Le due società sequestrate dai pm di Napoli, "Stm Srl" e "eSurv Srl", fornivano ai magistrati irpini l'hardware e il software "Exodus" per gli ascolti. Però il sistema era facilmente accessibile dall'esterno e i dati captati non finivano sul computer degli uffici giudiziari, risultati vuoti, ma arrivavano su un cloud non protetto negli Usa. Insieme ai dati carpiti da altre Procure
Fornivano alla procura hardware e software per le intercettazioni. Però il loro sistema era facilmente accessibile da chiunque avesse una connessione a internet e le password e i dati captati non finivano sul server dei magistrati, risultati vuoti, ma arrivavano su un cloud Amazon negli Stati Uniti. Insieme agli ascolti ordinate da altre Procure nell’ambito di altri procedimenti giudiziari. Non ci sono solo i dati carpiti dai telefonini di ignari utenti che avevano scaricato alcune app infettate da Google Play Store a mettere nei guai le due società informatiche finite sotto i riflettori dei pm di Napoli, coordinati direttamente dal procuratore Giovanni Melillo: Stm Srl e eSurv SRl avevano a disposizione dati sensibili che non sarebbero mai dovuti uscire dagli uffici giudiziari. E non solo da quello di Benevento per il quale lavoravano.
Le protagoniste della vicenda sono due società, una romana, l’altra calabrese, entrambe sequestrate. La prima, Stm Srl, è l’azienda che aveva vinto l’appalto presso la Procura di Benevento. Aveva fornito i pc e le utenze con cui il personale di polizia giudiziaria lavorava: per eseguire l’intercettazione, l’agente doveva inserire nel sistema fornito da Stm la password, l’IMEI (il codice unico che identifica ogni cellulare) e il numero di procedimento penale. Stm aveva acquistato la piattaforma informatica, Exodus, da un’altra ditta, eSurv Srl, azienda unipersonale con sede a Catanzaro. Che aveva stipulato con la prima un contratto nel quale si impegnava a depositare tutti i dati acquisiti durante le intercettazioni presso un server di proprietà di Stm e situato negli uffici di via De Caro 7. Tutto questo però senza che la Procura ne sapesse nulla.
E qui cominciano i problemi. Perché l’accesso al server dovrebbe essere possibile solo attraverso i computer della Procura e tramite il canale dedicato fornito dalla società. Invece gli inquirenti hanno accertato che era possibile arrivare ai dati collegandosi direttamente alla piattaforma Exodus. Questo perché il software aveva un indirizzo IP pubblico sempre accessibile da un qualunque computer in qualunque parte del mondo a chiunque fosse semplicemente in possesso di una connessione al web e delle password. “Tale configurazione – scrive il Gip nel decreto di sequestro – permette l’utilizzo e la visibilità del dato a qualsivoglia soggetto“.
Non solo. Il problema principale è che sul server della Procura i dati non sono mai arrivati. Il macchinario, infatti non ha neanche il sistema operativo e, prosegue il giudice, “è totalmente irrilevante ai fini della fruibilità” delle informazioni. Perché queste ultime si trovano su un cloud di Amazon situato in Oregon, negli Stati Uniti. Al quale si può accedere attraverso la piattaforma Exodus e “gestire i dati direttamente e senza limitazione alcuna“. Come dimostrato a ottobre di fronte agli stessi inquirenti da Salvatore Ansani, legale rappresentante di eSurv e indagato nel procedimento, che tramite un accesso “privilegiato” al database aveva consultato ed estratto le informazioni. Dimostrando che era possibile farlo senza che Stm né i magistrati ne sapessero nulla.
L’aspetto più inquietante: sul cloud di Amazon gli inquirenti hanno trovato codici IMEI di diversi uffici di giustizia (oltre a quello di Benevento, la Direzione centrale dei servizi antidroga, altre Procure, partner privati) e dati relativi a intercettazioni effettuate da altre Procure nell’ambito di altri procedimenti giudiziari. E qui il campo si allarga, poiché eSurv aveva noleggiato i propri sistemi ad altre aziende incaricate della gestione delle intercettazioni telematiche a Patrica, in provincia di Frosinone, Latina, Aprilia (nella provincia pontina) e Caltanissetta. Tutte vincolate da un accordo che ne prevede l’utilizzo solo per le intercettazioni autorizzate dall’autorità giudiziaria.
L’indagine è nata per caso. La connessione tra la postazione utilizzata per le intercettazioni e il server dell’ufficio giudiziario si interrompeva di continuo. Le difficoltà erano durate giorni, così gli agenti avevano provato a connettersi da altri dispositivi – pc, notebook e smartphone – collegandosi all’indirizzo IP visibile sul software fornito dalla società. E avevano scoperto che era possibile, quando l’accesso avrebbe dovuto avvenire solo dai pc della Procura, e che il certificato SSL, creato per garantire la trasmissione sicura e protetta delle informazioni, era scaduto nel 2017. Ma quello era il minore dei problemi.