Da Wired.it :
In 134 Procure i sistemi di videosorveglianza della controversa multinazionale sono acquistati dal ministero della Giustizia per controllare le sale intercettazioni. L’inchiesta di Wired
Oltre mille telecamere della multinazionale cinese Hikvision sorvegliano le sale intercettazioni delle Procure italiane. Le ha acquistate il ministero della Giustizia nel 2017 per la messa in sicurezza di quei centri dove sono conservati dati estremamente sensibili, frutto delle intercettazioni, di cui deve garantire la segretezza. Hikvision, un colosso che ha chiuso il 2019 con un giro d’affari di 57,6 miliardi di renminbi (circa 7,45 miliardi di euro), è considerata la più importante e innovativa azienda di videosorveglianza al mondo. Al tempo stesso, il fatto che lo Stato cinese sia tra i suoi azionisti e che tecnologia dell’azienda sia usata nella repressione della comunità degli uiguri, una minoranza musulmana che vive nella provincia interna dello Xinjiang, ne fanno un nome controverso. Gli Stati Uniti, prima nel 2019 e poi nel 2020, l’hanno messa al bando.
In Italia le telecamere della multinazionale sono in 134 Procure almeno da tre anni. Quando, nel 2017, la riforma del codice penale varata dall’allora ministro della Giustizia, Andrea Orlando, prescrive di dotare i centri intercettazioni telefoniche (cit) di nuovi impianti elettrici e di videosorveglianza, per comprare la tecnologia via Arenula fa ricorso a una convenzione che la centrale degli acquisti per la pubblica amministrazione, Consip, ha stipulato con Tim e Fastweb. L’appalto viene assegnato nel 2018. Valore: 6 milioni di euro, Iva esclusa. Dai documenti di gara, ottenuti da Wired attraverso una richiesta di accesso agli atti, emerge che quelle risorse sono servite a pagare l’acquisto, l’installazione e la manutenzione per due anni di 1.105 telecamere targate Hikvision e del software e degli accessori per farle funzionare.
La gara per la videosorveglianza
La direzione generale delle risorse materiali e tecnologie del ministero della Giustizia, a cui viene affidata la partita, suddivide i lavori in tre lotti. Due se li aggiudica Fastweb, che rifornisce per un totale di circa 3,7 milioni di euro le Procure di Piemonte, Valle d’Aosta, Liguria, Lombardia, Veneto, Trentino Alto-Adige, Friuli-Venezia Giulia, Campania, Basilicata, Puglia, Calabria e Sicilia. L’appalto da 2,3 milioni tra Emilia Romagna, Toscana, Lazio, Marche, Abruzzo, Molise, Umbria e Sardegna va a Tim che, pur avendo esaurito il plafond dell’offerta Consip, garantisce al ministero gli stessi prodotti agli stessi prezzi.
Via Arenula acquista due tipi di telecamere: bullet, modelli dalla forma cilindrica agganciati a un braccio meccanico che ne consente il movimento, e dome, le “cupole”, che permettono all’occhio elettronico di ruotare di 360 gradi. Questi impianti devono sorvegliare i centri intercettazioni, che comprendono gli archivi del materiale raccolto con trojan e cimici, le sale server e gli spazi per l’ascolto. Luoghi da proteggere con misure rafforzate, tanto che, come si legge nel contratto tra il ministero e Tim, occorre prevedere “la predisposizione di un sistema separato” dalla videosorveglianza già installata nelle procure per segregare le reti e impedire incursioni indesiderate.
Fastweb installa nel complesso 733 telecamere in 84 strutture, Tim 372 in 50. In aggiunta, come emerge dai documenti di gara, alle due aziende spettano 24 mesi di manutenzione, impianti elettrici, apparecchi e connessioni per far funzionare il nuovo sistema di controllo degli accessi. A Wired Fastweb ha confermato che “è stato completato l’iter di posa e cablaggio dei sistemi di videosorveglianza” e “che la fornitura, giudicata conforme al bando di gara, ha ottenuto il regolare collaudo da parte della stazione appaltante”, leggi il ministero della Giustizia. Tim non ha fornito risposte alle domande di Wired.
