Il caso di Carmelo Miano, ventiquattrenne arrestato lo scorso 2 ottobre a Roma con l’accusa di aver violato ripetutamente i sistemi informatici di Procure della Repubblica e del Ministero della Giustizia, porta all’attenzione – ancora una volta – il tema della sicurezza informatica all’interno della Pubblica Amministrazione.

Miano è senz’altro un abile informatico, ma come è possibile che abbia avuto accesso con cadenza pressoché quotidiana ai sistemi informatici del Ministero della Giustizia?

Procediamo con ordine e ripercorriamo brevemente la vicenda, ormai ampiamente uscita sulla stampa.

L’8 giugno 2023, un dipendente del Coordinamento Interdistrettuale per i Sistemi Informativi Automatizzati (CISIA) di Palermo nota che, al momento del logon, viene eseguito sul suo pc uno script anomalo. Dopo qualche accertamento, riscontra che lo script è in grado di catturare alcuni dati e inviarli verso una cartella condivisa. A quel punto, fa partire la segnalazione ai tecnici della Direzione generale per i sistemi informativi automatizzati (DGSIA) del Ministero della Giustizia che confermano la violazione da parte di un attaccante esterno e l’utilizzo illecito di alcune credenziali.

Hanno inizio così le azioni di bonifica che vedranno ampliare di molto l’estensione dell’attacco sia in termini temporali che per numero di amministrazioni coinvolte. Il Consorzio Interuniversitario nazionale per l’informatica (CINI), che ha condotto le analisi tecniche, individua tra i domain controller compromessi quelli delle Procure di Napoli, Palermo, Milano e i firewall di Palermo, Agrigento, Caltanissetta e Milano; e riscontra come già dall’ottobre 2022 fosse stato portato a termine un accesso illecito ai firewall con credenziali “locali”, dotate quindi di tutti i privilegi propri degli amministratori di sistema.

Insomma, la conclusione a cui arrivano i periti è che la rete informatica del Ministero della Giustizia è totalmente compromessa e permeabile agli attacchi di attori esterni.

Ma non è finita qui, perché dall’ottobre 2020 fino al gennaio 2022 le piattaforme pubbliche della Guardia di Finanza registrano una serie di attacchi informatici realizzati tramite l’invio periodico di email di phishing, contenenti allegati malevoli.

A completare il quadro si aggiunge, a partire dall’11 luglio 2021, un attacco informatico ai danni della rete TIM. Anche questo finisce sotto indagine: i database contenenti le informazioni di circa 23 milioni di utenti consumer, 2,5 milioni di utenti business e 11 milioni del sistema antifrode della stessa società vengono compromessi.

Secondo gli inquirenti, l’autore che si cela dietro a tutto è proprio Carmelo Miano, classe 2000, già indagato nel 2020 dalla procura di Brescia perché coinvolto nella gestione di un mercato illecito di droga e armi sul dark web (per una ricostruzione di questa parte, ne scrive Irpimedia).

Secondo la richiesta di misura cautelare, Miano, violando con cadenza quotidiana i sistemi informatici del Ministero della Giustizia,  avrebbe cercato ossessivamente le prove dell’esistenza di indagini giudiziarie e procedimenti penali a suo carico. Tra le prime persone di cui avrebbe violato la casella di posta elettronica certificata ci sarebbero infatti Erica Battaglia e Federica Scuderi, pubblici ministeri rispettivamente di Brescia e Gela, che hanno in mano il fascicolo di Miano. Sempre secondo l’accusa, in tutto Miano avrebbe avuto accesso alle comunicazioni di 46 magistrati di diverse procure italiane, tra i quali risulterebbe anche il procuratore capo di Napoli, Nicola Gratteri.

