Lo cierto es que en la exfiltración de datos confidenciales de las bases de datos estatales más importantes, como la Interforce Ced del Ministerio del Interior o la Siva, que recopila informes contra el blanqueo de dinero (los llamados SOS), el “humano factor” habría sido crucial ». Así lo definieron en el Ministerio del Interior, después de que la investigación de la Fiscalía de Milán sobre la empresa Equalize de Enrico Pazzali arrojara luz sobre el papel de los “topos” dentro de las instituciones que robaban información secreta sobre personas y empresas.
Un poco como Pasquale Striano, el teniente de la Policía Financiera, adscrito a la oficina SOS de la Dirección Nacional Antimafia, que “robaba” informes financieros de políticos o empresarios y los entregaba, previa solicitud, a los periodistas. El caso del ministro de Defensa, Guido Crosetto, es crucial y, según los magistrados de Perugia coordinados por el fiscal Raffaele Cantone, era uno de los principales “objetivos” del expediente.
Funcionarios desleales
Reconstrucciones investigativas que han desencadenado una profunda reflexión sobre las bases de datos y las formas en que se gestionan. La propia Agencia Nacional de Ciberseguridad (ACN), organismo de inteligencia dependiente del Palacio Chigi y dirigido por el prefecto Bruno Frattasi, ha tomado nota, entre otras cosas, de una “criticidad” fundamental: la mayoría de las acciones fueron perpetradas por el posibilidad de acceso a la información gracias a los permisos asignados a funcionarios de la AP que luego resultaron ser “infieles”. Personajes que habrían jugado un doble juego con fines de esclarecimiento y que – en el delicado caso que examina la Fiscalía de Roma – podrían haber proporcionado información confidencial a sujetos extranjeros interesados en la especulación financiera en Italia.
La ACN ha lanzado estos últimos días un documento de 19 páginas con el que se difunden las nuevas directrices “para reforzar la protección de las bases de datos frente al riesgo de uso indebido”. Se ha entendido que la excesiva amplitud de permisos concedidos a los usuarios autorizados ha desencadenado un fenómeno que ha degenerado en compra y venta de información confidencial. Material útil para atacar a un enemigo político o empresarial y que, inevitablemente, corre el riesgo de manipular las tendencias del mercado.
Control «robusto»
Se decidió que estructurar un control coherente y robusto representa “la base para garantizar que” el acceso a las bases de datos “quede restringido al personal y a los usuarios autorizados”. Para ello, las identidades digitales del personal deben ser nominativas e individuales, no compartidas entre varias personas, además de poder rastrear el acceso y rastrear inequívocamente al personal interno y externo que los realiza.