Cosa prevede la convenzione Consip
Le telecamere installate, si legge nei documenti di gara, sono i modelli DS-2CD4635FWD-IZS (bullet) e DS- 2CD4535FWD-IZ (dome). Fastweb vende le prime a 252,74 euro al pezzo e le seconde a 208,79. Tim rispettivamente a 291,2 euro e 207,2 euro. In particolare, come spiega a Wired in via confidenziale un tecnico che installa telecamere Hikvision per la pubblica amministrazione, il modello bullet non è un prodotto standard tra quelli in uso negli uffici pubblici. Ha funzioni avanzate. Per esempio, è predisposto per riconoscere se qualcuno varca un confine prestabilito (line crossing) o se c’è una borsa abbandonata, rileva i volti ed è capace di contare gli oggetti e capire se ne sono stati aggiunti o spostati. Un occhio elettronico potente, che genera un flusso video da 45 a 60 frame al secondo (la media è di 20/25) e pertanto succhia molta energia: 24 watt contro una media di 4-5. Nel 2017 era uno dei prodotti di punta per grandi appalti nel catalogo di Hikvision.
Oggi, precisa la fonte, anche telecamere più economiche hanno le stesse funzioni, ma con protocolli di compressione avanzati, che rendono più economico archiviare i dati registrati. Nel 2017, tuttavia, la scelta di mettere a guardia delle sale cit questi modelli di Hikvision non è dettata dalla segretezza del materiale conservato in quelle sale. Basta fare una ricerca su Google con i codici prodotto di questi e altri dispositivi del bando Consip per scoprire che quella stessa tecnologia è stata installata in decine di uffici pubblici italiani, dalla sede di Spoleto della società multiservizi Valle Umbra all’azienda ospedaliera universitaria di Cagliari, dalla Galleria degli Uffizi di Firenze al Comune di Terni a quello di Rimini.
Tutti innamorati di Hikvision? No, molto più semplicemente erano quelle le telecamere offerte dalla convenzione Consip, che valeva complessivamente 56,7 milioni di euro. Come specifica Fastweb a Wired: “Fastweb ha incluso tra le telecamere indicate nel listino di fornitura anche i dispositivi del produttore Hikvision in quanto le caratteristiche delle telecamere in oggetto sono in linea con le specifiche previste dalla convenzione Consip Vds1 (relativa alla videosorveglianza, ndr)”. E aggiunge che “la valutazione del rispetto dei requisiti tecnici e del funzionamento della fornitura ai fini dell’aggiudicazione della gara spetta dunque all’ente appaltante, in questo caso a Consip”.
A richiesta di chiarimento, Consip ha prima dichiarato di non aver ricevuto le domande di Wired e, dopo un secondo invio, non ha fornito risposte. Né lo ha fatto il ministero della Giustizia, al quale spetta verificare che i livelli di sicurezza delle telecamere installate siano conformi alle sue necessità e che, a due settimane dalla richiesta, ha fatto sapere di non avere avuto il tempo di dare seguito alle domande.
Non hanno avuto fortuna nemmeno una richiesta di accesso agli atti e la successiva istanza di riesame, respinte dal ministero perché spedite a un ufficio diverso da quello che detiene le informazioni. O almeno è questa una delle obiezioni, in punta di burocratese, mosse da via Arenula a Wired, nonostante la stessa Autorità nazionale anticorruzione (Anac) caldeggi nelle proprie linee guida proprio la trasmissione delle richieste di accesso agli atti all’ufficio competente, dopo che queste sono entrate nel palazzo giusto. E così restano sconosciuti molteplici dettagli del bando da 6 milioni di euro, compresi quelli che verrebbero rivelati dalle fatture, richieste ma negate perché “contengono l’ubicazione delle sale cit e, quindi, un dato che è suscettibile di arrecare un concreto pregiudizio alla sicurezza pubblica”, si legge nella risposta inviata dal ministero. La stessa che contiene però i contratti con Tim e Fastweb, nei quali è possibile vedere proprio la lista delle sale cit e della loro ubicazione (sic).
Maggiori chiarimenti arrivano invece da Fastweb, la quale conferma che non sono state attivate “funzionalità specifiche delle telecamere, come la registrazione audio o il riconoscimento volti, ma solo la registrazione video”, in quanto non presenti nella convenzione.
