“Report”, magistrati, appalti e cybespionaggio: la verità che nessuno racconta

Negli ultimi giorni, anche a seguito delle notizie divulgate dalla trasmissione Report su Rai 3, si è diffusa l’idea che i magistrati possano essere spiati dai loro computer. Un’affermazione tecnicamente e giuridicamente imprecisa. In informatica non esistono sistemi inviolabili. Esistono architetture più o meno robuste, progettate per ridurre il rischio di compromissione. Parlare di “non spiabilità” come condizione assoluta significa semplificare un tema che, per sua natura, è complesso e dinamico.
La prima distinzione che andrebbe sempre chiarita è quella tra sistemi informatici istituzionali e dispositivi personali. I magistrati operano su infrastrutture che rientrano nel perimetro delle infrastrutture critiche dello Stato: reti segregate, autenticazione forte, controlli sugli accessi, monitoraggio continuo. In questi contesti, un’azione di spionaggio non è impossibile in astratto, ma è estremamente improbabile senza capacità di livello statale.

Non esiste la non ‘spiabilità’ come condizione assoluta

I computer personali, invece, non godono di alcuna immunità tecnica e sono vulnerabili come quelli di qualsiasi cittadino. Confondere questi due piani alimenta una narrazione fuorviante.
C’è però un altro elemento, spesso assente dal dibattito pubblico, che incide in modo decisivo sulla sicurezza digitale della pubblica amministrazione e del sistema giudiziario: l’esternalizzazione dei servizi informatici. Negli ultimi anni, una quota crescente della gestione Ict della pubblica amministrazione è stata affidata a fornitori privati, attraverso appalti e concessioni. Questo modello solleva almeno due questioni cruciali. La prima riguarda i costi: l’esternalizzazione ha prodotto una lievitazione strutturale della spesa pubblica, con contratti pluriennali, rinnovi automatici e dipendenza tecnologica, spesso senza un reale rafforzamento delle competenze interne dello Stato. La seconda, ancora più delicata, riguarda la responsabilità nella gestione dei dati.

Piattaforme gestite da privati, chi controlla i dati?

Quando infrastrutture, piattaforme e servizi sono gestiti da aziende private per conto di uffici statali, la sicurezza non è più solo una questione tecnica, ma anche contrattuale, organizzativa e giuridica. Chi controlla davvero i dati? Chi risponde in caso di incidente? Chi garantisce che il perimetro di sicurezza non si sposti fuori dal controllo pubblico? Il quadro normativo esiste. Le Linee guida Agit, il ruolo dell’Agenzia per la Cybersicurezza Nazionale e la direttiva europea Nis2 impongono obblighi stringenti su gestione del rischio, responsabilità dei vertici e protezione dei dati. Ma nessuna norma può compensare una governance debole o una dipendenza eccessiva da soggetti esterni. La sicurezza informatica della giustizia non si tutela con slogan, ma con scelte strutturali, investimenti nelle competenze pubbliche e trasparenza nei modelli di gestione. Per sostenere che non esiste un’adeguata protezione dei sistemi informativi del sistema giustizia non bastano affermazioni generiche.