All’interrogatorio di garanzia, Miano si è dichiarato colpevole. Non è ancora chiaro se il ventiquattrenne, che lavorava a Roma per il colosso dell’informatica NTT DATA (estraneo ai fatti), abbia violato i sistemi solo per consultare i fascicoli a suo nome, oppure se abbia venduto a terzi la mole di dati che ha potuto scaricare – gli inquirenti hanno registrato il 6 giugno 2024 un suo accesso al Russian Market, portale dedicato alla vendita illegale di informazioni sensibili come password, dati bancari e carte di credito.

Sta di fatto che Carmelo Miano avrebbe potuto agire indisturbato per diverso tempo, muovendosi nei gangli del sistema informatico del Ministero di Giustizia con le credenziali di un “superutente”, ovvero con diritti completi su tutto il dominio.

“Questo hacker poteva bloccare tutto il sistema giustizia, potevano sparire dati importanti, anche notizie di reato per indagini di mafia e terrorismo”, ha dichiarato in conferenza stampa il procuratore capo di Napoli, Nicola Gratteri, che ha aggiunto: “Nella realtà è riduttivo pensare a lui [Miano ndr] come informatico, per noi era un mago dell’informatica. Uno che ci ha fatto girare la testa per oltre un anno”.

Il procuratore capo di Napoli racconta poi un’altra cosa: “Quando abbiamo visto che aveva cercato di entrare negli indirizzi email di alcuni magistrati, a quel punto non abbiamo più usato le email, non abbiamo più usato i telefoni, ma ci muovevamo fisicamente e ci davamo i documenti [a mano ndr]”.

Carmelo Miano è stato in grado di mettere in ginocchio il sistema informatico del ministero della Giustizia. Torniamo quindi alla domanda iniziale: era Miano a essere un “mago dell’informatica” o ci sono problemi più profondi se una singola persona (al momento Miano sembra aver agito da solo ndr), seppur abile, riesce ad aggirare i sistemi di sicurezza e avere potenzialmente accesso a quei fascicoli estremamente delicati a cui faceva riferimento Gratteri?

Come vengono spesi i soldi del PNRR 

Nel 2021, l’allora ministro per l’Innovazione tecnologica e la transizione digitale, Vittorio Colao, affermava nel corso di un’audizione che circa il 95% delle infrastrutture dati della PA sono prive dei requisiti minimi di sicurezza e affidabilità necessari per fornire e gestire dati.
Praticamente la quasi totalità.

Dal 2021 a oggi c’è la differenza che esistono delle risorse adibite proprio alla messa in sicurezza delle infrastrutture informatiche della PA: i soldi del PNRR.

Il capitolo di spesa previsto per il settore giustizia ammonta a 2,6 miliardi di euro e i risultati da perseguire grazie a questi fondi sono riassunti in quattro punti: riduzione del tempo di durata del giudizio; abbattimento dell’arretrato giurisdizionale; digitalizzazione del processo; riqualificazione del patrimonio immobiliare giudiziario.

In una tabella consultabile sul sito del Ministero, è possibile vedere quanto, di questa cifra complessiva, sia stato dirottato sulla digitalizzazione e sulla cybersecurity. Al 30 giugno 2024, dei 5 milioni previsti per la sicurezza informatica quasi la metà (2.187.009,99 €) è stata spesa. Mentre sul totale delle risorse stanziate per la digitalizzazione (133.203.200 €), alla stessa data ne sono stati spesi solo 19 milioni.

Il 24 luglio 2024, il Consiglio Superiore di Magistratura pubblica una relazione sullo stato della giustizia telematica dove vengono sottolineate numerose criticità. In primo luogo, quella relativa ai collegamenti da remoto per cui gli uffici giudiziari utilizzano Skype for business e Teams. Se nel caso di Skype for business, i server sono allocati nei data center dell’amministrazione interna della DGSIA – quindi del Ministero – per Teams “va evidenziato che, dopo la fine dell’emergenza pandemica, non risulta chiarita l’attuale collocazione dei server Microsoft che gestiscono, attraverso Teams, flussi di dati relativi a indagini preliminari e documenti sensibili che transitano proprio nei server Microsoft.

