Una preoccupante falla di sicurezza interesserebbe le reti di comunicazione italiane tanto da mettere a rischio i dati delle telefonate, degli SMS e di tutto quanto corre sul web come email, chat e tanto altro. Ad aprire il coperchio di questo vaso di Pandora ci ha pensato una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti, che La Repubblica ha avuto modo di visionare in anteprima.
Quello che emergerebbe dal rapporto del Garante Privacy, redatto nel periodo in cui scoppiò il caso Datagate, è un quadro non certamente positivo. I problemi ruoterebbero intorno agli Ixp, internet exchange point e ai sistemi che dovrebbero garantire la loro sicurezza. Gli Ixp sono, sintetizzando, i luoghi in cui convergono le reti dei provider che sono poi smistate verso l’esterno. In sintesi, quando un utente Tiscali vuole collegarsi ad un server ospitato all’interno della rete di Wind, deve passare attraverso un Ixp che mette in contatto le due reti. In Italia sono 9 gli Ixp, di cui 3 i principali che si si trovano a Milano, Roma e Torino.
La Repubblica sottolinea che il dossier evidenzia come criticità degli Ixp, la possibilità che qualcuno possa intercettare il traffico passante con una semplice operazione di port mirroring. Semplificando, qualcuno potrebbe replicare in tempo reale il traffico in transito dirottando il flusso dei dati verso un’altra porta, per poi analizzarlo attraverso specifici strumenti.
Questa tecnica richiederebbe però l’accesso fisico alle stanze dei server e questa necessità teoricamente dovrebbe scongiurarne il rischio. Tuttavia, il dossier sottolineerebbe che la cosa sia tutt’altro che impossibile. La relazione infatti sottolinea come sarebbero state riscontrate
una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi.
“Accuse” però respinte al mittente da parte dell’ingegnere Michele Goretti, direttore dell’Ixp di Roma, che avrebbe sottolineato come la struttura che dirige possegga una certificazione di sicurezza Iso27001.
Ma gli ispettori che hanno redatto il dossier insistono nell’affermare questa criticità ed anzi sottolineano come questo problema debba essere affrontato con la massima serietà in quanto attraverso gli Ixp passano tutte le comunicazioni digitali dell’Italia. Non solo internet infatti, perché da almeno una decina d’anni anche le comunicazioni telefoniche sono digitalizzate e dunque trasmesse attraverso le reti internet.
L’allarme del Garante Privacy è stato preso con “filosofia” da molti addetti ai lavori. Sempre Michele Goretti afferma come il rischio di una duplicazione dei dati sia in realtà molto basso perché l’operazione sarebbe molto complessa e con risultati parziali anche se comunque non impossibile. Giuliano Tavaroli, ex responsabile della sicurezza di Telecom e del Gruppo Pirelli, è dell’idea invece che vista la scarsità di sicurezza degli Ixp italiani, più che scoprire se i dati sono oggetti di intercettazione, sarebbe più importante capire chi lo sta facendo e perché visto che in Italia i servizi segreti non dispongono dei mezzi per immagazzinare e analizzare moli significative di dati. Probabilmente, afferma Giuliano Tavaroli, oggi non si riuscirebbe nemmeno a capire che sono in corso delle intercettazioni.
La fragilità degli Ixp italiani e la presunta facilità con cui qualcuno potrebbe spiare i dati degli italiani senza che nessuno se ne accorga, fa tornare alla mente il famoso comunicato di Vodafone del 6 giugno scorso sulla gestione della privacy, dove l’operatore svelò come molte agenzie governative spiavano gli utenti di alcuni Paesi senza che sostanzialmente nessuno se ne accorga, nemmeno gli operatori stessi.
Non è il caso dell’Italia fortunatamente, ma la fragilità delle infrastrutture di rete nazionali rende quantomeno indispensabile rivedere tutte le policy di sicurezza e di gestione della privacy per scongiurare futuri problemi.
Proprio sulle regole, il Garante Privacy ha ancora qualcosa da dire. Per l’Autority, non essendoci obblighi specifici, gli Ixp possono fare quello che vogliono senza essere controllati. Un problema che probabilmente dovrà essere risolto con una normativa ad hoc.
Per svolgere la propria attività gli Ixp non hanno la necessità di trattare i dati personali degli abbonati o degli utenti e quindi (…) non assumono la qualifica di titolare del trattamento, in relazione alla quale il Garante potrebbe prescrivere loro direttamente le misure ritenute necessarie o opportune per rendere il trattamento dei dati conforme alle disposizioni di legge.