Comunicazioni del presidente:
Colosimo Chiara , Presidente ... 2
Sulla pubblicità dei lavori:
Colosimo Chiara , Presidente ... 2
Audizione di Paolo Savini, presidente della SOGEI, e di Cristiano Cannarsa, amministratore delegato della SOGEI, nell'ambito del filone di inchiesta sulle vicende relative al cd «dossieraggio» di esponenti politici e del mondo economico:
Colosimo Chiara , Presidente ... 2
Savini Paolo , presidente di SOGEI ... 2
Colosimo Chiara , Presidente ... 7
Cannarsa Cristiano , amministratore delegato di SOGEI ... 7
Colosimo Chiara , Presidente ... 8
Cannarsa Cristiano , amministratore delegato di SOGEI ... 9
Colosimo Chiara , Presidente ... 9
Cannarsa Cristiano , amministratore delegato di SOGEI ... 9
Colosimo Chiara , Presidente ... 10
Cannarsa Cristiano , amministratore delegato di SOGEI ... 10
Colosimo Chiara , Presidente ... 10
Cannarsa Cristiano , amministratore delegato di SOGEI ... 10
Colosimo Chiara , Presidente ... 10
Cannarsa Cristiano , amministratore delegato di SOGEI ... 10
Colosimo Chiara , Presidente ... 10
Cannarsa Cristiano , amministratore delegato di SOGEI ... 10
Colosimo Chiara , Presidente ... 10
Cannarsa Cristiano , amministratore delegato di SOGEI ... 10
Savini Paolo , presidente di SOGEI ... 11
Colosimo Chiara , Presidente ... 11
Cannarsa Cristiano , amministratore delegato di SOGEI ... 11
Colosimo Chiara , Presidente ... 11
Gasparri Maurizio ... 11
Cannarsa Cristiano , amministratore delegato di SOGEI ... 11
Savini Paolo , presidente di SOGEI ... 12
Colosimo Chiara , Presidente ... 12
Savini Paolo , presidente di SOGEI ... 12
Colosimo Chiara , Presidente ... 12
Savini Paolo , presidente di SOGEI ... 12
Colosimo Chiara , Presidente ... 12
Cantalamessa Gianluca ... 12
Cannarsa Cristiano , amministratore delegato di SOGEI ... 12
Cantalamessa Gianluca ... 12
Cannarsa Cristiano , amministratore delegato di SOGEI ... 12
Cantalamessa Gianluca ... 12
Savini Paolo , presidente di SOGEI ... 12
Colosimo Chiara , Presidente ... 13
Cannarsa Cristiano , amministratore delegato di SOGEI ... 13
Savini Paolo , presidente di SOGEI ... 13
Cannarsa Cristiano , amministratore delegato di SOGEI ... 13
Cantalamessa Gianluca ... 13
Cannarsa Cristiano , amministratore delegato di SOGEI ... 13
Colosimo Chiara , Presidente ... 13
D'Attis Mauro (FI-PPE) ... 13
Cannarsa Cristiano , amministratore delegato di SOGEI ... 14
Savini Paolo , presidente di SOGEI ... 14
Colosimo Chiara , Presidente ... 14
Cannarsa Cristiano , amministratore delegato di SOGEI ... 14
Colosimo Chiara , Presidente ... 14
Cannarsa Cristiano , amministratore delegato di SOGEI ... 14
Colosimo Chiara , Presidente ... 14
Cannarsa Cristiano , amministratore delegato di SOGEI ... 14
D'Attis Mauro (FI-PPE) ... 14
Cannarsa Cristiano , amministratore delegato di SOGEI ... 15
D'Attis Mauro (FI-PPE) ... 15
Cannarsa Cristiano , amministratore delegato di SOGEI ... 15
D'Attis Mauro (FI-PPE) ... 15
Cannarsa Cristiano , amministratore delegato di SOGEI ... 15
D'Attis Mauro (FI-PPE) ... 15
Colosimo Chiara , Presidente ... 15
Cannarsa Cristiano , amministratore delegato di SOGEI ... 15
Colosimo Chiara , Presidente ... 15
De Corato Riccardo (FDI) ... 15
Colosimo Chiara , Presidente ... 16
De Corato Riccardo (FDI) ... 16
Colosimo Chiara , Presidente ... 16
Paita Raffaella ... 16
Colosimo Chiara , Presidente ... 17
Cannarsa Cristiano , amministratore delegato di SOGEI ... 17
Colosimo Chiara , Presidente ... 17
Paita Raffaella ... 17
Cannarsa Cristiano , amministratore delegato di SOGEI ... 17
Paita Raffaella ... 17
Cannarsa Cristiano , amministratore delegato di SOGEI ... 17
Colosimo Chiara , Presidente ... 17
Cannarsa Cristiano , amministratore delegato di SOGEI ... 17
Colosimo Chiara , Presidente ... 17
Cannarsa Cristiano , amministratore delegato di SOGEI ... 17
Colosimo Chiara , Presidente ... 17
Cannarsa Cristiano , amministratore delegato di SOGEI ... 18
Colosimo Chiara , Presidente ... 18
Paita Raffaella ... 18
Cannarsa Cristiano , amministratore delegato di SOGEI ... 18
Colosimo Chiara , Presidente ... 18
Cannarsa Cristiano , amministratore delegato di SOGEI ... 18
Colosimo Chiara , Presidente ... 18
Cannarsa Cristiano , amministratore delegato di SOGEI ... 18
Paita Raffaella ... 18
Cannarsa Cristiano , amministratore delegato di SOGEI ... 18
Paita Raffaella ... 18
Cannarsa Cristiano , amministratore delegato di SOGEI ... 18
Cantalamessa Gianluca ... 18
Cannarsa Cristiano , amministratore delegato di SOGEI ... 18
Colosimo Chiara , Presidente ... 18
Pittalis Pietro (FI-PPE) ... 18
Colosimo Chiara , Presidente ... 18
Cannarsa Cristiano , amministratore delegato di SOGEI ... 18
Colosimo Chiara , Presidente ... 19
Cannarsa Cristiano , amministratore delegato di SOGEI ... 19
Colosimo Chiara , Presidente ... 19
Cannarsa Cristiano , amministratore delegato di SOGEI ... 19
Colosimo Chiara , Presidente ... 19
Cannarsa Cristiano , amministratore delegato di SOGEI ... 19
Colosimo Chiara , Presidente ... 19
Cantalamessa Gianluca ... 19
Colosimo Chiara , Presidente ... 19
Cannarsa Cristiano , amministratore delegato di SOGEI ... 19
Colosimo Chiara , Presidente ... 19
Russo Raoul ... 19
Cannarsa Cristiano , amministratore delegato di SOGEI ... 19
Russo Raoul ... 19
Cannarsa Cristiano , amministratore delegato di SOGEI ... 19
Savini Paolo , presidente di SOGEI ... 20
Russo Raoul ... 20
Cannarsa Cristiano , amministratore delegato di SOGEI ... 20
Savini Paolo , presidente di SOGEI ... 21
Colosimo Chiara , Presidente ... 21
Cantalamessa Gianluca ... 21
Cannarsa Cristiano , amministratore delegato di SOGEI ... 21
Cantalamessa Gianluca ... 21
Cannarsa Cristiano , amministratore delegato di SOGEI ... 21
Cantalamessa Gianluca ... 22
Cannarsa Cristiano , amministratore delegato di SOGEI ... 22
Cantalamessa Gianluca ... 22
Cannarsa Cristiano , amministratore delegato di SOGEI ... 22
Cantalamessa Gianluca ... 22
Cannarsa Cristiano , amministratore delegato di SOGEI ... 22
Cantalamessa Gianluca ... 22
Cannarsa Cristiano , amministratore delegato di SOGEI ... 22
Cantalamessa Gianluca ... 22
Cannarsa Cristiano , amministratore delegato di SOGEI ... 22
Cantalamessa Gianluca ... 22
Cannarsa Cristiano , amministratore delegato di SOGEI ... 22
Cantalamessa Gianluca ... 22
Cannarsa Cristiano , amministratore delegato di SOGEI ... 22
Cantalamessa Gianluca ... 22
Colosimo Chiara , Presidente ... 22
Nave Luigi ... 23
Cannarsa Cristiano , amministratore delegato di SOGEI ... 23
Colosimo Chiara , Presidente ... 24
Congedo Saverio (FDI) ... 24
Cannarsa Cristiano , amministratore delegato di SOGEI ... 24
Savini Paolo , presidente di SOGEI ... 25
Colosimo Chiara , Presidente ... 26
De Corato Riccardo (FDI) ... 26
Colosimo Chiara , Presidente ... 26
Cannarsa Cristiano , amministratore delegato di SOGEI ... 26
Colosimo Chiara , Presidente ... 27
Cannarsa Cristiano , amministratore delegato di SOGEI ... 27
Savini Paolo , presidente di SOGEI ... 27
Cannarsa Cristiano , amministratore delegato di SOGEI ... 27
Colosimo Chiara , Presidente ... 27
Cantalamessa Gianluca ... 27
Colosimo Chiara , Presidente ... 27
Savini Paolo , presidente di SOGEI ... 28
Colosimo Chiara , Presidente ... 28
PRESIDENZA DEL PRESIDENTE
CHIARA COLOSIMO
La seduta comincia alle 13.45.
Comunicazioni del presidente.
PRESIDENTE. Comunico che il Presidente del Senato ha chiamato a far parte della Commissione della senatrice Anna Bilotti in sostituzione del senatore Francesco Castiello. Rivolgo un augurio di buon lavoro alla senatrice Bilotti per una proficua collaborazione in seno alla Commissione.
Comunico altresì che l'Ufficio di presidenza nella seduta dello scorso 23 gennaio ha convenuto di procedere alla revoca dei seguenti consulenti a tempo parziale: Simone Ciccotti, Roberto Guida, Maria Maddalena Natale, Marco Omizzolo, Stefania Pellegrini, Ilaria Ramoni, Fabio Massimo Ventura.
Sulla pubblicità dei lavori.
PRESIDENTE. Avverto che se non vi sono obiezioni la pubblicità dei lavori della seduta odierna sarà assicurata anche tramite impianto audiovisivo a circuito chiuso nonché via streaming sulla web-tv della Camera.
Audizione di Paolo Savini, presidente della SOGEI, e di Cristiano Cannarsa, amministratore delegato della SOGEI, nell'ambito del filone di inchiesta sulle vicende relative al cd «dossieraggio» di esponenti politici e del mondo economico.
PRESIDENTE. Come noto, l'ordine del giorno reca l'audizione di Paolo Savini, presidente di SOGEI e di Cristiano Cannarsa, amministratore delegato di SOGEI, nell'ambito del filone di inchiesta sulle vicende relative al cosiddetto dossieraggio di esponenti politici e del mondo economico. Ricordo che la seduta odierna si svolge nelle forme dell'audizione libera ed è aperta alla partecipazione da remoto dei componenti della Commissione. I lavori potranno proseguire in forma segreta a richiesta dell'audito o dei colleghi. In tal caso non sarà più consentita la partecipazione da remoto e verrà interrotta la trasmissione via streaming sulla web-tv. Voglio veramente ringraziare il presidente e l'amministratore delegato per essere qui e do direttamente la parola al dottor Savini per la sua relazione.
PAOLO SAVINI, presidente di SOGEI. Grazie presidente e onorevoli commissari. Prima di lasciare la parola all'ingegner Cannarsa, che illustrerà le caratteristiche tecniche dei sistemi di sicurezza in uso, ritengo opportuno fornire a questa Commissione una visione complessiva dei sistemi adottati, ad esempio dall'Agenzia delle entrate. Rivesto anche il ruolo di vicedirettore dell'Agenzia delle entrate, titolare della maggior parte del patrimonio informativo dell'Anagrafe tributaria e quindi cercherò di inquadrare l'utilizzo e il trattamento dei dati anche dal punto di vista amministrativo. Ovviamente il tutto è finalizzato ad assicurare la sicurezza in fase di accesso e consultazione delle banche dati dell'Anagrafe tributaria. L'Anagrafe tributaria, come è noto, è costituita da numerose banche dati, anche di grandi dimensioni, eterogenee per struttura e contenuto, soggette a un costante aggiornamento e con una importante profondità temporale. Basti pensare che l'introduzione del fisco telematico risale ormai alla fine degli anni Novanta e che dalla riforma fiscale del 1976 si è Pag. 3cominciato a costituire un patrimonio informativo con i dati, ad esempio, delle dichiarazioni fiscali dei cittadini. L'amministrazione fiscale, da un lato, è tenuta a rendere accessibile anche ad altri enti e amministrazioni pubbliche per il perseguimento dei fini istituzionali il proprio patrimonio informativo, dall'altro deve garantire la legittimità degli accessi e, più in generale, la sicurezza e la protezione dei dati. Per la progettazione e la realizzazione delle soluzioni tecnologiche, incluse quelle relative alla cybersecurity e alla protezione dei dati, l'intera amministrazione finanziaria si avvale di SOGEI in qualità di partner tecnologico, sulla base di un contratto esecutivo definito con un atto regolativo stipulato con il ministero dell'Economia e delle Finanze, finalizzato allo sviluppo, all'evoluzione e alla conduzione operativa del sistema informativo della fiscalità. Il patrimonio informativo dell'Anagrafe tributaria viene costantemente incrementato sia dai dati che l'amministrazione acquisisce direttamente nell'ambito dei processi amministrativi, fiscali e immobiliari – nel caso dell'Agenzia delle entrate, ricordo che anche il catasto e la conservatoria della pubblicità immobiliare con la soppressione dell'Agenzia del territorio sono confluiti all'interno dell'Agenzia delle entrate – sia dai flussi informativi provenienti da enti esterni per effetto di specifiche disposizioni normative. Nella prima classe rientrano ad esempio le dichiarazioni fiscali o i versamenti eseguiti dei cittadini; nella seconda invece ci sono una serie di informazioni che vengono acquisite, per disposizioni legislative, con varie finalità dal controllo alla predisposizione, negli ultimi anni, della dichiarazione precompilata. Si tratta in particolare di informazioni che pervengono da comunicazioni trasmesse attraverso canali ormai completamente digitali sia direttamente dai contribuenti o dai loro intermediari abilitati – dichiarazioni dei redditi, altri atti soggetti a registrazione, pagamenti, dichiarazioni di inizio attività, fatturazione elettronica, archivio dei rapporti finanziari – sia da enti esterni – operatori finanziari, società erogatrici di servizi, assicurazioni, camere di commercio, INPS, INAIL, comuni e altro. L'accesso al predetto patrimonio informativo è reso disponibile al personale interno dell'Agenzia delle entrate per i propri compiti, a personale degli altri enti della fiscalità – per enti della fiscalità si intendono le altre agenzie fiscali, i dipartimenti del Ministero dell'economia e delle finanze, la Guardia di finanza – e al personale di altri enti e amministrazioni pubbliche. Per gli enti esterni, l'accesso è disciplinato di regola sulla base di specifiche convenzioni che richiamano tra l'altro la responsabilità dell'ente all'utilizzo delle informazioni, acquisite nei limiti di quanto previsto da norme generali ed eventuali norme specifiche, rivolte a particolari categorie di dati e di soggetti, esclusivamente per il perseguimento di finalità istituzionali. Le regole di accesso e di utilizzo degli applicativi delle banche dati per il personale dell'Agenzia delle entrate sono ispirate al rispetto dei principi di necessità, pertinenza, non eccedenza e minimizzazione del trattamento dei dati personali, previsti dal Regolamento generale in materia di protezione dei dati e dal Codice introdotto nel 2003 e modificato nel 2018. L'Agenzia delle entrate si è dotata di un codice di comportamento dei dipendenti che detta specifiche e dettagliate disposizioni per l'utilizzo dei sistemi informatici e per l'accesso alle banche dati. Di conseguenza, i comportamenti adottati in contrasto costituiscono illecito disciplinare con applicazione di sanzioni, anche di carattere espulsivo, oltre che penale al ricorrere dei presupposti.