Sorveglianza made in China
La scelta di Consip di accendere luce verde alle telecamere di Hikvision solleva qualche perplessità già nel 2017, quando viene stipulata la convenzione dopo una gara iniziata nel 2015. Allora Arianna Spessotto, deputata del Movimento 5 Stelle, porta la questione in Parlamento con un’interrogazione, sulla scia di articoli di stampa nel Regno Unito, che sollevano dubbi sulla sicurezza informatica delle apparecchiature, acquistate dagli enti pubblici di sua maestà, e sulla contiguità tra la multinazionale e i militari cinesi.
Hikvision, tuttavia, rimane a bordo. Interpellate da Wired, alcuni fonti vicine al Comitato parlamentare per la sicurezza della repubblica (Copasir) non hanno saputo dire se la questione sia stata esaminata dalla commissione che vigila sui servizi segreti.
Di parere diverso sono gli Stati Uniti che, tramite i propri diplomatici in Europa, si sono fatti sentire a più riprese per ottenere una limitazione. Dopotutto, quella tra Washington e Pechino è una guerra commerciale che non conosce colore politico. Prima l’ex presidente Donald Trump a più riprese ha messo paletti ai colossi tecnologici cinesi nel mercato a stelle e strisce. Ma anche il nuovo inquilino della Casa Bianca, Joe Biden, ha detto la sua. Risale a metà marzo la decisione della Federal communication commission (Fcc) di inserire Hikvision nella lista di aziende “che pongono un rischio inaccettabile alla sicurezza nazionale degli Stati Uniti”, sulla base di una legge del 2019. Lo scopo secondo la presidente della Fcc, Jessica Rosenworcel, è di “non ripetere gli errori del passato o che vengano usate attrezzature o servizi che costituiscono una minaccia alla sicurezza nazionale degli Stati Uniti o alla sicurezza degli americani”.
A Wired Hikvision ha fatto sapere che “come leader di mercato, è impegnata a mantenere i più alti standard produttivi”. “Come azienda manifatturiera che non vende direttamente ai clienti finali in non supervisioniamo le operazione dei nostri prodotti, ma possiamo assicurare che le nostre telecamere sono progettate per proteggere comunità e proprietà”, ha aggiunto.
Nel 2018 Consip ha bandito una nuova gara per la videosorveglianza degli enti pubblici da 65 milioni. A marzo dell’anno scorso è arrivata alla fase di ammissione ed esclusione dei vari concorrenti per i 10 lotti messi in palio. Ancora non è chiaro che tecnologie e aziende verranno arruolate, ma rispetto al 2017 gli apparati potrebbero dover passare attraverso le maglie del perimetro cibernetico nazionale (che regola la sicurezza informatica delle infrastrutture critiche dello Stato) e sotto la lente di un nucleo di esperti del ministero dello Sviluppo economico, il cosiddetto Centro di valutazione e certificazione nazionale (Cvcn).
Tuttavia anche questi sistemi di controllo non sono operativi al 100%. Mancano all’appello ancora i decreti attuativi necessari a rendere il perimetro pienamente operativo. Mentre al Cvcn devono arrivare i tecnici. Un bando è stato lanciato nel 2020 per assumerne 70 ma, complice l’emergenza Covid-19, non ha fatto grandi passi in avanti.
La sicurezza della tecnologia
“Gli Stati Uniti continuano a porre l’attenzione sui rischi connessi con l’impiego di tecnologie prodotte da aziende cinesi, a causa dei loro possibili legami con il governo di Pechino – spiega a Wired Stefano Mele, avvocato e presidente della Commissione sicurezza cibernetica del Comitato atlantico italiano -. Ma occorre considerare che, oltre a questo profilo primario di criticità e al netto quindi di eventuali azioni dolose, ogni tipo di tecnologia è spesso soggetto a problemi di sicurezza, al di là del Paese produttore”.
Non ne è immune neanche Hikvision, nei cui prodotti sono state riscontrate alcune vulnerabilità che avrebbero permesso la compromissione esterna degli stessi anche con “limitate capacità tecniche”, come si legge in un report dell’Agenzia statunitense per la sicurezza informatica e delle infrastrutture (Cisa). Più recenti sono invece le segnalazioni diramate dalla stessa organizzazione a dicembre del 2019, che riguardano delle vulnerabilità tali da permettere il controllo da remoto di alcuni modelli di telecamere attraverso il loro indirizzo Ip. Modelli diversi da quelli acquistati dal ministero della Giustizia, ma accomunati dalla predisposizione all’accesso remoto tramite diversi protocolli tra cui proprio quello Ip, che potrebbe costituire una vulnerabilità qualora le camere non siano connesse a una rete sicura e riservata.
