Postille sullo “scoop” di Report sul "software spia" nei pc dei magistrati

Le parole sono azioni, insegnava Ludwig Wittgenstein. E in alcuni ambiti le parole, quando particolarmente in libertà, possono tramutarsi in rischi: la sicurezza digitale è uno di quegli ambiti. L’inchiesta di Report che tanto ha infiammato la polemica politica è ormai nota: cosa ancora più rilevante, è già passata per le cure della magistratura e dei tecnici informatici di cui la procura di Roma si è servita, arrivando a decretare l’inesistenza, allo stato attuale, di rilievi penali. Il software targato Microsoft e acquistato, con regolare procedura ad evidenza pubblica, quando al Ministero della giustizia sedeva Alfonso Bonafede, è un software che nelle organizzazioni complesse garantisce interventi di ripristino e di assistenza da remoto, poiché la presenza fisica dell’informatico non può essere sempre garantita. La ricostruzione offerta da Report è piuttosto surreale e ha perfettamente ragione il ministro Carlo Nordio a rimarcarlo. D’altronde esperti informatici e di sicurezza digitale sostengono l’implausibilità di certe ricostruzioni. Ma c’è un aspetto che trascende la mera polemica politica e che rende la forma adottata dalla narrazione del programma di Rai 3 potenzialmente lesiva della cyber-resilienza nazionale, ormai cardine irrinunciabile dei dispositivi, tanto tecnici quanto normativi, di presidio delle infrastrutture cibernetiche. Un approccio olistico e resiliente alla sicurezza digitale non può infatti prescindere dalla fiducia.

Nel 2025, presso il World Economic Forum, è stata messa in risalto la fondamentale consistenza della fiducia nel digitale, quantificabile anche in termini economici. La capacità resiliente della cybersecurity è dettata da un complesso meccanismo cooperativo e collaborativo in cui la fiducia è motore invisibile, ragion pratica di un sistema. Gabriele D’Angelo e Giampiero Giacomello nel loro ‘Cybersicurezza’ (Il Mulino) sottolineano quanto la fiducia, assieme alla classica triade ‘confidentiality, integrity, availability’, sia uno dei cardini delle catene di sicurezza digitale. Tanto vero che la recentissima proposta di adozione di un nuovo Regolamento europeo in tema di cybersecurity è tesa ad aumentare le dinamiche cyber-resilienti, basate soprattutto su profili di collaborazione, cooperazione e integrazione tra pubblico e privato, tra strutture europee, statali e soggetti aziendali, legati tra loro proprio dalla fiducia. La certificazione dei servizi digitali, la sicurezza by design rispettosa dei parametri normativi, accresce la fiducia generalizzata. Il 20 gennaio 2026, la Rappresentanza in Italia della Commissione europea ha sottolineato come la nuova normativa, allo studio, ‘per i cittadini, le imprese e le autorità pubbliche dell'UE, garantirà un elevato livello di sicurezza e fiducia nelle complesse catene di approvvigionamento delle TIC’.

La modalità narrativa adottata da Report, alla luce anche di quanto emerso dalle risultanze della Procura romana, incrina fortemente il canone fiduciario che lega tra loro operatori, fornitori, singoli operatori e in generale tutta l’architettura posta a presidio del dominio cibernetico: la sicurezza digitale angolarmente basata sulla fiducia è costruita non solo su approvvigionamento di beni e servizi rispondenti a un generale principio di responsabilità tecnologica ma anche su precisi fattori comportamentali di tutti gli operatori. Per questo l’idea, ad oggi priva di reale sostanza, di una sorta di sorveglianza di massa esercitabile in maniera arbitraria è esiziale. E sempre per questo merita approfondimento il ruolo del tecnico informatico che avrebbe illustrato al magistrato di Alessandria la possibilità di intrusione da remoto all’insaputa del titolare del computer. Nel caso infatti l’informatico avesse omesso di rappresentare al magistrato i meccanismi elaborati dalle compagnie di software per arginare intrusioni arbitrarie e il sistema istituzionale di sicurezza digitale posto a presidio della riservatezza dell’utilizzo del pc si sarebbe reso responsabile egli stesso di una violazione disciplinarmente apprezzabile. Un tecnico munito di privilegi informatici lascia tracce univoche, attraverso i propri log. Del pari, il sistema di presidio della nostra sicurezza cibernetica rende implausibile generalizzate condotte arbitrarie da parte di amministratori di sistema e tecnici, come ha rimarcato Microsoft in una propria nota. Certo, nessun software è mai sicuro al cento per cento e le vulnerabilità rappresentano un elemento nodale del digitale, ma sorveglianza e spionaggio sono ben altra cosa. E proprio per questo tanto le società sviluppatrici quanto i lavoratori del settore producono argini e regimi di responsabilità, tecnici e giuridici. Nel 2023, la nostra Agenzia per la cybersicurezza nazionale ha delineato “Ruoli e responsabilità della cybersicurezza - Elementi chiave per l’assegnazione”, tesi ad aumentare il “grado di consapevolezza di ogni individuo in relazione alle responsabilità connesse al suo ruolo”. Responsabilità, appunto.