Il modello per l'accesso alle banche dati in uso prevede pertanto che ogni utente è abilitato dal diretto responsabile ad accedere solo agli applicativi informatici e alle banche dati di cui ha bisogno per eseguire i propri compiti istituzionali e le mansioni che gli vengono affidate. Le abilitazioni del personale sono riviste e aggiornate con periodicità predefinita o al mutare delle condizioni lavorative. Per fare un esempio, se un dipendente che si occupava di rimborsi non se ne occupa più ma si occupa di attività legate al Registro, gli verranno disabilitati tutti gli accessi ai dati utili all'esecuzione dei rimborsi e gli sarà abilitato Pag. 4l'accesso ai dati per il Registro. Tutte le applicazioni prima di consentire qualunque trattamento di dati interagiscono con un sistema di controllo degli accessi, affinché tutti gli operatori che vogliono accedere siano preventivamente identificati e autenticati e ne sia verificata sui sistemi l'autorizzazione all'accesso. L'utente utilizza sempre almeno un fattore di autenticazione – la password di accesso – sottoposta specifiche policy con opportune caratteristiche di sicurezza: lunghezza minima, scadenza, blocchi in caso di errore ripetuto e altre. Sugli accessi alla banca dati e sulle operazioni svolte dagli utenti viene effettuata un'attività di tracciamento per la finalità di sicurezza. Sulla base dei log di accesso, i cui dati sono gestiti e conservati da SOGEI, vengono raccolte evidenze per individuare eventuali attività illecite svolte sui sistemi informativi, utili per le finalità di controllo interno nei confronti del personale dipendente o per rispondere a possibili richieste di informazioni provenienti dall'autorità giudiziaria. Sulla base di criteri predefiniti di rischio, appositi applicativi consentono di individuare e inviare automaticamente a ogni responsabile e alla struttura di audit interna dell'Agenzia per la verifica di legittimità, segnalazioni di accessi potenzialmente anomalie, ad esempio effettuati in orari notturni, in giorni festivi o quando l'utente è in ferie o con un numero eccessivo di accessi non proporzionato alla mole di lavoro che il dipendente ha. Appositi alert vengono inviati alla struttura di audit per una verifica di legittimità in caso di accesso a dati di soggetti di particolare rilevanza istituzionale, alte cariche dello Stato di particolare rilevanza. Tale sistema diffuso di presidio sugli accessi alle informazioni è stato ulteriormente ampliato e perfezionato con l'introduzione di controlli bloccanti basati sull'obbligo per l'operatore di indicare il codice identificativo della lavorazione a lui assegnata tramite i sistemi di gestione documentale per la quale richiede l'accesso ai dati. Provando a fare un esempio e rendere concreto quello che stavo dicendo, se un soggetto effettua delle interrogazioni sulla dichiarazione di Paolo Savini deve mettere l'identificativo della pratica per la quale sta facendo quella lavorazione. Se sta lavorando a un rimborso di Paolo Savini metterà il numero di protocollo assegnato al rimborso di Paolo Savini e il sistema gli consente l'accesso soltanto qualora questo protocollo risulti vero, risulti relativo alla pratica di Paolo Savini, e risulti che quella pratica è stata assegnata all'operatore.
Per l'accesso a banche dati contenenti informazioni particolarmente sensibili, quali l'archivio dei rapporti finanziari o la fatturazione elettronica, inoltre, l'accesso è limitato sia con riferimento ai dati che sono consultabili sia con riferimento all'utilizzo degli stessi. A tal fine sono state adottate specifiche e stringenti modalità di accesso che prevedono anche limitazioni dal punto di vista numerico degli operatori abilitati nonché l'adozione di meccanismi autorizzativi anche con il coinvolgimento di più soggetti sovraordinati all'operatore. Ricordo che per la fatturazione elettronica la costituzione della banca dati e l'utilizzo che se ne può fare è stato oggetto di una lunga interlocuzione con il Garante della privacy e si è arrivati a conclusioni che credo possano essere un buon compromesso sia per non limitarne l'uso ai fini dell'attività di controllo sia per rispettare la privacy dei consumatori finali. Ad esempio, non sono visibili le descrizioni delle fatture che riguardano il B2C, cioè il business to consumer, e quindi non sono visibili le informazioni di dettaglio e in alcuni casi non è visibile neanche il codice fiscale del consumatore al quale la fattura è stata emessa.
Arrivo al tema dell'accesso da parte del personale degli altri enti della fiscalità che sarebbero le altre agenzie fiscali, come dicevo, i Dipartimenti del MEF e la Guardia di finanza. Per gli altri enti della fiscalità, come ad esempio la Guardia di finanza, sono previsti accessi tramite una infrastruttura di federazione con l'Agenzia delle entrate. L'accesso federato è consentito esclusivamente per richieste che avvengono attraverso la rete della Guardia di finanza, sulla base di specifici accordi, i quali, tra l'altro, comprendono specifiche policy di Pag. 5sicurezza. Tramite il tracciamento adottato dalla singola applicazione utilizzata è possibile risalire all'effettivo operatore che ha avuto accesso all'applicazione, alle operazioni effettuate e ai dati consultati. Per quanto riguarda la modalità di autenticazione, identificazione e gestione degli utenti, la Guardia di finanza adotta una procedura che prevede la verifica sistematica e la revisione periodica delle abilitazioni secondo i requisiti di sicurezza propri e nel rispetto dei requisiti previsti dalla normativa vigente. Gli utenti autorizzati ad accedere agli applicativi dell'Agenzia sono gli appartenenti alla Guardia di finanza ai quali è stato attribuito dall'amministratore utenze del Corpo, uno specifico profilo di abilitazione, previa individuazione dei comandanti dei Reparti interessati. Al fine di garantire l'effettiva rispondenza delle abilitazioni attribuite agli utenti con le funzioni effettivamente svolte dagli stessi, è prevista la revisione sistematica e la revisione periodica delle abilitazioni. La SOGEI, per conto dell'Agenzia delle entrate, procede al tracciamento degli accessi agli applicativi e delle operazioni compiute da ciascun utente della Guardia di finanza e in particolare gli accessi e le operazioni compiute sugli applicativi sono associati a un codice identificativo che permette esclusivamente al Corpo di identificare univocamente l'utente che ha avuto accesso o l'operazione. Anche la Guardia di finanza procede al tracciamento degli accessi agli applicativi effettuati dagli utenti del Corpo ed effettua controlli periodici, anche a campione, per il tramite di ciascun comandante di Reparto, per verificare il rispetto delle disposizioni regolamentari.
Oltre alla Guardia di finanza, anche altri enti della fiscalità – il Dipartimento finanze, l'Agenzia delle dogane e dei monopoli, l'Agenzia del demanio – accedono ad alcune applicazioni di interrogazione dell'Anagrafe tributaria sviluppate da SOGEI. I meccanismi di autenticazione degli utenti sono propri di ciascun ente così come le politiche di gestione del ciclo di vita dell'utenza. I profili autorizzativi assegnabili agli operatori di questi enti sono stati previamente definiti con l'Agenzia e non sono modificabili in autonomia dagli enti. Questi ultimi sono invece autonomi nell'abilitare i loro operatori tramite propri gestori utilizzando workflow di autorizzazione definiti in ciascuna struttura. Una precisazione che forse rende più chiaro anche quello che stavo raccontando. Nel caso dei dati delle dichiarazioni fiscali o della fatturazione elettronica in linea generale il titolare del trattamento del dato è l'Agenzia delle entrate, nel caso specifico dei dati di cui stiamo parlando. Intervengono in qualità di responsabili del trattamento dei dati SOGEI e le altre amministrazioni che accedono a questi dati. Quindi, nelle convenzioni cui facevo riferimento – gli schemi di convenzione per gran parte sono stati approvati dal Garante della privacy – questi accessi avvengono in qualità di responsabile del trattamento del dato.
Circa l'accesso del personale da parte di altri enti e amministrazioni pubbliche, la digitalizzazione e la modernizzazione della pubblica amministrazione, tra gli obiettivi primari della SOGEI, si fondano anche sulla costruzione di un'infrastruttura digitale, basata sull'efficiente utilizzo delle informazioni immesse nel sistema informativo pubblico e quindi in possesso della P.A. nel suo complesso, richiedendo ai cittadini i dati necessari alla fruizione di un servizio una volta sola. Si pensi alla legge Bassanini che ormai è norma da tanti anni in cui per un'amministrazione non è possibile chiedere al cittadino informazioni già in possesso di altre pubbliche amministrazioni, quindi il dover contemperare l'esigenza di diffondere le informazioni in un quadro sicuro è ovviamente un sottile equilibrio che si gioca anche molto sulla sensibilità del dato. Ovviamente ci sono dei dati, come ad esempio quelli della pubblicità immobiliare che, essendo contenuti in un pubblico registro, devono avere una massima diffusione, mentre per altri dati, quali ad esempio la fatturazione elettronica o l'archivio dei rapporti finanziari, essendo particolarmente sensibili, le norme stesse prevedono l'utilizzo che se ne può fare. In questi casi, c'è una forte limitazione alle necessità che vengono esposte ad altre pubbliche amministrazioni, qualora non sia la Pag. 6norma stessa che prevede che quell'ente possa avere accesso a dati della fatturazione elettronica o all'archivio dei rapporti finanziari.
Nel rispetto di quanto previsto dalla normativa in materia di protezione dei dati personali, le informazioni sono messe gratuitamente a disposizione degli enti per l'esercizio delle proprie funzioni istituzionali, ripeto, in virtù di una norma di legge o di regolamento che autorizza l'ente all'accesso attraverso un processo di verifica che si conclude, come dicevo, con un convenzionamento o un'autorizzazione all'accesso alle sole banche dati, pertinente rispetto alle finalità istituzionali. In linea generale, esistono tre differenti modalità di accesso ai dati: una consultazione on line, con la quale gli utenti abilitati possono effettuare singole interrogazioni relative a informazioni presenti nell'Anagrafe tributaria; forniture massive dei dati, mediante le quali le informazioni presenti in Anagrafe tributaria vengono rese disponibili attraverso scambi di flussi su un protocollo di comunicazione sicuro; interoperabilità con l'interazione diretta machine to machine in una specifica cornice amministrativa e di sicurezza. Gli applicativi informatici che consentono la consultazione on line dei dati dell'Anagrafe tributaria da parte degli enti sono di due tipologie. L'accesso ai dati anagrafici e fiscali, attraverso un'applicazione che si chiama Siatel Punto Fisco, e la consultazione dell'archivio dei rapporti finanziari. Gli enti che accedono in consultazione Siatel Punto Fisco – a titolo esemplificativo Ministeri, regioni, province, comuni, Unioni di comuni, Comunità montane, CED interforze, ANAS e ATER, e non mi dilungo ulteriormente – sono sottoposti a regole stringenti in materia di non eccedenza e minimizzazione rispetto alle proprie necessità istituzionali. Per i predetti enti varia il profilo di accesso. Alcuni hanno un profilo più esteso – ad esempio dati reddituali, consultazione massive, registro – altri hanno un profilo minimo, ad esempio soltanto dati anagrafici, verifica dell'esistenza di un codice fiscale rispetto ai dati anagrafici del cittadino. In tal modo, viene assicurato per ogni singolo ente un accesso pertinente e non eccedente rispetto alle finalità e a eventuali norme specifiche a supporto. Come anticipato, è previsto un sistema di convenzionamento, condiviso con il Garante per la protezione dei dati personali, nell'ambito del quale è inserito anche un meccanismo di controllo accessi che prevede due particolari utenti – il responsabile di convenzione e il supervisore di convenzione – il numero massimo di operatori e di amministratori, nonché il profilo di autorizzazione massimo di servizi assegnabili agli operatori. Il responsabile di convenzione può creare e rimuovere ulteriori supervisori allo scopo di coadiuvarlo operativamente. I singoli utenti sono richiesti, tramite un applicativo informatico in uso, da un supervisore e le richieste sono convalidate dagli amministratori dell'Agenzia. Il supervisore può anche cancellare i singoli utenti. Le procedure di autenticazione prevedono alcuni specifici fattori e sono attivi i meccanismi di alerting che monitorano ad esempio la frequenza giornaliera e il minuto delle interrogazioni, l'accesso concorrente da parte del medesimo utente. Se uno stesso utente ci risulta che sta accedendo, tramite due canali diversi, alle banche dati ciò diventa un alert di indebito utilizzo di quelle credenziali. Gli utenti che accedono all'archivio dei rapporti finanziari sono quelli per i quali esiste una specifica disposizione normativa. Come dicevo, sia per la fatturazione elettronica sia per l'archivio dei rapporti finanziari è la legge stessa che prevede a chi possono essere forniti e in tal senso sono il Dipartimento per la pubblica sicurezza del ministero dell'Interno, la Direzione investigativa antimafia, il ministero della Giustizia, le Procure, ivi inclusa la DNAA, Consob, Unità di informazione finanziaria per l'Italia e l'Agenzia delle entrate-riscossione. Anche in tal caso l'ente è tenuto a sottoscrivere una convenzione, sottoposta alla preventiva approvazione da parte del Garante. Per poter accedere, come anticipato, è necessaria una apposita disposizione normativa che individui l'ente legittimato all'accesso con le relative finalità. È previsto in questo caso un controllo accessi che impone all'utente di autenticarsi e possederePag. 7 specifiche autorizzazioni per poter accedere a queste informazioni. Sono disciplinati i profili di abilitazione e gestione delle credenziali di accesso nonché di rilascio delle abilitazioni per gli utenti. Nei sistemi per l'accesso a queste due particolari banche dati è presente un doppio livello di autorizzazione interno all'applicazione che impedisce l'accesso diretto al dato. L'utente di livello 1 inserisce le richieste di accesso ai dati e un altro utente, di livello 2, deve autorizzarne l'accesso. Tale sistema è ispirato a quello in uso all'Agenzia delle entrate e nella Guardia di finanza per l'accesso all'applicativo interno che consente la consultazione dell'archivio dei rapporti finanziari.
