Il servizio anticipato da Report nei giorni scorsi sul software di controllo installato nei computer del Ministero della Giustizia ha suscitato perplessità e preoccupazioni nei magistrati, sul fronte politico e nell’opinione pubblica. Prima di esprimermi ho atteso la messa in onda del servizio, per vederne il contenuto e formarmi un’opinione basata su informazioni più complete. Risultato: il vero problema non è tanto il software, quanto la mancanza di informazioni – o di chiarezza – sulla sua governance.

Le premesse, agli occhi e alle orecchie di un tecnico informato estraneo alla vicenda, indicavano essenzialmente che, per la gestione centralizzata di tutti i computer del Ministero, viene utilizzato Microsoft ECM, un software che per sua natura è utile, legittimo e regolarmente utilizzato in molte organizzazioni sia pubbliche che private, descrizione che i giornalisti di Report hanno dato correttamente, specificando che non si tratta di un software-spia, anche se alcune testimonianze nel servizio lo hanno etichettato in modo errato e fuorviante con termini come “cimice” e “trojan di Stato”.

Per inciso: quando dico “tutti i computer del Ministero” parlo di circa 40mila computer utilizzati da tutti coloro che lavorano alle dipendenze del Ministero. Un contesto in cui è necessario gestire l’inventario di hardware e software, avere il controllo delle licenze, programmare ed eseguire tutti i dovuti aggiornamenti per la sicurezza ed effettuare operazioni di helpdesk. Un’infrastruttura di grandi dimensioni richiede una gestione centralizzata di queste esigenze: per comprensibili difficoltà logistiche, non è pensabile che questa gestione sia affidata a un tecnico, ma sarebbe complesso anche per un team di tecnici pronti a intervenire fisicamente su ogni singolo pc.

Microsoft ECM consente di superare questi limiti e, tra le varie funzionalità, prevede quella di Remote Control, ad esempio, progettata ovviamente per effettuare assistenza tecnica da un altro dispositivo. Generalmente, prima di un intervento effettuato da remoto, è previsto che l’utente dia il consenso all’attività e accetti il collegamento. Tuttavia, è effettivamente possibile impostare un’opzione che permette di avviare quel collegamento anche senza consenso e questo è chiarito dalla stessa Microsoft che, nella documentazione tecnica, spiega esplicitamente che lo strumento “può anche monitorare gli utenti senza il loro permesso o consapevolezza” a seconda di come viene configurato.

Il software include anche strumenti di Software Metering per raccogliere dati sull’uso del computer (è possibile rilevare quali applicazioni vengono aperte, per quanto tempo e da quale utente, in background e senza notifiche all’utente) e permette di effettuare, sempre senza interazioni con l’utente, attività approfondite di ispezione su configurazione di sistema, utenti, file a scopo di inventario di hardware e software, così come l’esecuzione di script e comandi da remoto per estrarre informazioni o file senza che appaia nulla sullo schermo dell’utente.

I vertici del Ministero dichiarano che Microsoft ECM non può essere utilizzato per attività di controllo remoto senza il consenso degli utenti, ma questo è un impedimento procedurale e non tecnico, poiché è stato riscontrato che le notifiche e le richieste di consenso agli utenti possono effettivamente essere disattivate. Le possibilità di accesso “stealth” ad un pc dipendono dalla disattivazione intenzionale di questi controlli e di tutte queste operazioni, ovviamente, resta traccia. A quanto pare, tuttavia, nessuno rileva queste tracce, ne’ chiede conto di queste operazioni, come è stato dimostrato dai test effettuati da un giudice – il gip di Alessandria Aldo Tirone – con la collaborazione di un tecnico informatico interno, che per mesi e in più occasioni ha effettuato varie prove di collegamento remoto senza riscontrare alcun tipo di alert e, in seguito, senza ricevere alcuna segnalazione da chi dovrebbe avere la governance del sistema.

Occorre dunque considerare un aspetto importante: queste caratteristiche di Microsoft ECM, se non vincolate, lo rendono più adatto alla gestione dei dispositivi di organizzazioni che, per loro natura, trattano dati meno riservati e sensibili. Pensiamo ad esempio ai computer collegati ai display che mostrano i dati di arrivi e partenze presenti in aeroporti e stazioni ferroviarie, oppure a totem informativi o pubblicitari: in sintesi, è lo strumento ideale per la gestione di postazioni non presidiate (e che quindi non hanno un utilizzatore che deve dare un consenso alle attività di aggiornamento o manutenzione).

Sorgono quindi di conseguenza almeno due domande. La prima: per quale motivo, nel 2019, per la gestione e la manutenzione software dei computer del Ministero della Giustizia a tutti i livelli – da quelli amministrativi fino a quelli in uso ai magistrati – la scelta è caduta su Microsoft ECM? La seconda: come vengono gestite le informazioni relative alle operazioni effettuate senza trasmettere segnalazioni agli utenti?

Ricevere risposta a tali quesiti potrebbe, forse, contribuire a rendere meno fondate le perplessità sorte su questo software e a trasmettere la percezione di un Ministero che ha il controllo della situazione. Sicuramente una soluzione che consenta una gestione ottimale delle attività di supporto, manutenzione e aggiornamento è necessaria ad una realtà come quella del Ministero della Giustizia, soprattutto pensando alla sicurezza dei dati e ricordando che in un recente passato ci sono stati episodi allarmanti come l’attacco messo in atto nel 2024 dall’hacker Carmelo Miano, che riuscì a violare i server del Ministero della Giustizia, della Guardia di Finanza e di Telespazio, non con software di controllo remoto, ma utilizzando credenziali reali di magistrati e personale amministrativo carpite grazie a un malware trasmesso ai pc di due dipendenti del Ministero. Probabilmente privi di aggiornamenti o adeguate protezioni.