Un’altra questione sollevata dal CSM è quella del trasferimento dati su cloud, dove spesso a gestire le strutture informatiche ministeriali sono società private. “L’assegnazione delle funzioni di gestione dei sistemi a soggetti non appartenenti al Ministero della Giustizia – si legge nella relazione – rende infatti ancora più difficoltoso ai dirigenti dell’Ufficio e ai loro delegati, se non addirittura impossibile, il diretto accesso alle funzionalità “apicali” dei sistemi stessi.

Come se già non bastasse l’esternalizzazione della sicurezza dei sistemi a società terze o l’impossibilità di conoscere le attuali posizioni di server attraverso cui transitano documenti sensibili, ci si aggiungono le criticità nella digitalizzazione di alcune fasi processuali e dei relativi atti che rischiano di far saltare gli incassi dei fondi del PNRR: “desta preoccupazione – scrive il CSM – la scadenza, sostanzialmente imminente, dell’1 gennaio 2025, quando tutta la fase delle indagini preliminari dovrebbe essere gestita telematicamente”.

È notizia recente che, dal primo ottobre, i fascicoli cartacei del Tribunale di Milano si stiano accumulando senza che nessuno possa caricarli digitalmente. È  infatti scaduto il vecchio contratto di digitalizzazione degli atti con la società che li inseriva nel sistema. Nella circolare interna, riportata dal Corriere della Sera, si legge che “il Ministero della Giustizia ha stipulato un nuovo contratto con una società diversa nell’ambito del Pnrr, ma non si sa ancora quando la società manderà i nuovi [addetti ndr]”.

Intanto, giorno dopo giorno, i fascicoli cartacei si accumulano sulle scrivanie dell’ufficio preposto presieduto ormai da un solo operatore.

I dati intorno alle minacce cyber

Secondo i dati riportati dall’Agenzia per la cybersicurezza nazionale (ACN) , nel 2023 il il team di difesa dell’agenzia (CSIRT) ha trattato 1411 eventi cyber che hanno colpito 3.302 soggetti italiani. 

Il tipo di attacchi registrati più frequenti sono quelli DDoS (distributed denial of service), phishing e ransomware dove la pubblica amministrazione, sia a livello centrale che locale, e il settore delle telecomunicazioni sono i principali target.

Quello riportato dall’ACN è, però, un quadro parziale: da un lato perché fa riferimento alle sole segnalazioni ricevute e gestite dall’agenzia, dall’altro perché alcuni tipi di attacco possono rimanere silenti anche per anni.

Fa notare Stefano Zanero, docente di cybersecurity al Politecnico di Milano interpellato da Irpimedia, che attacchi come il DDoS e il ransomware, congegnati apposta per spegnere o bloccare un sistema, sono tipicamente visibili e vengono denunciati dagli enti che ne sono vittima. Attacchi invece come quelli di Carmelo Miano, volti quindi all’esfiltrazione di dati, tendono invece a non farsi vedere.

Se Carmelo Miano ha potuto muoversi come un fantasma nella rete del Ministero della Giustizia dal 2022 al 2024 (Miano aveva bucato il ministero già nel 2021, ma la DGSIA pensava di aver bonificato i sistemi), chi può assicurare che non ce ne siano altri come lui?

Per il  procuratore capo di Napoli Gratteri  Miano è “un mago dell’informatica”, ma a guardare lo stato dell’arte questa spiegazione allontana l’attenzione dal fatto che le infrastrutture della pubblica amministrazione – anche quelle più delicate che gestiscono i dossier sulla criminalità organizzata e sul terrorismo – non abbiano i requisiti minimi di sicurezza per tenere fuori dai sistemi persone che sfruttano le proprie abilità e conoscenze informatiche al fine di commettere azioni malevole.