Spero di non essermi dilungato troppo e di aver fornito un quadro regolamentare.
PRESIDENTE. Serviva per inquadrare il ruolo di SOGEI. Do la parola all'ingegner Cannarsa.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Buonasera presidente, buonasera a tutti, cercherò di essere sintetico perché mi pare che i tempi siano abbastanza ridotti. Il tema che ha introdotto il presidente è quello della regolamentazione dell'accesso alle banche dati. Io mi volevo soffermare proprio sulla creazione di queste banche dati, nel senso che SOGEI nasce per la creazione dell'Anagrafe tributaria nel 1976, la prima anagrafe nazionale esistente in Italia. La seconda anagrafe nazionale con tali caratteristiche è l'ANPR, l'Anagrafe nazionale della popolazione residente, entrata in esercizio nel 2015 con la migrazione dei comuni partita dal 2016 e completata nel corso degli anni. Le 8000 anagrafi comunali sono completamente emigrate sull'Anagrafe nazionale della popolazione residente. Mi soffermo su questo perché SOGEI nasce come ingegneria del dato. Il nostro obiettivo è di costruire le banche dati, che sono dei grandi archivi, e consentirne poi l'utilizzo per le funzioni dell'amministrazione, prima fra tutte l'Agenzia delle entrate che è il nostro principale riferimento come amministrazione che guida tutto il mondo del flusso dichiarativo, del contenzioso tributario e via dicendo, nonché tutte le altre amministrazioni che poi si sono aggiunte. Ad esempio il Catasto, che era un altro importante elemento anagrafico – l'Anagrafe dei fabbricati e dei terreni – si è creato anche esso in SOGEI perché il Catasto vettoriale è stato costruito, anche da un punto di vista tecnico, in SOGEI, poi l'Agenzia del territorio è stata incorporata nell'Agenzia delle entrate, così come l'Amministrazione autonoma dei monopoli di Stato è stata poi incorporata nell'Agenzia delle dogane e dei monopoli. Questi processi che apparentemente sembrano amministrativi sottendono invece dietro un mondo di archivi e di anagrafi fondamentali per il funzionamento del nostro Paese perché tanto è importante l'Anagrafe tributaria così importante è tutto il mondo delle Dogane perché tutti i transiti e gli scambi doganali che l'Italia fa con tutti i Paesi del mondo sia in import sia in export sono oggetto di una costruzione di una banca dati di tutti i beni – dalle armi ai giocattoli. Questo per dare l'idea che dietro questo mondo di banche dati vi è un mondo dinamico perché le banche dati dell'Agenzia delle entrate e delle dogane si alimentano quotidianamente. Pensate che riceviamo mediamente mille ricette elettroniche al secondo, quindi un miliardo di ricette elettroniche l'anno, riceviamo 2 miliardi e mezzo di fatture elettroniche l'anno. Questo flusso continuo di dati va ad alimentare le nostre banche dati: le mille ricette elettroniche al secondo le ritroviamo nella dichiarazione dei redditi precompilata ai fini della detrazione o deduzione degli oneri ai fini fiscali, così come per gli interessi sui mutui relativi all'abitazione principale che le banche comunicano periodicamente. Ci sono dunque dati nativi, che nascono appunto all'interno dell'amministrazione quindi in SOGEI-Agenzia delle entrate, in SOGEI-Dogane o in SOGEI-Ragioneria generale dello Stato, e ci sono invece dati che sono trasferiti e comunicati periodicamente da altri enti, dalle banche o dall'INPS, per creare poi i campi necessari per i quadri delle dichiarazioni dei redditi e quindi ad esempio il quadro relativo alla detrazione degli oneri Pag. 8finanziari sull'abitazione principale, così come la detrazione sui lavori di ristrutturazione edilizia sulle abitazioni che tutti noi abbiamo nelle nostre dichiarazioni dei redditi. Questi sono servizi che l'Agenzia delle entrate, come diceva prima il presidente, mette a disposizione dei cittadini, delle imprese, degli intermediari. Quindi commercialisti o notai che devono fare atti di compravendita immobiliare. Tutto questo è un mondo che ogni giorno alimenta il nostro sistema di banche dati. I servizi che invece riguardano l'accesso a particolari informazioni, come quelle che ha ricordato il presidente, quindi in particolare l'applicazione Serpico – Servizi per le informazioni del contribuente – l'applicazione Siatel Punto Fisco, l'applicazione SISTER, per quanto riguarda i notai, hanno anche queste differenti caratteristiche nel senso che alcune di queste informazioni viaggiano sulla rete interna SOGEI. L'applicazione Serpico ad esempio non è un'applicazione esposta sul web, come invece la dichiarazione dei redditi precompilata, quindi l'applicazione Serpico viaggia su una rete interna SOGEI la quale rete ha dei trust con delle reti esterne, ad esempio la rete della Guardia di finanza, che è un'altra rete trusted, come si dice, come quella SOGEI nel senso che noi riconosciamo la rete della Guardia di finanza attraverso dei certificati e la rete della Guardia di finanza riconosce SOGEI. Questi scambi avvengono in un contesto che non è il web, per intenderci, non sono dati che viaggiano e che possono essere in qualche modo acquisiti nel loro percorso. Sono dati che viaggiano in reti chiuse, in reti non esposte al web e sono dati che viaggiano per lo più con forme di crittografia asimmetrica, ovvero sistemi di crittografia utilizzati nello scambio di dati per riconoscere chi è il soggetto che produce e invia il dato e il soggetto che lo riceve e che può essere solo quello. Ad esempio per il dato anagrafico del comune di Roma, il terminale dell'ufficiale anagrafico è certificato SOGEI per conto del ministero dell'Interno, quindi il funzionario è un soggetto che quando inserisce il dato di una nascita o di un decesso, che poi è il vero dato anagrafico del cittadino, quel dato viene da una postazione certificata con un certificato di crittografia simmetrica rilasciato da SOGEI. Questo per dire che il dato di nascita o di decesso non può essere fatto da remoto dall'operatore, a meno che egli non abbia una postazione con certificati e forme di trasmissione sicura.
Ho portato una presentazione che, se posso, vorrei scorrere velocemente perché vi sono elementi secondo me interessanti al di là della nascita di Sogei e del suo patrimonio tecnologico. Se ci sarà occasione vi invito a fare una visita in SOGEI perché secondo me è importante anche rendersi conto visivamente. 30.000 server: siamo sicuramente uno dei data center più grandi d'Europa, circa 90 petabyte di storage, 4 mainframe. Questa è una sintesi per far capire la struttura tecnologica. 3000 dipendenti, un miliardo e 100 circa di valore della produzione, come nostro fatturato. Facciamo circa 120-140 milioni di investimenti l'anno sull'attività tecnologica. Ho riassunto un dato: il titolo è «Banche dati strategiche nazionali a gestione centrale» questo secondo me è l'elemento importante. Sono tutte banche dati nazionali, non riferite a un'attività di un'amministrazione particolare, ma sono relative ai cittadini e alle imprese di tutta Italia e quindi riguardano veramente la Nazione, però hanno una gestione centrale, quindi sono gestite centralmente da SOGEI. La prima è quella che abbiamo già citato, l'Anagrafe tributaria. La seconda più importante è l'ANPR. Ci sono poi delle costole di queste anagrafi, che sono l'anagrafe degli studenti, l'ANIS, e l'anagrafe degli assistiti, l'ANA, che è l'anagrafe che riguarda tutti i soggetti che hanno diritto all'assistenza sanitaria nazionale.
PRESIDENTE. Mi inserisco in questa sua spiegazione delle banche dati per arrivare al tema che più ci riguarda. Noi vi abbiamo chiamato perché abbiamo un filone d'inchiesta, come sapete, che riguarda un presunto dossieraggio o comunque questo è il termine più giornalistico, che però ha visto e vede la Commissione occuparsi delle banche dati. Quindi io vorrei che ci faceste un inquadramento nello specifico Pag. 9della banca dati SIVA 2 e di tutta la vicenda purtroppo nota che riguarda Striano. Ovviamente poi i commissari avranno delle domande specifiche, però una volta che avete fatto l'infarinatura generale sulla SOGEI, il motivo dell'audizione è questo, altrimenti non possiamo entrare nel filone.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. A ulteriore inquadramento, perché è importante proprio ai fini delle domande che diceva lei, noi abbiamo una segreteria di sicurezza classificata NATO fino a livello segreto certificata dall'UCSE, l'Ufficio centrale di segretezza del DIS, siamo un'interfaccia qualificata quotidiana con tutte le procure nazionali e riceviamo mediamente 5000 richieste l'anno da tutte le procure per estrazione dati su queste banche dati e le riceviamo o direttamente o, ad esempio, per il tramite dell'Agenzia delle entrate. A seguito di queste richieste provvediamo a forniture ai soggetti delegati – Guardia di finanza, Carabinieri, Polizia di Stato – inerenti alle domande che ci vengono poste a seguito della azione giudiziaria specifica. Siamo un'infrastruttura critica nazionale, ai sensi della legge n. 115 del 2008, siamo un soggetto incluso nel perimetro di cyber-sicurezza nazionale. Tutto questo per fornire il contesto al fatto che abbiamo adempimenti anche di sicurezza sui dati e sulle informazioni che derivano da questo tipo di inquadramento della SOGEI, la quale ha convenzioni con il DIS, con il Centro nazionale anticrimine informatico per la protezione di infrastrutture critiche, il CNAIPIC della Polizia postale. Questo è il mondo in cui ci muoviamo, che riguarda sia la protezione dei dati, in particolare protezione da attacchi di natura cyber che possono essere anche di tipo statuale, sia l'accesso ai servizi e alle banche dati attraverso delle applicazioni. Per quanto riguarda i casi che ha citato la presidente, in particolare siamo stati proprio parte attiva, nel senso che, come diceva il presidente Savini, ogni accesso ai nostri dati è un accesso tracciato. Quindi ogni accesso ha dei log: questa è la prima garanzia fondamentale. I log sono tutti conservati da SOGEI in banche dati che tracciano i log a livello storico e in tempo reale. Nei casi che sono stati citati, su richiesta dell'autorità giudiziaria, abbiamo fornito le informazioni relative agli accessi alle applicazioni. In particolare, non mi riferisco a SIVA 2, ma a Serpico e a Siatel Punto Fisco, cui faceva riferimento il presidente. La cosa importante e fondamentale è che tutti gli accessi, che siano accessi fatti da dipendenti SOGEI, dell'Agenzia delle entrate, della Guardia di Finanza, sono tutti tracciati. Le profilature degli accessi, come ha detto il presidente, sono definite dalle amministrazioni, quindi la Guardia di finanza definisce le sue, l'Agenzia delle entrate le sue, e via dicendo, e questo in funzione delle attività che devono svolgere i soggetti che devono accedere a queste banche dati e in base alle convenzioni che hanno stipulato con l'amministrazione, in particolare con l'Agenzia delle entrate. La cosa importante è che nessuno entra con il cappuccio nelle banche dati. Tutti entrano a volto scoperto, questa è la cosa importante. I dati delle tracciature non sono pubblici, ma possono essere esposti nel caso di attività di indagine giudiziaria e quindi su ordine del magistrato. Questo per inquadrare anche il tema degli accessi, della tracciatura e della disponibilità di questi log. Non so se questo punto ci sono delle domande specifiche.
