Luca Frabboni – Maat Srl
L’ultima indagine di Report, dedicata alla gestione remota dei computer del Ministero della Giustizia, merita una riflessione critica approfondita, soprattutto se rivolta a un pubblico di giuristi e operatori del diritto. Non tanto per il tema trattato – la sicurezza informatica delle infrastrutture giudiziarie è questione seria e centrale – quanto per il modo in cui esso è stato raccontato: con un impianto narrativo fazioso, tecnicamente impreciso e, soprattutto, funzionale a una lettura politica che nulla ha a che vedere con la realtà dei fatti.
Il servizio costruisce uno “scoop” fondato sulla suggestione del controllo occulto, insinuando che la possibilità di gestione remota dei computer dei magistrati equivalga a una sorveglianza segreta e incontrollata da parte dell’esecutivo. È una narrazione che fa leva sulla paura, non sulla competenza, e che omette deliberatamente il contesto tecnico, normativo e storico entro cui tali strumenti sono stati adottati.
Per comprendere la questione è necessario fare un passo indietro. Negli ultimi vent’anni, la digitalizzazione della pubblica amministrazione italiana – e della giustizia in particolare – è stata caratterizzata da frammentazione, ritardi strutturali e gravi lacune in termini di sicurezza. Il processo civile telematico, spesso citato come esempio di innovazione, ha mostrato nel tempo limiti evidenti sul piano dell’architettura IT e della protezione degli endpoint. Parallelamente, l’aumento esponenziale di attacchi ransomware e data breach contro enti pubblici ha reso indispensabile una gestione centralizzata e professionale dei sistemi informatici.
In questo contesto, nel 2019, sotto il ministro Alfonso Bonafede, il Ministero della Giustizia ha adottato una soluzione standard di mercato per l’endpoint management, basata su tecnologie Microsoft (allora System Center Configuration Manager, oggi Microsoft Endpoint Configuration Manager). Si tratta di strumenti utilizzati da governi, istituzioni europee e grandi multinazionali in tutto il mondo, la cui funzione è elementare: distribuire aggiornamenti di sicurezza, installare software, gestire configurazioni e fornire assistenza tecnica da remoto. Presentarli come “trojan di Stato” significa mentire sapendo di mentire, oppure – ipotesi non più indulgente – ignorare nozioni basilari di sicurezza informatica.
Una delle affermazioni più gravi del servizio riguarda la presunta assenza di tracciabilità delle operazioni. È falso. Ogni attività svolta tramite questi sistemi è soggetta a logging, audit trail, segregazione dei ruoli e principi di minimo privilegio. Gli amministratori con poteri elevati sono pochissimi, operano sotto monitoraggio costante e all’interno di procedure formalizzate, spesso supervisionate da Security Operation Center. L’idea che “chiunque possa spiare chiunque” è una caricatura che ignora decenni di best practice in ambito IT e cybersecurity.
Ancora più scorretto è il tentativo di attribuire tale infrastruttura a un disegno politico dell’attuale governo, quando la sua introduzione risale chiaramente a un precedente esecutivo. Qui emerge con evidenza la vera finalità del servizio: alimentare una narrazione funzionale allo spostamento del dibattito pubblico – e, non casualmente, del consenso – verso il “no” al referendum sulla giustizia, evocando scenari di controllo e compressione dell’autonomia della magistratura.
Il danno, tuttavia, va ben oltre la contingenza politica. Questo tipo di disinformazione produce un effetto raggelante (chilling effect) sul funzionamento delle istituzioni, mina la fiducia degli operatori e dei cittadini e rischia di bloccare qualsiasi futuro investimento in sicurezza digitale. In un Paese già fragile sul piano della sovranità tecnologica, delegittimare strumenti essenziali di difesa informatica significa esporre lo Stato – e quindi i diritti dei cittadini – a rischi ben più concreti di quelli evocati in trasmissione.
Non siamo di fronte a un Watergate digitale, ma a un caso emblematico di cattivo giornalismo tecnologico, dove la complessità viene sacrificata sull’altare dell’audience e della polemica politica. Per la comunità giuridica, la lezione è chiara: senza alfabetizzazione digitale e senza un dibattito pubblico fondato su competenza e rigore, la tecnologia continuerà a essere usata come strumento di paura, anziché come leva di efficienza, sicurezza e tutela dei diritti fondamentali.
