SPY STORY | Una centrale di intercettazioni abusive a Catanzaro (con server negli Usa)

di Pablo Petrasso
CATANZARO La piattaforma Exodus «era strutturata per inviare pacchetti di dati informatici esfiltrati dai dispositivi intercettati, direttamente sui server utilizzati dalla E-Surv (cioè quelli di Amazon) che solo secondariamente sarebbero stati inviati sui server della Procura o su quelli dei partner commerciali». Dati investigativi finiti direttamente in Oregon, e non nell’esclusiva disponibilità delle Procure. Infatti, «come verificato per la Procura di Benevento (e poi anche per la Procura di Castrovillari), i server delle Procure ove operava la società Stm srl, addirittura non erano configurati, cioè risultavano privi di hardware e dei sistemi operativi che avrebbero potuto farli funzionare». In pratica, «appare certo che l’archiviazione, la consultazione e anche lo “scarico” dei dati delle intercettazioni, per quegli uffici potesse essere gestito dal personale tecnico soltanto connettendosi al database di Exodus e solo attraverso le connessioni di rete e alle macchine di Amazon». Il cuore delle indagini è stato portato fuori dagli uffici giudiziari, su server statunitensi che, secondo la Procura di Napoli, non erano esattamente inaccessibili. Di più: anche dopo i primi sequestri delle piattaforme fisiche, Exodus – il sistema ideato dalla società calabrese E-Surv per “sorvegliare” gli obiettivi delle inchieste – ha continuato a operare, «accumulando promiscuamente nel proprio database i dati dei procedimenti di diverse autorità giudiziarie, conservati e visibili senza alcuna cautela».
IL BUG PER LA SICUREZZA Dati che «risultavano poi gestibili solo dai tecnici della E-Surv srl, poiché neppure i tecnici della Stm srl e degli altri partner commerciali erano in grado di accedervi in via autonoma». È un gigantesco bug per la sicurezza di diverse inchieste e per la gestione dei dati di centinaia di persone quello che emerge nel secondo step dell’inchiesta della Procura di Napoli sugli “hacker di Stato” che ha portato all’arresto (sono stati disposti i domiciliari) del titolare di fatto della E-Surv (qui la notizia), Diego Fasano, originario di Locri e del direttore tecnico della ditta Salvatore Ansani, di Catanzaro (c’è un terzo calabrese indagato, il tecnico catanzarese Davide Matarese, per il quale non sono state disposte misure cautelari).
«PROGETTAZIONE DOLOSA» È lo stesso Ansani ad ammettere, secondo i pm campani, l’«esistenza “di irrisolti problemi di configurazione” della piattaforma Exodus e del funzionamento della stessa indipendentemente dal server di destinazione della Procura committente». La raccolta dei dati è proseguita per mesi, e questi erano nella disponibilità esclusiva dell’azienda catanzarese che ha inventato il sistema per “infettare” i telefoni da intercettare. Tanto per rendere l’idea, all’interno di Exodus c’erano dati della Procura di Benevento, della Direzione centrale dei servizi antidroga, installata nella Procura di Roma, di altre Procure del territorio nazionale, di partner privati. Un tale assembramento di materiale renderebbe – è l’ipotesi investigativa – «inverosimile e illogica la versione fornita da Ansani circa un “malfunzionamento” del server delle singole Procure» e accredita «viceversa la tesi della volontaria e dolosa progettazione della piattaforma Exodus».
UNA STORIA «ALLARMANTE» La Calabria è l’epicentro di una storia che i magistrati definiscono «allarmante». E non può che esserlo, se si pensa che «i server della Procure di Benevento e Castrovillari risultavano vuoti e addirittura non configurati» e tutto il lavoro delle aziende avveniva su internet, fuori dagli uffici che avrebbero dovuto custodire i dati riservati. «Vago e oscuro», poi, è definito il quadro probatorio sulle attività del ramo commerciale di E-Surv, gestito da Diego Fasano, e su alcuni rapporti che avrebbero procurato corposi contratti con società ed enti che si occupano di attività di intercettazione. Il sistema Exodus, con tutte le sue presunte falle, si stava addirittura allargando a macchia d’olio. Altro tratto inquietante ipotizzato dagli inquirenti: «Alcuni giornalisti americani avevano cercato e ricevuto informazioni sul sistema e avevano pubblicato articoli sulla nota rivista “Motherboard” con accrescimento esponenziale del rischio che la piattaforma in questione, accessibile dalla rete, sia già stata “hackerata” e “infiltrata” da soggetti che potrebbero essere attualmente in possesso sia dei dati e delle informazioni relative a intercettazioni telematiche disposte dall’autorità giudiziaria, sia di quelle effettuate da E-Surv in modo totalmente abusivo, esponendo le istituzioni e anche i singoli cittadini a rischi di cognizione e divulgazione di materiale riservato e sensibile».
LE INTERCETTAZIONI ABUSIVE Sono proprio i «singoli cittadini» uno dei (tanti) tasti dolenti della spy story. Perché il meccanismo utilizzato da Exodus – quello di fare in modo che i “bersagli” delle intercettazioni scaricassero un’app dal Play Store di Google per “entrare” nei loro apparecchi telefonici – potrebbe essere stato utilizzato per infettare (e monitorare) centinaia di dispositivi. «Condotte assolutamente spregiudicate», riassumono i magistrati, «hanno consentito alla E-Surv srl, per alcuni anni, di captare in modo sostanzialmente indiscriminato i dati di qualsiasi apparecchio infettabile con un captatore informatico, in assenza di qualunque autorizzazione dell’Autorità». Sarebbe già successo, almeno secondo l’accusa. Perché, incrociando i dati di Exodus con quelli delle intercettazioni autorizzate dalle Procure, sarebbe emersa «l’esistenza di una serie di cartelle relative a “Imei” (la “carta d’identità” numerica di ogni dispositivo mobile, nda) e bersagli che non venivano “abbinati” ad alcun partner commerciale e ad alcun decreto autorizzativo dell’Autorità giudiziaria». La giustificazione di Ansani era «che la presenza di quei dati nella piattaforma Exodus era da ricondursi alle attività “Demo” condotte da lui stesso e dai tecnici, cioè si trattava di “infezioni di prova” effettuate dalla società stessa su apparati di proprietà, per testare l’efficacia e la funzionalità del captatore». Per la Procura di Napoli, questa versione sarebbe stata smentita dalle ispezioni eseguite sulle cartelle immagazzinate. I magistrati sostengono «che si trattasse di attività di captazione completamente abusiva, svolta dal captatore su dispositivi “infettati”, al di fuori di qualunque autorizzazione dell’Autorità giudiziaria». Non erano volontari, insomma, quelli finiti nella rete di Exodus, ma «ignari cittadini, intercettati in modo abusivo». (p.petrasso@corrierecal.it)