PRESIDENTE. Credo proprio di sì, ingegnere: il tema è questo. Sono iscritti il vicepresidente D'Attis, il senatore Gasparri, l'onorevole De Corato. Vado soltanto sul tema che lei ha appena toccato. Ci faccia capire. Per voi quindi sarebbe possibile procedere a un lavoro comparativo tra le esfiltrazioni fatte dal tenente Striano nello specifico e quelle che invece per esempio hanno fatto, o potrebbero aver fatto, perché non lo sappiamo, gli altri componenti del Nucleo speciale di polizia valutaria all'interno della DNAA? Anche il singolo è tracciato e potreste comparare questo lavoro?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Mi dovrebbe far capire cosa vuol dire comparare. Non mi è chiaro cosa vuol dire comparare.
Pag. 10PRESIDENTE. Posso sapere quali sono le esfiltrazioni che ha fatto Striano e quali sono le esfiltrazioni che ha fatto un altro appartenente allo stesso Nucleo di polizia valutaria?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Certamente sì. Io non parlerei, presidente, di esfiltrazioni perché noi usiamo il termine esfiltrazione quando si tratta di una acquisizione soprattutto di natura dolosa e a seguito di un attacco.
PRESIDENTE. Ingegnere il termine era voluto.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Questo lo lascio ovviamente alla Commissione. Mi riferisco a come lo vediamo noi dal lato tecnico. Noi vediamo un accesso a un'applicazione e non possiamo sapere se quello è un accesso doloso nell'istante in cui il soggetto lo fa. Lo può accertare l'autorità giudiziaria nel momento in cui fa una indagine, però per noi quelli – e lo dico in maniera molto aperta a tutti – sono accessi ad applicazioni di utenti profilati e abilitati. L'esfiltrazione per noi è ad esempio un hacker che tenta di entrare in un'applicazione e di acquisire dei privilegi magari di amministratore di sistema ed esfiltra dati da una banca dati, quella per noi è l'esfiltrazione.
PRESIDENTE. Noi conosciamo il numero esorbitante di diversi terabyte di dati che sono stati esfiltrati dalla banca dati della DNAA, ma non abbiamo gli stessi dati per quanto riguarda le altre banche dati e quindi utilizzo questo termine perché secondo me è presumibile che possa essersi trattato di esfiltrazione, non per una consultazione personale, ma per mandare quella mole incredibile di dati probabilmente a un'altra banca dati o comunque a un altro utilizzo, perché quando parliamo di numeri così importanti è difficile immaginare che sia una consultazione personale. Questo è il ragionamento da noi fatto, poi se a voi questo non risulta è interessante capirlo, cioè se secondo voi il numero di dati non è significativo rispetto al lavoro che lo Striano o altri hanno fatto, allora me lo dica perché per noi è importante saperlo.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Quello che posso dire è che da parte di amministrazioni che hanno un ruolo fondamentale ad esempio nel contrasto all'evasione fiscale, l'accesso a queste banche dati è fondamentale nell'attività quotidiana. Guardi che su questo si basa veramente gran parte del lavoro di recupero di importi sottratti a tassazione.
PRESIDENTE. Non stiamo parlando di questo.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Però, presidente, è importante dire che l'accesso a queste banche dati quotidianamente è fatto in maniera anche abbastanza intensa.
PRESIDENTE. Però non è il filone che stiamo seguendo, per capirci, ingegnere.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. È chiaro e lo sappiamo bene perché abbiamo risposto all'autorità giudiziaria e, mi creda, abbiamo fornito tutte le informazioni necessarie proprio con dettagli che immagino abbiano consentito all'autorità giudiziaria di andare avanti nelle loro attività di indagine. Però, ripeto, questo è il punto di vista dell'amministrazione nostra e da tecnici. Ci sono anche dei sistemi di monitoraggio, in particolare ci sono tre applicazioni – Vermont, Vitruvio e Monade – che servono a monitorare sia il censimento dei soggetti abilitati sia il numero di accessi. Abbiamo migliorato, anche a seguito delle evidenze di queste vicende, e abbiamo introdotto dei sistemi di natura biometrica. Il lavoro di implementazione è continuo con le amministrazioni che ci guidano e per il resto siamo a disposizione, nel senso che i log li abbiamo tutti, quindi la cosa importante, presidente, è che chi ha ceduto e cosa ha fatto è tracciato – giorno, ora, minuto e secondo. Per noi, ogni accesso lascia una Pag. 11traccia, ogni accesso lascia l'impronta di chi lo ha fatto.
PAOLO SAVINI, presidente di SOGEI. Chiedo scusa, presidente. Per questo dicevo nell'introduzione che con il titolare del trattamento dei dati, nel caso specifico probabilmente dati il cui titolare è l'Agenzia delle entrate, nei convenzionamenti è prevista una responsabilizzazione da parte dell'ente che concede le credenziali di accesso al proprio interno, a quali dati e a quale personale. Fermo restando che c'è un tracciamento di tutte le operazioni, come diceva l'ingegner Cannarsa, nelle convenzioni stesse è previsto che il responsabile del trattamento dei dati faccia un'attività interna di attenta policy di assegnazione delle credenziali e a quali dati far accedere il proprio personale.
PRESIDENTE. Mi è chiaro. L'autorità giudiziaria ha chiesto dei dati, voi glieli avete mandati. Se noi volessimo fare, ipotizzo, una ricerca tramite una parola chiave o tramite delle cosiddette chiavi di ricerca, sarebbe possibile farlo? Perché questo lavoro è stato fatto dalla DNAA ma non è stato fatto invece sulle altre banche dati. Per voi sarebbe possibile fare questo tipo di lavoro?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Assolutamente sì, sulle banche dati che gestiamo noi.
PRESIDENTE. Ovviamente. La parola al senatore Gasparri.
MAURIZIO GASPARRI. Volevo ringraziare per queste indicazioni tecniche che ci sono state fornite. Del resto la SOGEI questo fa e questo ci racconta. Domande specifiche le rivolgerà poi l'onorevole D'Attis, la mia è solo una considerazione, nel senso che giudico il successo o meno delle cose come la critica dal pubblico: oggi non siamo molti, sono venuto per l'attenzione che riserviamo al caso Striano, De Raho e dintorni. Capisco acquisire anche queste notizie tecniche, quindi le discussioni teoriche sull'infiltrazione ed esfiltrazione, eccetera, e quindi ringrazio perché questo SOGEI può dare. Mi sembrava di ascoltare la lettura di un manuale di istruzioni di un'aspirapolvere mentre venivo qua perché era tutto preciso, tutto esatto. Uno prende un manuale quando compra un elettrodomestico, questo dovete fare, però io mi auguro che poi queste notizie ci servano a svolgere un'azione perché io voglio qui denunciare la lentezza dell'azione giudiziaria che prima va a Perugia, poi torna a Roma. A Roma in questo momento c'è il procuratore di Roma che sta al piano di sopra a parlare di altre vicende e c'è un problema di funzionamento della giustizia in Italia. Quindi io esorto noi stessi ad assumere iniziative che, al di là della ottima lettura dei libretti di istruzioni dell'aspirapolvere, ci porti a entrare nell'interno dello scandalo, che non riguarda la SOGEI. Noi ci chiediamo chi ha usato male l'aspirapolvere che poi il libretto di istruzioni si trova anche su internet. Buon lavoro.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Ringrazio il presidente Gasparri. La questione della velocità di risposta per noi è fondamentale. Riceviamo 5000 richieste dall'autorità giudiziaria l'anno, come vi dicevo, spesso con carattere di estrema urgenza. Rispondiamo con estrema urgenza a queste richieste, quindi facciamo un lavoro, vi assicuro, pazzesco, perché tirare fuori questi dati, presidente, non è come cambiare il sacchetto dell'aspirapolvere, è sicuramente un lavoro, mi consenta, un po' più complesso, però in questo noi ci mettiamo veramente tutta la nostra esperienza e sulla velocità di risposta le assicuro che il caso Striano è un caso al quale abbiamo risposto con estrema urgenza. Indubbiamente dobbiamo essere da questo punto di vista dei tecnici a disposizione dell'autorità giudiziaria. Anzi, mi consentite di dire che il fatto che esista un gestore centrale di questa banca dati è fondamentale perché vuol dire che ci sono innanzitutto i log, e quindi siamo arrivati a capire chi ha fatto l'accesso e questo è fondamentale perché altrimenti saremmo in un mondo in cui veramente nessuno potrebbe risalire a chi è entrato in una Pag. 12banca dati. Gli accessi sono tutti tracciati. Questo è fondamentale.
PAOLO SAVINI, presidente di SOGEI. Posso presidente?
PRESIDENTE. Prego.
PAOLO SAVINI, presidente di SOGEI. Presidente, lei ha fatto riferimento a una banca dati SIVA. Credo che quella banca dati non sia gestita da SOGEI, ma dall'UIF.
PRESIDENTE. SIVA 2. Serpico?
PAOLO SAVINI, presidente di SOGEI. Serpico sì. Serpico è un'applicazione, un cruscotto da cui si accede a tutti i dati a cui facevamo riferimento prima, è semplicemente un'applicazione che agevola la consultazione del dato, ma i dati sono quelli a cui facevo riferimento prima.
PRESIDENTE. La parola al senatore Cantalamessa.
GIANLUCA CANTALAMESSA. Grazie presidente. Grazie per la relazione. Veramente non vi sfuggirà la giusta e doverosa ansia che ha questa Commissione nel cercare di capire una cosa gravissima che è accaduta nel nostro Paese, negli interessi di tutti i cittadini. Tre domande abbastanza precise. La prima: vi chiedo se è possibile risalire alle chiavi di ricerca, che siano key word o query, e svolgere su dette chiavi e in genere sui criteri di estrazione dei dati, degli accertamenti, magari utilizzando anche l'intelligenza artificiale, per evidenziare connessioni logiche che possano fornire elementi utili per l'individuazione delle motivazioni e degli eventuali mandanti delle esfiltrazioni. Per esempio, se si sia proceduto a ricerche su particolari zone o su particolari avvenimenti o su particolari periodi o su determinate associazioni criminali. Seconda domanda. Da quando sono stati generati gli alert sui PEP nelle banche dati in uso alla Guardia di finanza? Terza domanda. Le chiedo se sono mai state compiute verifiche per conto del Nucleo di polizia valutaria, del comando speciale e del Comando generale nel medesimo periodo. Grazie.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Provo a risponderle senatore, perché le domande sono abbastanza puntuali e complesse. La chiave di ricerca consente la profilatura che ha quell'utente su quell'applicazione. Ad esempio, su Serpico ci sono delle profilature per cui si possono estrarre informazioni che possono riguardare i redditi, gli immobili o altre informazioni che possono interessare il patrimonio del soggetto. Per intenderci, non è un motore di ricerca per fare una domanda in linguaggio naturale o con strumenti di intelligenza artificiale, tanto meno con un motore di ricerca tipo Google. Ci sono proprio delle rigidità nell'acquisizione dei dati per cui si accede a informazioni precise che riguardano il soggetto che si sta interrogando. Dire motore di ricerca forse è improprio nel senso che non c'è un vero e proprio motore di ricerca, ma ci sono dei set di informazioni predeterminate e, in base alla profilatura che ha quel soggetto, si può vedere tutto o una parte di queste informazioni.
GIANLUCA CANTALAMESSA. Non è possibile avere una sorta di dato aggregato?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Con quell'accesso, in base alla profilatura, si possono vedere i dati che sono stati estratti.
GIANLUCA CANTALAMESSA. È possibile fare un upgrade di questi dati? Una volta che abbiamo tutti questi dati, è possibile cercare di aggregarli per poter capire cosa sia successo e per l'interesse di chi? Faccio un esempio. Sono stati analizzati dieci dati, di questi dieci, cinque sono della provincia di Napoli, tre sono commercialisti, due fanno parte di un clan. È possibile avere questa aggregazione di dati?
PAOLO SAVINI, presidente di SOGEI. Per area geografica sicuramente sì, fino a livello comunale, dove sta il comune di Pag. 13residenza del soggetto che è stato interrogato. Si può individuare che attività economica svolgono i soggetti interrogati con i codici ATECO. Alcuni dati presenti all'interno dell'anagrafica del soggetto interrogato si possono poi aggregare.
PRESIDENTE. C'erano altre due domande del senatore.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. C'era quella sulle logiche, sulle motivazioni e sui mandanti. Lì entriamo nel campo dell'attività di indagine nel senso che noi non riusciamo a capire da un'estrazione di un dato chi sia il mandante. Se si potessero fare – ma questo ripeto è un campo dell'investigatore – delle correlazioni, se si vede che uno stesso individuo ha fatto un'interrogazione su un soggetto padre di una famiglia, su un altro che è un figlio, allora può trattarsi di un ambito più di natura familiare; se vedo che uno ha fatto un'interrogazione su un proprietario di una azienda che ha un ruolo in una specifica attività, allora magari posso, con l'acume dell'investigatore, risalire a quale possa essere la motivazione, ma, ripeto, entriamo più nel campo delle investigazioni. Sicuramente, però, con questi strumenti che consentono spesso la visualizzazione anche georeferenziata del dato, ad esempio se un'azienda sta in una certa località o un titolare ha una certa nazionalità, si possono derivare informazioni utili a un'attività di indagine, ad esempio sulla criminalità organizzata. Si tratta di uno degli strumenti per cui queste banche dati vengono anche utilizzate.
Circa l'alert sui PEP dovrei approfondire. Abbiamo degli alert legati al numero di accessi e alle tipologie di accessi, come diceva il presidente. Se due accessi vengono fatti contestualmente con le stesse credenziali in due ambiti diversi, il sistema, Vermont in particolare, rileva questa anomalia e blocca il soggetto. Dopodiché c'è un'escalation verso il responsabile – ogni soggetto autorizzato ha un suo responsabile – per cui arriva addirittura una mail al responsabile che apre un ticket e verifica se il soggetto ha fatto un accesso.
PAOLO SAVINI, presidente di SOGEI. Ci riserveremmo di dare alcune informazioni in un momento successivo.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. L'anno francamente non lo ricordo.