“Tutti i prodotti Iot (internet of things, ndr), come queste telecamere, possono essere soggetti a potenziali vulnerabilità”, spiega a Wired Stefano Zanero, professore associato in Computer security del Politecnico di Milano. “Oltre alla sicurezza del dispositivo, diventa centrale la capacità di configurarlo in modo corretto – aggiunge Zanero -. Una sfida ancora più ardua in installazioni così tanto massive. Auspicabilmente, tutte le camere saranno quantomeno connesse su reti locali e separate fisicamente da internet”, chiosa. In risposta alle domande di Wired, Fastweb ha fatto sapere che “gli apparati non sono dotati di connettività wifi e non sono posizionati nelle sale intercettazioni”.
La riforma delle intercettazioni
Le videocamere sono solo il prima passo per riorganizzare le sale cit. La riforma della giustizia penale 2020, firmata dall’ex Guardasigilli Alfonso Bonafede, ha previsto nuovi investimenti per gli allestimenti delle strutture. Il dato comunicato ufficialmente è di 60 milioni di euro per 140 centri, destinati all’acquisto, tra le altre cose, di 1.100 computer e 700 tra rack e server. E, nuovamente, sistemi di sorveglianza e tracciatura delle attività di cui non si conoscono i dettagli, celati dal respingimento della richiesta di accesso agli atti presentata da Wired.
In generale la riforma delle intercettazioni, all’interno della quale si collocano anche questi acquisti, è contestata da più parti. Per esempio, dai penalisti. Come hanno raccontato a Wired Fabrizia Bussolino e Simone Giacosa, avvocati dello studio legale Leading law, “è la Procura a decidere quali siano le intercettazioni utili e rilevanti”, che i difensori possono consultare nei centri. Di fatto, al termine delle operazioni, la polizia giudiziaria trasmette verbali e registrazioni al pubblico ministero. E qui si aprono due strade.
Nella prima il pm, entro cinque giorni, deposita il materiale intercettato nell’archivio digitale e stabilisce i tempi per la consultazione da parte dei difensori. “Per evitare fughe mediatiche non si possono estrarre copie delle intercettazioni. Occorre andare nelle sale per l’ascolto. E senza poter portare un consulente tecnico. In questo modo la difesa sarà costretta ad affidarsi alla Procura nell’individuazione del prove atte a scagionare il proprio assistito, il che è paradossale”, incalzano i due legali. Passata questa prima fase, pm e difensori sottopongono al giudice l’elenco delle conversazioni e dati da acquisire. E solo al termine dell’udienza stralcio cade il segreto su questi documenti e i legali della difesa possono ottenere delle copie.
Nel secondo caso, invece, il giudice per le indagini preliminari può autorizzare il pm a ritardare il deposito di questi atti se ritiene che ne “possa derivare un grave pregiudizio per le indagini”. Al difensore vengono notificate solo le intercettazioni che il pm considera rilevanti, sulle quali cade il segreto. Per le altre, ha venti giorni a disposizioni per consultarle e può proporle di aggiungerle alla lista, se ottiene il via libera dal pm. Viceversa occorre passare dal giudice. Per i penalisti questo ssitema non solo compromette il diritto alla riservatezza, ma anche alla difesa, perché magari nel materiale scartato dal pm e frutto di anni di raccolta di dati vi sono delle comunicazioni che potrebbero essere utili per la linea della difesa, ma che rischiano di rimanere affogati nel mare magnum delle conversazioni non giudicate rilevati.
Dai tempi della riforma Orlando, invece, il ministero deve stabilire un listino nazionale per razionalizzare le spese per le intercettazioni, che nel 2021 si prevede costeranno 213 milioni di euro. Via Arenula avrebbe dovuto approvare il tariffario entro il 31 dicembre 2017, ma siamo ancora alla fase delle bozze.
Potrebbe interessarti anche