017 emesse da Accredia, Ente Italiano di Accreditamento.
Marco Iannucci
Amministratore delegato di Boole Server