GIANLUCA CANTALAMESSA. La terza domanda riguardava il fatto se siano state mai compiute delle verifiche per conto del Nucleo di polizia valutaria, sia del comando speciale sia del Comando generale nello stesso periodo.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Francamente non saprei, non è un dato che abbiamo in questo momento.
PRESIDENTE. Accetto volentieri l'invio postumo di dati, però l'audizione verteva su questo, quindi qualcosina in più ce l'aspettavamo. La parola al vicepresidente D'Attis.
MAURO D'ATTIS. Grazie presidente, anche per questa ultima puntualizzazione. Grazie per la disponibilità del presidente e dell'amministratore delegato. Arrivo subito al punto. Lei ha detto che tutti gli accessi sono tracciati. Abbiamo capito che non possiamo dire «esfiltrazione» perché sembra una cosa brutta, però di questa estrazione di dati in quantità enorme – la stessa presidente l'ha quantificata – c'è qualcuno che se ne accorge? Volevo dirle una cosa. La prego, amministratore delegato, non mi risponda: «Abbiamo detto tutta la magistratura» perché se no chiedo di andare in seduta segreta e ci dice cosa ha detto la magistratura perché questa è una Commissione d'inchiesta, è chiaro? Non siamo quattro amici al bar. In SOGEI quando Striano o chiunque altro perché autorizzato interviene e scarica una tonnellata di byte di dati, c'è qualcuno che si pone la domanda «Ma che sta succedendo? Come mai tutta questa quantità?». Qualcuno all'epoca questa questione se la è posta e chi se la sarebbe dovuta porre? Facendo riferimento a Striano, è possibile accertare quanti e quali dati lui ha complessivamente preso Pag. 14dai sistemi? Lo avete fatto? Se sì, ci potete dare il risultato di questo lavoro e depositarlo in Commissione? Da quale anno ha iniziato a farlo? Non ho capito se ci potete dire quali erano i profili di visibilità del Comando generale della Guardia di finanza relativamente a SIVA 2, 3 o Serpico. Se fosse possibile, vorrei capire quali erano i profili di accesso da parte della Guardia di finanza e chi aveva accesso ai file log di questi sistemi da parte della Guardia di finanza.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Intanto, ovviamente, vi assicuro massima disponibilità da parte nostra. Come SOGEI, ripeto, siamo i custodi tecnici delle banche dati per cui quando un'autorità ci fa una richiesta, noi forniamo la risposta. A fronte di una richiesta abbiamo un processo ormai consolidato per cui le richieste arrivano a una nostra PEC «dati tutelati» – ne arrivano, come dicevo, 5000 all'anno. Questa struttura fornisce i dati, anche in base alla urgenza, e li fornisce sulla base delle richieste, in genere molto circostanziate e specifiche, ad esempio dal giorno x ora x, al giorno y ora y, perché altrimenti diventa veramente difficile fare un'estrazione di questi log. Anche in riferimento al caso che faceva lei, proprio per rispondere in maniera puntuale alle esigenze della Commissione, se c'è un'esigenza di avere dati relativi agli accessi di un certo soggetto in un certo periodo, se magari ci fate avere il periodo esatto e il soggetto in questione, possiamo rispondere alla richiesta in maniera puntuale.
Sul fatto della titolarità del dato e quindi della convenzione con un'amministrazione in cui c'è un'amministrazione che funge da service provider, Agenzia delle entrate, e un'amministrazione che funziona da identity provider, ad esempio la Guardia di finanza, il comune, il ministero dell'Interno, è il soggetto che fa da identity provider che fa le profilature dei suoi soggetti abilitati. In quel caso non abbiamo visibilità di quali siano i profili. Noi vediamo l'accesso, quello sì, e sappiamo che quel soggetto in quel giorno a quell'ora ha fatto l'accesso, ma non sappiamo però come è profilato dalla sua amministrazione e perché è stato autorizzato: questo va chiesto ovviamente all'amministrazione a cui fa riferimento.
PAOLO SAVINI, presidente di SOGEI. Se posso integrare la risposta dall'ingegner Cannarsa, SIVA no, perché non è una banca dati che gestiamo né da titolare come Agenzia delle entrate né SOGEI.
PRESIDENTE. Chiedo scusa, perché se no sembra che facciamo delle domande sconnesse. Abbiamo fatto questa domanda perché abbiamo visto – senza fare nomi o entrare in dettagli che non devo fare in pubblico – che qualcuno vi ha fatto delle domande su SIVA 2.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Chi?
PRESIDENTE. L'autorità giudiziaria.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Mi faccia verificare perché non ho davanti tutte le richieste. L'autorità giudiziaria può anche fare una domanda su SIVA 2. Su questo mi riservo, perché non ho davanti tutte le applicazioni. Sicuramente le posso dire che sugli accessi a Serpico abbiamo fornito tutte le risposte.
PRESIDENTE. Come potete immaginare, abbiamo tutto il carteggio con l'autorità giudiziaria e per evidenti motivi è un carteggio che abbiamo studiato e quindi i commissari e io facciamo delle domande rispetto a quello che abbiamo visto, questo era il motivo.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Recuperiamo il fascicolo e vi possiamo dare tutte le informazioni. Se poi ce ne sono altre provenienti dalla Commissione noi siamo a disposizione per rispondere, ci mancherebbe.
MAURO D'ATTIS. Non ho capito una cosa. Su Striano, per farvi la domanda precisa vi devo fornire le date, da quando a quando. Voi siete stati qua chiamati in Pag. 15audizione – non voglio seguire il mio collega presidente Gasparri – ma qua stiamo parlando di Striano. Non sono io che devo fornire le date, anzi ci aspettiamo che voi venite e ci dite che sapete le cose. Se no, facciamo una cosa, ci rivediamo la prossima volta, come si faceva all'Università, ci vediamo la prossima volta e venite più preparati. Francamente che ci chiediate la data da quando dovete estrarre le informazioni, mi rifiuto di farlo. Siete stati chiamati qui in audizione della Commissione d'inchiesta antimafia per capire che cosa è successo con Striano e tutta la compagnia cantante nei vostri archivi. O venite preparati e ci dite: «Premesso che tutto quello che vi abbiamo spiegato funziona così, abbiamo avuto questi accessi di Striano e la Guardia di finanza sono entrati dal... al...». Siete voi che ce lo dovete dire, non io. Mi pare allora che questi dati non ce li avete.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. No, non è così. Era solo per circoscrivere. Se lei mi chiede gli accessi di Striano vediamo tutti i suoi accessi.
MAURO D'ATTIS. Ma di che stiamo parlando? Non so se ha letto sui giornali che c'è un'inchiesta sul dossieraggio di cui si parla in tutta Italia, di questo stiamo parlando, e basta, non dobbiamo parlare di altro.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Però mi scusi, un conto è leggere e un conto è fornire. Noi abbiamo fornito e forniamo in maniera precisa e puntuale i dati che ci vengono richiesti. Se la richiesta della Commissione è questa, noi forniremo i dati che servono.
MAURO D'ATTIS. Siamo preoccupati, stiamo facendo questo dibattito grazie alla presidente che ce lo consente.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Sono un cittadino anche io e sono preoccupato come lei se non più di lei, da amministratore delegato, mi consenta.
MAURO D'ATTIS. Questo non lo so.
PRESIDENTE. Non è proprio lo stesso ruolo, però fermo il dibattito, andiamo avanti con le domande perché ho diversi iscritti. È evidente che il lavoro, come ho specificato all'inizio, anche nell'introduzione dell'audizione, verte sul filone dossieraggi e quindi a noi quello che interessa è come siano usciti alcuni dati dalle banche date che SOGEI controlla – questo è il tema – e quali sono i ruoli di chi ha invece la possibilità di accesso con i file log all'interno di questo controllo. Questo a noi interessa, una volta inquadrato tutto quello che fa SOGEI.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Però, presidente, se oggi c'è un nome al dossieraggio è perché SOGEI ha fornito i dati all'autorità giudiziaria.
PRESIDENTE. Sì, perché prima qualcuno lo ha denunciato, però. Non voglio fare un dibattito perché ci sono diversi iscritti e la parola la do io, ingegnere. Prego onorevole De Corato.
RICCARDO DE CORATO. Grazie presidente. Abbiamo ascoltato, procuratori e generali della Guardia di finanza. Esclusi i procuratori, voi venite qui, questa è una Commissione d'inchiesta, ma non è che noi dobbiamo essere aggiornati sui tecnicismi su come fare o no gli accessi. La domanda che le faccio è molto chiara: ci è voluto un ministro della Repubblica per sollevare questo caso, voi dove eravate? Dove eravate? Se un ministro della Repubblica deve arrivare a fare quello che dovevate fare voi, qualcosa non è andato per il verso giusto. Voi venite qui a darci, come ha detto il senatore Gasparri, le istruzioni per la lavatrice. A noi interessa, lo ha detto anche il collega D'Attis, sapere se voi sapevate e avete avuto notizia di accessi abusivi – 220.000 era l'ultimo numero – perché se no mi chiedo che ci state a fare lì perché Pag. 16dobbiamo avere chiari i ruoli di ognuno. È la stessa domanda che ho fatto a ufficiali e generali. Striano faceva quello che voleva, coperto da Laudati, allora il problema è dove fossero gli organismi che avevano notizie, ecco il perché della domanda. Avete avuto notizie di questo, perché se non le avete avute voi, chi le doveva avere? La stessa domanda ho rivolto alle autorità della Guardia di finanza. Quindi il problema è che c'è voluta la denuncia, c'è voluto il procuratore di Perugia, ma voi dove eravate? Qual era il vostro ruolo? Non doveva arrivare un ministro della Repubblica dossierato insieme ad altri 200.000 italiani, questa è la domanda a cui dovevate rispondere, non tutti i tecnicismi che a noi non interessano proprio niente, ci dovevate rispondere alla domanda: «La SOGEI dov'era quando Striano faceva tutto quello che voleva fare?» senza che nessuno di voi, almeno da quello che abbiamo potuto capire, sia intervenuto. Nessuno. Se non era per il ministro della Difesa Crosetto, tutto sarebbe ancora continuato fino ad oggi. Vi pare normale?
PRESIDENTE. Faccio intervenire anche la senatrice Paita perché so che deve andare via, poi rispondete a entrambi i colleghi.
RICCARDO DE CORATO. Chiedo scusa senatrice. Anche perché ci ha detto che entrano a volto scoperto e non con il cappuccio. Santo Dio entravano pure a volto scoperto! Ma scherziamo?
PRESIDENTE. Prego senatrice.
RAFFAELLA PAITA. La cosa su cui mi voglio concentrare è la risposta a una domanda fatta prima dal collega Cantalamessa su cui secondo me c'è l'aspetto un po' più grave e inesplorato delle vostre risposte. Cantalamessa vi ha chiesto da quando iniziava l'alert e voi avete risposto: «Un momento, non lo sappiamo, ve lo facciamo sapere». Però qui c'è tutto. Come fate a non sapere da quando inizia l'alert, l'amministratore delegato e l'altro rappresentante? L'alert è l'innesco di tutto, è lo strumento attraverso il quale vi rendete conto se ci sono accessi in qualche modo anomali e voi avete detto di essere in grado di rendere a noi o a chiunque altro, anche all'autorità giudiziaria, esattamente quello che è accaduto. Naturalmente l'alert è lo strumento fondamentale, ma mi ha molto colpito questa risposta, per la quale vi siete anche guardati dicendo che avreste dovuto capire da quando iniziava l'alert perché voi non potete non sapere da quando è iniziato l'alert nella vostra società, mi pare chiaro. Sarei del tutto ingiusta rispetto alla vostra forma di intelligenza se io non immaginassi che voi invece questo dato ce l'avete, perché da qui parte tutto il procedimento. A noi non interessa tanto sapere come sono fluttuati i dati. La presidente ha usato questo termine, io mi permetto su questo di fare un'appendice. A me interessa sapere se nel sistema del mio Paese, a fronte di accessi anomali, c'è un anticorpo che non si attiva nel momento in cui scatta una denuncia o se il fatto diviene pubblico, ma è un anticorpo, cioè avviene nel corso del procedimento. C'è qualcuno che si rende conto che c'è un sistema che funziona in modo sbagliato rispetto a come dovrebbe funzionare e quindi si attiva in propria autonomia ad autotutela e a difesa di informazioni strettamente riservate e pubbliche? Questa è la domanda che le pongo. Se lei mi risponde a questa domanda, come ha risposto prima, «Posso fare una fotografia, ho una fotografia di quello che è accaduto», ma non mi rende l'evidenza per quale motivo, nel momento in cui il fatto avveniva, quell'alert non è scattato e quindi l'iniziativa di informare che c'era qualcosa che non funzionava che poteva essere appurato ed era un fatto che invece doveva essere necessariamente verificato, però anche no, e quindi in qualche modo sprigionava un dubbio, non riesco a capire, non tanto come diceva il collega De Corato, se voi serviate oppure no, perché assolutamente non è questo il punto, ma se c'è un anticorpo che non si attiva ex post ma ex ante. Questo è il tema della sicurezza del Paese ed è la ragione per la quale io, mi consenta, non posso proprio immaginare che lei non sappia da quale momento si attiva quel sistema perchéPag. 17 questo mi renderebbe la cosa veramente incredibile. Le faccio un esempio. Quando sono venuti altri interlocutori c'è stato un lungo e articolato dibattito circa il fatto che un sistema avesse queste caratteristiche da un certo momento in poi. Da un certo Procuratore dell'antimafia queste cose si sono sapute, da prima di un Procuratore dell'antimafia no. Per forza non posso immaginare che lei non lo sappia. Grazie.
PRESIDENTE. Ingegnere, può rispondere a entrambi i colleghi.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Grazie presidente. Non vorrei fare lo scaricabarile, ma la prima domanda su «dove eravate quando si sono fatte quelle interrogazioni», io non ero in SOGEI. Se mi consentite, all'epoca dei fatti non ero in SOGEI. La mia sensibilità verso l'argomento, anche dopo aver ovviamente letto gli atti e anche la stampa, è massima nel senso che ho la massima attenzione, adesso, dopo i fatti che si sono verificati, dopo la denuncia, dopo l'acquisizione e via dicendo, ai temi di cui stiamo parlando. All'epoca dei fatti, io non c'ero, quindi «Dov'ero io?» «Non c'ero». Da questo punto di vista, mi dispiace ma non posso rispondere. Qui scusate, ma purtroppo devo fare una distinzione dei ruoli. Siamo il partner tecnologico, come viene definita SOGEI rispetto alle amministrazioni. Non siamo il titolare del dato, non abbiamo neanche il controllo di queste soglie di accessi né definiamo noi le policy di accesso.
PRESIDENTE. Questo è il tema però, le domande vertevano tutto su questo.
RAFFAELLA PAITA. Chi ce l'ha questa competenza?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. L'ha spiegato prima il presidente.
RAFFAELLA PAITA. Allora non l'abbiamo colto, ce lo rispieghi. Chi ha questa competenza?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Il presidente faceva prima presente che ci sono delle convenzioni che fa il titolare del dato con l'amministrazione che deve essere utente rispetto a quella banca dati, quindi il titolare del dato e l'altra amministrazione stabiliscono ruoli e responsabilità in quel caso.
PRESIDENTE. Chiedo scusa, per questo motivo il vicepresidente D'Attis chiedeva chi nella finanza avesse questo file log. Questo lo sapete?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. No, noi sappiamo chi ha fatto l'accesso.
PRESIDENTE. E quindi chi aveva il file log, perché l'accesso si fa con il file log. Non ci giriamo attorno.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Però mi consenta presidente, il numero di accessi di cui parlava la senatrice Paita è diverso. Le faccio un esempio. Abbiamo dei cruscotti che monitoriamo h 24, 7 giorni su 7, sui temi della cyber-sicurezza per cui se c'è in questo momento un attacco io lo vedo e lo contrasto con le contromisure necessarie h 24. Se c'è un servizio che in questo momento si sta rallentando lo vedo immediatamente e intervengo. Dal livello di questi sistemi di accessi a banche dati, ci sono dei cruscotti – uno lo citavo prima, Vermont, un altro si chiama Vitruvio, un altro ancora Monade, sono acronimi – che sono sistemi che hanno delle tarature da un punto di vista dei numeri che fanno i titolari delle amministrazioni, non li stabilisce SOGEI, senatrice, non siamo noi. Se ci fosse un alert a dieci accessi sullo stesso nominativo, lo vedrebbe in realtà il titolare, non io. Noi facciamo l'applicazione, a disposizione del titolare, e stabiliamo un alert per cui se un soggetto fa 50 accessi sullo stesso nominativo scatta e in quel caso si vedrebbe. Quelle soglie però non le stabiliamo noi.
PRESIDENTE. Arriviamo al punto: secondo lei le soglie impostate dalla finanza Pag. 18sul numero di accessi fatti da Striano non c'erano.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Evidentemente non hanno funzionato.
PRESIDENTE. Se non hanno funzionato la colpa è di chi ha gestito la tecnologia.
RAFFAELLA PAITA. Se si pone la soglia a 50.000 accessi è evidente che non è scattata perché ne ha fatti 20.000.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. No, le soglie non ci sono.
PRESIDENTE. Pure questa è un'altra notizia.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Su Vermont ci sono delle soglie che non stabiliamo noi, ripeto, non stabilisce SOGEI, 60 accessi al minuto o 500 al giorno su un nominativo.
PRESIDENTE. Su Serpico quante sono le soglie? E se in un solo accesso scarico tutto?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Le soglie sono quelle che ho detto. Non è che in un accesso lei scarica tutto.
RAFFAELLA PAITA. 60 al minuto e 600 al giorno è una soglia irrealistica!
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Non siamo i soggetti che le stabiliscono.
RAFFAELLA PAITA. Ci sta dando una notizia. Ci dice anche da quando ce l'avete l'alert?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Questa è un'applicazione che penso risalga a tanti anni fa.
GIANLUCA CANTALAMESSA. Prima del 2018?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Ritengo di sì, ritengo proprio di sì.
PRESIDENTE. Grazie, la parola all'onorevole Pittalis collegato da remoto.
PIETRO PITTALIS. Grazie presidente. Nel periodo compreso tra il 2019 e il 2024 erano stati forniti i requisiti tecnico-giuridici per predisporre sistemi di alert sui due sistemi? Quali alert erano presenti? Si tratta di una domanda precisa, circoscritta e spero di avere una risposta altrettanto precisa, grazie.
PRESIDENTE. Si tratta di Serpico, ovviamente.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Su Serpico, come dicevo, c'è un sistema che si chiama Vermont, acronimo che significa «verifica monitoraggio transazioni», che monitora l'accesso degli operatori e genera le segnalazioni di alert. Attualmente, genera segnalazioni di alert se ci sono accessi contemporanei con credenziali di uno stesso operatore, quindi evidentemente un'anomalia, ovvero se uno stesso operatore accede contemporaneamente da punti diversi, se ci sono più di 60 interrogazioni al minuto e se ci sono più di 500 interrogazioni in un giorno. Questa è l'attuale set di parametri che sono inseriti, ripeto, non stabiliti da noi, perché noi eseguiamo – e qui chi opera sono i titolari del dato. Questi sono i parametri puntuali di alert, per rispondere alla richiesta. Se scatta l'alert al verificarsi di uno di questi eventi, viene attivato il blocco dell'operatore. Contemporaneamente viene inviata una mail al supervisore dell'operatore. Il supervisore dell'operatore deve aprire una sorta di audit e rispondere in un termine per cui il blocco poi o viene confermato o viene sbloccato se il soggetto era autorizzato a fare quel tipo di accesso. C'è quindi anche una catena gerarchica, nel senso c'è un operatore e un supervisore che Pag. 19riceve sulla base di questa applicazione, oggi. Migliorabile, non sto dicendo che sia la perfezione, assolutamente. Alla luce di quello che è successo non posso che condividere il fatto che magari servano degli alert diversi e delle segnalazioni diverse. Vi dico che ad oggi questi alert li abbiamo calibrati sulla base di quello che ci ha detto il titolare del dato, quindi noi non possiamo dire al titolare del dato cosa debba fare, penso che questo sia chiaro.
PRESIDENTE. Per capirci ingegnere, giusto per non lasciare dubbi. Il supervisore appartiene a chi ha autorizzato e non a voi, a chi aveva il file log.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Quello che noi chiamiamo identity provider.
PRESIDENTE. Se l'identity provider avesse ricevuto questo alert e l'avesse sbloccato, noi sapremmo chi è, voi sapreste chi è?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Il supervisore è il soggetto che ha ricevuto la mail, certo lo sappiamo.
PRESIDENTE. Sapete anche se l'ha sbloccato?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Se l'ha sbloccato lo sappiamo.
PRESIDENTE. Realisticamente, se i numeri che lei ci ha dato sono i numeri che c'erano anche durante queste operazioni, è evidente che quell'alert deve essere suonato e che quindi qualcuno deve averlo sbloccato, perché se no non mi torna il ragionamento logico.
GIANLUCA CANTALAMESSA. Non fa una piega, il ragionamento logico è perfetto.
PRESIDENTE. Se noi vi chiedessimo di dirci questo, voi lo sapreste? Ovviamente, non adesso ma facendo una verifica?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Immagino proprio di sì.
PRESIDENTE. La parola al senatore Russo.
RAOUL RUSSO. Grazie presidente. La mia domanda verterebbe su questo, se già avete la risposta, se no ce lo comunicate in un secondo momento. Avete notato per eventi politici o sociali di particolare rilevanza per la Nazione, penso all'elezione del Presidente della Repubblica, la campagna per le elezioni politiche, la formazione e l'insediamento del Governo o eventi similari, momenti chiaramente topici, dei picchi di accesso, al di là di queste soglie di alert, sulle persone politicamente esposte? Vi chiedo se avete notato, in corrispondenza dei periodi antecedenti e successivi a questi momenti che ho indicato e altri che chiaramente possono sovvenirci, anche all'interno delle soglie che abbiamo citato prima, un aumento degli accessi su persone politicamente esposte magari coinvolte in quei passaggi.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Rispondo per quanto riguarda SOGEI. Non è che da soli stabiliamo quello che dobbiamo fare.
RAOUL RUSSO. Preciso meglio la domanda, nel caso passiamo in seduta segreta. Nei dati che avete studiato, acquisito e, se lo avete fatto, trasmesso – eventualmente mi risponde in forma segreta – le chiedo se questo dato è emerso.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Rispondo prima all'impostazione che aveva dato all'inizio. Se c'è la formazione del Governo, non è che andiamo a fare scansione su tutti i PEP perché anche quella sarebbe una forma di controllo, mi consenta, e comunque non sta a noi. Se le nostre amministrazioni, AgenziaPag. 20 delle entrate, Dogane, eccetera ci chiedono di fare la scansione durante la formazione del Governo o durante le elezioni del Presidente della Repubblica se ci sono accessi su certi soggetti in quel momento, lo possiamo fare ovviamente, però dobbiamo avere un input perché altrimenti saremmo noi a violare delle normative, anche di privacy e di controllo. Non è che possiamo andare a fare i controlli a tappeto in un determinato periodo su PEP se non ci sono delle precise indicazioni che ci autorizzino a farlo. Per quanto riguarda i dati forniti all'amministrazione giudiziaria, abbiamo fornito dei tabulati, ma anche e soprattutto in formato digitale. Ovviamente siamo a totale disposizione per capire quale fosse l'entità di queste informazioni fornite, ma sono quelle che immagino abbiate visionato e comunque sono quelle che sono a disposizione dell'autorità giudiziaria. Sono tutti gli accessi fatti sui nominativi per i quali abbiamo risposto a un preciso ordine all'autorità giudiziaria, perché l'autorità giudiziaria ordina. Su quello abbiamo fatto le estrazioni di tutti i dati e abbiamo fornito tutti i dati di accesso sui nominativi che c'erano, quindi varie persone fisiche e varie società. Non mi ricordo quante fossero le società però abbiamo fornito dei dati, che possiamo fornire a voi esattamente come li abbiamo forniti, perché abbiate totale contezza e trasparenza delle informazioni che sono state date all'autorità giudiziaria. Quindi possiamo prendere esattamente gli stessi file.
PAOLO SAVINI, presidente di SOGEI. Per rispondere alla domanda se sia stata fatta in quella sede un'analisi e una valutazione e se ci siano stati picchi di accesso, non credo che questo sia stato fatto da SOGEI. Sono stati forniti i dati elementari all'autorità giudiziaria, ma non è stata fatta un'analisi sul fatto se effettivamente i picchi di accesso si siano avuti in concomitanza con eventi come elezioni politiche o altro. È chiaro che si può fare, però non credo che sia stata fatto.
RAOUL RUSSO. Una considerazione. Se esistono i PEP e giustamente per la normativa siamo tenuti, io per primo, ad aggiornare le banche dati e quant'altro, non sarebbe più logico avere anche delle soglie di accesso ancor più stringenti per i PEP rispetto a quello che avete detto voi, perché, come è giusto che il mio dato venga comunicato e periodicamente aggiornato, è altrettanto giusto che venga a maggior ragione tutelato in maniera più stringente?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Da questo punto di vista, vorrei stimolare il dibattito. Qui c'è un tema. Ci troviamo in una situazione in cui da un lato ci viene chiesto in alcuni casi di aprire i dati a tutti. Prendete il caso dei dati catastali: oggi un soggetto può chiedere i dati catastali di un altro pagando delle somme, quindi siamo al paradosso che una persona può accedere a dei dati pagando. È pubblicità immobiliare, però stiamo sempre parlando di dati che riguardano proprietà, immobili e via dicendo. Dall'altro lato, stiamo dicendo, attenzione che se qualcuno fa troppe domande su un soggetto è anomalo. Concordo con lei perché vuol dire che se uno fa 100 interrogazioni su un soggetto si può chiedere perché e per chi soprattutto fa questa interrogazione. Entriamo in un tema che per me è anche molto stimolante: sono sostenitore di SOGEI-Agenzia del dato e se posso in questa sede fare una rivendicazione, la faccio. Secondo me SOGEI dovrebbe essere titolare del dato. Non vorrei fare arrabbiare il mio presidente che è anche dell'Agenzia delle entrate, però consentitemi di fare anche un po' una provocazione, perché noi gestiamo il dato però non possiamo essere sempre i «fessi» che se poi succede qualcosa è colpa di SOGEI. Allora fatecelo gestire veramente il dato, facciamo che noi siamo titolari del dato, facciamo l'Agenzia del dato. L'ho detto a febbraio del 2024 in Commissione Anagrafe tributaria al presidente Maurizio Casasco, è agli atti. Dico SOGEI Agenzia del dato, facciamo noi il titolare del dato, mi assumo tutte le responsabilità e stabilisco le soglie. Mi creda, di dati un po' me ne intendo, di sistemi un po' me ne intendo. Bene ha fatto il Ministro Crosetto a denunciare perché evidentemente ci ha dato un'ulteriore evidenza fattuale che è importante. Pag. 21Non voglio prevaricare sull'Agenzia delle entrate perché sembra una lesa maestà. Peraltro abbiamo un rapporto eccezionale con tutti i dirigenti dell'Agenzia dell'entrate e lavoriamo veramente in stretta collaborazione, però anche sul tema del dato oggi in cui il dato non è come dieci anni fa e le banche dati sono oggettivamente oggetti ricchi di informazioni, occorre un soggetto che faccia da Agenzia del dato – l'ho detto sia al senatore Butti sia al presidente della Commissione Anagrafe tributaria Maurizio Casasco. Consentitemi di dirvelo anche oggi perché secondo me questo è un fatto importante. Non possiamo sempre essere il soggetto che deve rispondere, ma poi qualcuno gli dice, giustamente, «Ma voi dove eravate?».
PAOLO SAVINI, presidente di SOGEI. Se posso soltanto aggiungere una cosa, la verità è che il sistema, per come è stato impostato da tanti anni, prevede un ruolo di responsabilizzazione forte da parte dell'amministrazione che chiede il dato all'Agenzia delle entrate o all'Agenzia delle dogane che poi per il tramite di SOGEI vengono forniti. Stiamo parlando di particolari amministrazioni pubbliche, Forze di polizia, DIA e procure. Da una parte questa massa di dati è cresciuta nel tempo, dall'altra parte il sistema è rimasto comunque ancorato a una precisa responsabilizzazione da parte della struttura che utilizza quel dato. Faccio l'esempio della Guardia di finanza. Nel caso della Guardia di finanza, proprio per motivi di riservatezza e segretezza – ovviamente in tutto questo quadro la non patologia è che questi dati vengano utilizzati per indagini di polizia o anche di particolare delicatezza – vediamo un identificativo, non vediamo il codice fiscale dell'operatore. Vediamo un codice identificativo ed è chiaro che la Guardia di finanza sa chi c'è dietro questo codice identificativo, ma questo vuol dire sostanzialmente che, per come è stato impostato, è un sistema dove responsabile è l'utilizzatore del dato, è l'amministrazione che utilizza il dato che deve mettere in piedi sistemi, come previsto tra l'altro nelle convenzioni, di alert specifici mirati in relazione alle proprie esigenze. Per alcune strutture di amministrazione pubblica quel numero può essere elevato o basso secondo l'utilizzo che se ne fa. Quello che è emerso e che probabilmente merita è che si vadano a rivedere giustamente le soglie, il numero degli accessi che deve essere calibrato bene anche in base all'amministrazione che li concede e che dovrebbe indagare e monitorare per prima su eventuali anomali accessi da parte dei propri operatori.
PRESIDENTE. Prego senatore Cantalamessa.
GIANLUCA CANTALAMESSA. Grazie. Ingegnere, grazie perché in qualche maniera ha detto che come SOGEI lei ha la responsabilità ma non il potere, in sintesi, e lo ha trasmesso molto bene alla Commissione. Domanda, proprio per quello che ha detto. Chi sono i supervisori di Serpico che sono quelli che avrebbero il «potere»? Lei ha detto che come SOGEI ha la responsabilità, ma non il potere. Nel caso di Serpico chi sono i supervisori, ce lo può dire? Grazie.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Nell'ambito delle convenzioni, ogni amministrazione utilizzatrice, che ad esempio autorizza dieci soggetti ad accedere a Serpico, stabilisce la profilatura di quei dieci soggetti, quindi cosa possono vedere e cosa non possono vedere, e in base immagino anche a un tema gerarchico – militare o civile – c'è un supervisore. Bisogna andare a vedere chi è il supervisore nell'ambito di quella amministrazione, parliamo di amministrazioni, che, come ho detto, vanno dalla DIA al Ministero dell'Interno. Sicuramente c'è la possibilità di risalire a chi sono i supervisori dei soggetti che hanno quelle autorizzazioni.
GIANLUCA CANTALAMESSA. Voi come SOGEI ne sapete i nomi? Se avete la responsabilità e uno ha il potere e vi passa la responsabilità, voi sapete i nomi di chi ha autorizzato?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Come dicevo prima, Pag. 22nel sistema Vermont, se c'è un blocco e viene inviata una mail, nel sistema anagrafico abbiamo le mail dei supervisori.
GIANLUCA CANTALAMESSA. Fanno parte tutti dello stesso Corpo, o sono più amministrazioni?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Sono più amministrazioni.
GIANLUCA CANTALAMESSA. Non avete i nomi dei supervisori?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. In alcuni casi possiamo avere i nomi o possiamo avere degli identificativi, come diceva prima il presidente.
GIANLUCA CANTALAMESSA. E nello specifico, in merito a quello che è accaduto, si possono avere i nomi dei supervisori?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Per rispetto della Commissione, non posso dire una cosa che poi non posso onorare, quindi consentitemi di fare una verifica e a stretto giro diamo una risposta alla Commissione. Facciamo un'analisi e vediamo di risalire ai supervisori dei soggetti.
GIANLUCA CANTALAMESSA. Voi gestite i dati di Serpico. Il titolare del dato di Serpico chi è?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. L'Agenzia delle entrate, prevalentemente. Serpico, Servizio informazioni per il contribuente, raccoglie dati di natura fiscale, quindi da Agenzia delle entrate, dati catastali dall'Agenzia delle entrate, però ci possono essere dati che provengono da altri enti. Ad esempio, i dati sui consumi energetici non sono dell'Agenzia delle entrate, ma arrivano dai fornitori di energia elettrica oppure i dati previdenziali provengono dall'INPS. Serpico è una sorta di raccoglitore e presentatore di dati ai soggetti in maniera strutturata. Centralizza i dati su un contribuente e li espone, questa è l'attività che fa l'applicazione.
GIANLUCA CANTALAMESSA. Questo lo dico proprio per capire il funzionamento. Vi può arrivare la richiesta del dato di Serpico dal titolare, che è l'Agenzia delle entrate, ma potrebbe non essere il titolare.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Che ha però una convenzione con il titolare.
GIANLUCA CANTALAMESSA. Il supervisore può essere anche un soggetto che ha la convenzione e non il titolare?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Assolutamente sì, perché sono proprio i ruoli di service provider e identity provider che dicevamo prima. Come ha spiegato prima il presidente, chi stabilisce le regole di accesso e le profilature è l'amministrazione che utilizza il dato, quindi in quel caso il supervisore è di quell'amministrazione.
GIANLUCA CANTALAMESSA. Riepilogando. Sono scattati questi alert, sì o no? Se sono scattati, chi li ha segnalati e se non sono scattati, chi avrebbe dovuto segnalarli?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Questa domanda è la prima volta che ci viene posta, nel senso che non è che a noi a suo tempo è stata fatta la richiesta dall'autorità giudiziaria se fossero scattati gli alert. Ci ha chiesto semplicemente gli accessi in quel periodo. A questa domanda, presidente, risponderemo. Verifichiamo all'epoca dei fatti perché stiamo parlando del 2022.
GIANLUCA CANTALAMESSA. Per questo avevo chiesto da quando esistono gli alert, perché qualora non ci fossero stati gli alert, ci sarebbero stati altri tipi di responsabilità, forse ancora più gravi.
PRESIDENTE. La parola al senatore Nave. Chiedo scusa, non l'avevo vista.
Pag. 23LUIGI NAVE. Grazie presidente, il collega Cantalamessa aveva un'esigenza maggiore. Presidente come primo punto però – e mi dispiace doverlo fare – voglio ricordare al collega Gasparri, che tra l'altro ha chiesto audience quando c'ero, ma poi è andato via, che per il momento indagati sono Striano e Laudati e non ho mai sentito fare il nome di De Raho, e quindi non vorrei seguire sempre questo mantra. Quella del senatore Gasparri sembra quasi una ecolalia, una stereotipia di cui tra l'altro inizierei pure a preoccuparmi. Detto questo, SOGEI sembra attualmente, e lo è, il Fort Knox dell'informazione italiana e quindi, per quel che mi riguarda – mi sono occupato in passato del settore dell'informatica e dell'informazione – opera come una sorta di datawarehouse, quindi anche è una deminutio dire che è un database. Soprattutto Serpico opera come un datawarehouse, quindi un universo che poi va a sparare sugli altri dati. Quindi anche la corrispondenza: lei parlava di 5000 richieste da parte delle autorità. Qui si parla di terabyte, quindi c'è anche la difficoltà di far capire a chi non è addetto ai lavori la corrispondenza di un accesso, legale tra l'altro, alle informazioni che vengono veicolate. Detto questo, quello che mi preoccupa di più – e ci portiamo avanti con il lavoro – è che in realtà gli accessi sono stati fatti. Tramite i log è possibile capire quali sono le informazioni di cui non siamo a conoscenza. Penso sia pleonastico dirlo, ormai tutto quello che c'era da sapere sulle informazioni tirate fuori è chiaro, poi anche chi ha fatto gli accessi. Quando mi diceva che il collegamento tra enti e Serpico arriva tra connessioni private dedicate, presumo siano delle VPN anche se crittografate. Le chiedo se in questo momento SOGEI, proprio in virtù della cyber-security, stia iniziando a preoccuparsi delle quantum-t-distribution. Dato che i computer quantistici ci sono anche qui in Italia e poiché il compito primario di un computer quantistico è quello di rompere le chiavi, lo farebbe all'istante, come SOGEI si sta preoccupando di questi algoritmi? In realtà basterebbe un singolo accesso da un computer quantistico per rompere tutte le chiavi attualmente a conoscenza. La cyber-security di oggi non sarà valida fra un anno, quindi da qui a un anno la cybersecurity non ha più senso.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Il quantum computing consente di elaborare soprattutto in ambito di crittografia quindi decriptare le chiavi perché esse sono come le combinazioni. Chi ha uno strumento, come si vede spesso nei film, si collega e fa il calcolo delle probabilità delle combinazioni, le prova fino ad arrivare alla combinazione. Dipende dal tempo e dal numero di combinazioni possibili perché la combinazione dipende da quanti caratteri ci sono, se ci sono numeri con ripetizioni, se ci sono numeri, cifre e simboli e si può arrivare a miliardi di miliardi di combinazioni, però con una macchina di capacità molto ampia si potrà arrivare a decriptare anche le chiavi di una crittografia asimmetrica, come quella che viene utilizzata da tutti i soggetti, quindi chiave pubblica e chiave privata. Ci sono delle Certification Authority, soggetti che certificano che il titolare di una chiave pubblica è Tizio e quindi effettivamente c'è una corrispondenza tra chiave e soggetto. La titolarità della chiave privata è in capo al soggetto che deve ricevere l'informazione crittografata e decriptarla con la sua chiave privata. Quindi ha la sua combinazione che apre quella cassetta di sicurezza che gli è stata inviata con una chiave crittografata pubblica, destinata a lui, quindi si chiama asimmetrica per questo. Sicuramente stiamo analizzando e studiando. Non ci fermiamo mai sul tema della cyber-sicurezza, per noi è una sfida continua perché le minacce sono sempre più sofisticate e anche sempre più frequenti. Abbiamo delle scansioni dei nostri sistemi a livello di rete, abbiamo una superficie esposta molto importante a livello di web perché gestiamo 40 portali web delle amministrazioni con centinaia di milioni di accessi annuali. Il solo sito dell'Agenzia delle entrate è uno dei siti più visitati, non solo visitati, ma scansionati. Tenete conto che oggi tutti i sistemi di intelligenza artificiale, commerciali come CHATgpt, e altri, scansionano e scaricano nottetempo tutte Pag. 24le circolari e gli interpelli che fa l'Agenzia delle entrate per alimentare e addestrare i sistemi di intelligenza artificiale in modo che il giorno successivo il sistema sia aggiornato con dati pubblici, stiamo parlando di dati assolutamente disponibili a tutti. Vi invito a venire da noi – nella presentazione comunque c'è già, se avete occasione dategli un'occhiata – perché abbiamo sistemi di monitoraggio molto avanzati e sistemi di intervento sia dal lato della prevenzione sia lato di intervento in caso di incidente sia dal lato dell'analisi post eventuale incidente per avere informazioni e migliorare le ulteriori attività. Circa la crittografia stiamo analizzando in maniera molto accurata il tema del quantum per capire se si stanno già predisponendo misure. La crittografia non la facciamo noi ovviamente, ci sono sistemi di crittografia e certification authority che fanno questo lavoro. Il nostro compito è capire quale sia oggi la crittografia più sicura a cui possiamo affidare i nostri sistemi perché tutte le comunicazioni che facciamo in alcuni ambiti sono con crittografia asimmetrica, chiave pubblica e chiave privata. Sicuramente è un tema che è al massimo della nostra attenzione.
PRESIDENTE. È iscritto a parlare l'onorevole Congedo.
SAVERIO CONGEDO. Grazie presidente. Sarò veramente telegrafico. Ringrazio il presidente Savini e l'ingegner Cannarsa per la loro relazione. Credo di interpretare il pensiero dei colleghi nel senso che quando si diceva dove stavate non era rivolto a voi persone fisiche, ma era rivolto ovviamente all'istituzione che rappresentate. Ho apprezzato la vostra relazione e anche il dibattito, ma rientro in quella categoria che i miei figli direbbero «boomer» e quindi ho fatto un po' di fatica a seguirla. Come componente della Commissione antimafia le vostre relazioni credo debbano essere utili a noi a comprendere come mai un ufficiale della Guardia di finanza, un uomo dello Stato infedele, sia riuscito a sguazzare in quello che voi stessi avete definito un patrimonio informativo enorme e a comprendere anche quali fossero le finalità del suo operato abusivo, se magari c'erano dei complici e se c'erano dei mandanti e comprendere un quadro della situazione. Ho avuto modo di visitare SOGEI in qualità di componente della Commissione finanze e devo dire che ho avuto l'idea di un'eccellenza dal punto di vista tecnologico, anzi mi è rimasto particolarmente impresso – non so se si definisce così – la sala controllo in cui c'era un video enorme, come quelli che si vedono nei film di fantascienza, dove si vedevano decine, se non centinaia, tentativi di accessi abusivi al secondo ai siti sensibili del nostro Paese. La domanda sorge spontanea. Come mai è stato possibile che un ufficiale a Guardia di finanza, seppure in una postazione particolare come può essere quella della Direzione nazionale antimafia, sia riuscito a operare in questa maniera, senza che nessuno si sia posto il problema e che sia stata necessaria una denuncia all'autorità giudiziaria perché la questione venisse a galla? Con le finalità che questa Commissione si è data, lei è in grado di darci un suo pensiero, una sua impressione considerato peraltro che si tratta di accadimenti che precedono la sua entrata come amministratore delegato della SOGEI? Da questo punto di vista, è in grado di darci una sua riflessione su quello che è successo, tenendo presenti le finalità di questa Commissione?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Intanto grazie dello spunto. Quei tentativi di accesso che ha visto da noi partono da indirizzi IP. I nostri sensori sono soprattutto sulla rete e agiscono come sonde che denunciano e mostrano questi tentativi di accesso, consentendoci di essere pronti nel caso di accessi che invece vadano a buon fine. La quasi totalità di quegli accessi sono solo tentativi che vengono bloccati dai nostri firewall. Quindi abbiamo il tentativo di accesso con il firewall, poi abbiamo le sonde che ci dicono che si è cercato di entrare, ma che il firewall ha operato il blocco. Questo è il primo punto. Nel caso di un'applicazione di un soggetto cui, in base a una convenzione, vengano attribuite credenziali e quindi è autorizzato ad accedere, gli viene attribuito un profilo per cui può accedere a Pag. 25quel set di informazioni. Lì si tratta di un problema di governance di quella autorizzazione, cioè come e chi debba monitorare il numero di accessi ed eventualmente anche – una cosa che ho detto più volte – stabilire dei carnet. Il soggetto ha a disposizione 100 accessi e una volta che ha esaurito i suoi 100 accessi, gli scade l'autorizzazione e deve andarla a richiedere al suo supervisore, invece di fare un sistema complicato e magari anche molto più costoso che va a monitorare se ha fatto più di 100 accessi: basta che lo autorizzo a fare 100 accessi, o 50 o 20 secondo il tipo di lavoro che deve fare. Questo però bisogna dirlo. Va detto che abbiamo una amministrazione finanziaria che fa un lavoro molto complesso e utilizza le banche dati quotidianamente con un livello e una frequenza mostruosi, perché ci sono interrogazioni, nell'ambito di un'indagine sulla criminalità organizzata, che sono veramente di quantità e qualità altissima. Però è chiaro che andrebbe distinto il soggetto. Bisogna intendersi però, perché anche per distinguere il soggetto entriamo nel campo del monitoraggio e del controllo perché qualcuno deve dire che bisogna controllare quanti accessi ci sono su Cristiano Cannarsa e Paolo Savini perché se no non lo si può fare, sarebbe una discrezionalità e un libero arbitrio francamente esorbitante rispetto al ruolo di SOGEI ma anche forse rispetto al ruolo che ha l'Agenzia delle entrate. Qualcuno ci deve dire, per esempio nel caso del controllo dei rappresentanti degli organi costituzionali, di farlo e anche come farlo perché se no si entra in un campo che diventa veramente pericoloso. Credo che l'evento abbia alzato l'attenzione e sicuramente stimolato le riflessioni. La mia riflessione che ho fatto prima sull'Agenzia del dato è un po' egoistica nel senso che se io devo stare dalla parte di quello che deve dire quali sono i log, fatemi anche dire quanti accessi può fare il soggetto che entra, perché altrimenti vedo una parte ma non vedo l'altra. Qui però apro un altro tema: per esempio, mettere a disposizione i dati dell'Agenzia delle entrate all'Agenzia delle dogane, senza la necessità di fare una convenzione che forse può essere in certi casi anche ridondante. L'amministrazione economico-finanziaria è unica, siamo una società in house, qualcuno dice che a livello giuridico non c'è alterità soggettiva tra noi e il MEF perché, anche se siamo una S.p.A., una società di diritto privato, siamo un'articolazione dell'amministrazione economico-finanziaria la quale ci utilizza per questa attività. Sicuramente penso che il tema vada posto.
PAOLO SAVINI, presidente di SOGEI. Se posso, vorrei ribadire che per il personale interno dell'Agenzia delle entrate non sono emersi casi di dipendenti infedeli che facevano attività di dossieraggio perché all'interno dell'Agenzia delle entrate quei sistemi di alert sono stati impostati, vengono fatti funzionare, i dipendenti hanno un codice di comportamento e qualcuno monitora che effettivamente il dipendente dell'Agenzia delle entrate non faccia un uso distorto, improprio di quei dati. Ci sono stati dei casi, pochi rispetto agli anni di esistenza dell'Agenzia delle entrate e rispetto al numero dei dipendenti – saranno stati un centinaio – che hanno fatto non dossieraggio, ma accessi reputati non conformi alle regole. Questo significa che, nel caso delle amministrazioni pubbliche con le quali vengono fatte per fortuna le convenzioni, ripeto, c'è una forma di responsabilizzazione che deve avere l'amministrazione che fa la convenzione con l'Agenzia delle entrate per l'accesso a quei dati ed è proprio per questo che sono previste quelle figure di supervisore o di referente della convenzione all'interno perché sono i soggetti con i quali il titolare del trattamento dei dati interloquisce proprio nel caso in cui l'amministrazione a monte rilevi delle anomalie. Diventa difficile, nell'ambito di una convenzione con una forza di polizia, con la Guardia di finanza nel caso specifico, andare a disciplinare quanti siano gli accessi massimi che può fare un proprio dipendente. Probabilmente, alla luce di quello che poi è accaduto nel tempo, si faranno affinamenti e ragionamenti, però ci si è basati molto sull'affidamento che il responsabile del trattamento dei dati, che sono le amministrazioni che hanno una particolare valenza, queste amministrazioniPag. 26 facessero poi al proprio interno dei controlli sugli accessi da parte dei propri dipendenti.
PRESIDENTE. L'onorevole De Corato voleva fare un chiarimento.
RICCARDO DE CORATO. Grazie presidente. Abbiamo appreso che lei non c'era. Alla SOGEI chi c'era? L'Agenzia delle entrate che ha fatto? In questa vicenda quello che è totalmente anomalo è che un ministro debba fare un esposto alla Procura con tutta una fila di enti pubblici e di persone che in alcuni casi sono addirittura pubblici ufficiali che quindi hanno doveri nel momento in cui si fanno non 100 o 200 accessi, ma se ne fanno 200.000 da parte di un singolo. La SOGEI non doveva fare qualcosa, secondo lei? Chi c'era allora, chi era il responsabile? L'Agenzia delle entrate non ritiene anomalo l'accesso a questi dati da parte di una persona e non si sente in dovere di fare quello che ha fatto il Ministro Crosetto, cioè di andare in Procura e denunciare che c'è stato un accesso indebito di una persona? Sto dicendo cose di una banalità unica. Perché non è stato fatto? La stessa domanda ho rivolto anche alla Guardia di finanza, anche perché probabilmente questi accessi erano controllati addirittura da gente in divisa. Voi non avete la divisa, ma avete la responsabilità. Chi c'era alla SOGEI, dottore? Lo dico perché rimanga agli atti perché se no qual è il vostro compito? L'Agenzia delle entrate va a vedere le situazioni dei singoli cittadini e non guarda la situazione di un ufficiale della Guardia di finanza che fa questo numero di accessi? Le sembra normale dottore?
PRESIDENTE. Volete rispondere?
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Certo, ci mancherebbe. Ovviamente non è, come dicevo prima, uno scaricabarile, perché non è assolutamente questa la finalità, però penso anche che sia stato da noi ben chiarito il meccanismo. Tutto è migliorabile e questa audizione da parte di una Commissione d'inchiesta che sta indagando su questo fenomeno ovviamente non può essere per noi una cosa che prendiamo come fosse una chiacchiera tra amici. Sicuramente c'è una lezione da apprendere da questo evento, ci sono azioni da implementare per migliorare l'attuale schema. Lo schema attuale è quello che abbiamo rappresentato, cioè la convenzione tra il titolare del dato e il soggetto utilizzatore. Il soggetto utilizzatore che profila e autorizza i suoi soggetti che accedono e deve per convenzione monitorare il loro operato. SOGEI registra. Noi abbiamo la tracciatura dei log. Da questo punto di vista, vi dico, ben venga la gestione centrale delle banche dati perché almeno c'è un soggetto che quei dati li ha registrati. Se emerge che dobbiamo fare non solo la registrazione del dato ma anche l'azione proattiva di segnalazione che nell'ambito della DIA, nell'ambito del soggetto X, nell'ambito del soggetto Y c'è in quel momento un eccesso di utilizzo su un nominativo o più nominativi, oggi con le tecnologie che ci sono si può fare tutto e non ci sono limitazioni. Cambia però l'approccio: da un approccio di registratori e «notai» di accessi a controllori di accessi e questo è un tema che ovviamente dobbiamo anche discutere con i nostri referenti. Quando parlavo prima dell'Agenzia del dato e che SOGEI faccia anche da titolare del dato, non è che io voglia togliere al titolare del dato attuale, ma ho sempre parlato di co-titolarità, perché, nel momento in cui un soggetto deve fare una attività, vorrei poterlo fare a pieno titolo e anche a pieno titolo, mi consenta, per il migliore utilizzo delle informazioni che ci sono, perché oggi spesso non possiamo mettere a disposizione dei dati. Non parlo di casi patologici, ma ad esempio per l'utilizzo dei dati sanitari per l'analisi dell'incidenza di alcune malattie sia a livello territoriale sia a livello anagrafico, di età, di tipologia di lavoro e via dicendo, oggi spesso per questioni di privacy, di GDPR, non si possono fare analisi massive, non si possono fare analisi specifiche su determinati soggetti, tantomeno si possono analizzare o combinare soggetti con una patologia perché abbiamo Pag. 27l'obbligo di anonimizzare alcuni ambiti di dati, in particolare i dati sanitari.
PRESIDENTE. Ingegnere, per fortuna fate delle eccezioni, altrimenti non avremmo catturato Matteo Messina Denaro. Sappiamo tutti come è andata.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Anche lì si capisce bene che il fatto di avere il sistema tessera sanitaria che ha questa potenzialità enorme e dove vanno poi a finire anche quelle mille ricette al secondo che arrivano in SOGEI, è un valore per il nostro Stato enorme. C'è da migliorare, sicuramente, e non voglio dire che è colpa dei miei predecessori perché sarei ingiusto e non è così. Secondo me è veramente una lezione da apprendere, nel continuo e anche nell'esperienza di una gestione complessa di dati, come quella che si fa sempre di più oggi e probabilmente ci dobbiamo anche attrezzare per il futuro perché guardate che qui ormai il tema della disponibilità dei dati e anche della protezione dei dati lo dobbiamo tutti affrontare. Noi, ovviamente, per primi e lo facciamo. Abbiamo una struttura di privacy imponente, però magari ci mancano appunto degli strumenti che derivano dal fatto che non siamo noi titolari e titolati a fare quel tipo di attività.
PAOLO SAVINI, presidente di SOGEI. Vorrei aggiungere che nei sistemi di alert il dato numerico può essere soltanto uno dei fattori perché in realtà dossieraggi possono essere mirati su un numero ristretto che non darebbero l'alert basato sul numero degli elementi di anomalia e quindi i sistemi di alert in realtà devono essere sofisticati anche in relazione all'attività svolta dal soggetto interrogato. Quindi il tema sicuramente porta a delle riflessioni. Il sistema, come dicevo, era basato su una responsabilizzazione da parte dell'amministrazione che faceva la convenzione e che controllava gli accessi dei propri dipendenti e dei propri operatori. Alert si possono mettere ma credo che poi a monte debba essere l'amministrazione che utilizza quel dato a mettere in piedi dei sistemi avendo conoscenza delle attività che quell'operatore fa. Noi consentiamo l'accesso ai dati, come dicevo prima, in modo diversificato: non è che tutti i dipendenti dell'Agenzia delle entrate vedono tutto; così, lo stesso tipo di profilazione deve essere adottata dalle altre amministrazioni.
CRISTIANO CANNARSA, amministratore delegato di SOGEI. Ad esempio sulle fatture elettroniche c'è tutta una regolamentazione. Non è che tutti possono vedere le fatture elettroniche. Penso che non sia importante solo il numero di accessi. Posso fare un accesso a una persona e vedere la sua vita da un punto di vista patrimoniale, economico e anagrafico, con un accesso solo, così come ne posso fare 100 perché magari ho un approccio compulsivo e mi sento sicuro perché so di non avere nessuno che mi controlla o ne faccio uno al giorno perché non ho voglia di farlo in un unico evento. Potrei fare un accesso e vedere tutti i dati. Intendo dire che non è necessario fare 200.000 accessi per scaricare i dati.
PRESIDENTE. Senatore Cantalamessa dobbiamo chiudere.
GIANLUCA CANTALAMESSA. Solo per lasciare agli atti. Noi rimaniamo in attesa: di sapere da quando sono stati generati gli alert; se ci può mandare qualche esempio di alert; se ci sono nomi delle persone che nello specifico sono i supervisori che autorizzano.
PRESIDENTE. Senatore la ringrazio. Vi ringrazio perché alla fine, tramite le domande, ci avete dato le risposte che cercavamo. Oggi possiamo dire, in conclusione di questa audizione, che, nello specifico, per quanto riguarda la banca dati Serpico, senza dubbio se l'alert è suonato, un coordinatore ha ricevuto quell'alert, e può averlo sbloccato o meno. Quindi la Commissione se riterrà vi chiederà – e credo che ve lo chiederà, ve lo anticipo, e tutto sarà fatto in via formale – chi ha ricevuto questo alert, dopodiché se da questa audizione emergeranno delle possibilità migliorative per la Pag. 28gestione di questi dati, penso che sia un bene per tutti. Questo volevo dirvi e per questo volevo ringraziarvi.
PAOLO SAVINI, presidente di SOGEI. Scusi, presidente, non avendo contezza, perché come Agenzia delle entrate non siamo stati sentiti dalla autorità giudiziaria sul caso specifico, amplierei a Serpico e a Siatel Punto Fisco, che è l'altra modalità.
PRESIDENTE. Va bene, più informazioni ci date, meglio è. Grazie della disponibilità e grazie a tutti. Dichiaro conclusa l'audizione.
La seduta termina alle 16.