Il fenomeno “dossier” è qualcosa di atmosferico, qualcosa di molto naturale, qualcosa difficile da evitare con procedure e controlli.
I controlli, in particolare, arrivano sempre dopo che qualcosa di spiacevole è successo. Le procedure, poi, vengono adeguate dopo i controlli e quindi sempre tardi.
Le contromisure – fatta la legge, trovato l’inganno – entrano in funzione e la loro efficacia non di rado si rivela effimera perché la vivacità di chi intende by-passarle è a dir poco irrefrenabile.
Regole rigide e affilatissimi strumenti software sono in esercizio da tempo e, tutto sommato, hanno tradito le aspettative e sbriciolato le più fervide speranze. Il dossieraggio e i corrispondenti scoop sono la parte emersa di un iceberg pronto a collidere e ad affondare quel che resta della democrazia, sulla cui tolda si balla frenetici in attesa che lo scafo si inabissi.
I sistemi che custodiscono informazioni personali critiche o sensibili sono strutturati per vincolare l’accesso al rispettivo patrimonio di conoscenze a chi si trovi in possesso di specifici requisiti. Il processo di autorizzazione prevede l’identificazione del soggetto abilitato, l’autenticazione dello stesso grazie a password o altre chiavi anche biometriche, una certa “libertà di movimento” corrispondente ai livelli di autorizzazione che sono stati concessi in ragione del ruolo e della missione dell’operatore in questione.
Se il soggetto è “accreditato” – come nel recente caso oggetto di acerrima discussione – non compie un accesso indebito ad un sistema informatico, perché è legittimato a servirsene e ogni sua azione viene automaticamente registrata dai cosiddetti “log”. Al limite il tizio può “approfittare” di questa sua “patente”, ma simile circostanza potrebbe essere sensibilmente attenuata se davvero la riforma della giustizia giungerà a cancellare l’abuso d’ufficio…
Prescindendo dalle violazioni del segreto o da altre fattispecie analoghe, l’uso improprio di dati personali non è cosa nuova e a guardar bene nello specchietto retrovisore della macchina legislativa se ne trova traccia già nella legge 121/81 (quella della riforma della PS) che all’articolo 12 prevedeva specifiche sanzioni per comportamenti “irrituali”. Nel tempo si sono susseguite norme che hanno cercato di proteggere la privacy e scongiurare un utilizzo indebito di informazioni, ma le cattive abitudini sono sopravvissute.
Se non si immagina chi – come si diceva un tempo – “siede alla tastiera di un terminale” come un inevitabile bandito, vale la pena immedesimarsi in un qualunque investigatore volenteroso e perspicace. Chi svolge indagini sa bene quali siano gli archivi elettronici da consultare e spesso sfrutta portali che aggregano il contenuto di più banche dati. I “database relazionali” hanno per loro natura la possibilità di avere un campo (o voce della singola scheda) agganciabile ad uno analogo che è incastonato in altro archivio: si parla di “campo match” (si pensi al codice fiscale) che è il perno ideale per incrociare la quintessenza di più fonti.
Una persona capace riesce a redigere un “dossier” ben rimpolpato nel giro di poche ore e, sfruttando quel che si trova in Rete, può arricchire il profilo del personaggio di interesse con notizie e dettagli che non compaiono negli archivi ufficiali. L’abilità nel rastrellare dati è un pregio fondamentale di un vero “sbirro” e spesso è potenziata da un certo intuito a scovare altre opportunità di integrazione del lavoro da svolgere.
Il tanto temuto “dossieraggio” prescinde da vincoli e limiti, ma si basa esclusivamente sulla imperdonabile slealtà di chi tradisce la propria organizzazione. Si possono implementare i meccanismi più rigorosi, ma se il soggetto autorizzato decide di agire contra legem si può fare proprio poco. Si possono inibire il salvataggio di file su dischi esterni o la stampa, e poi ti salta fuori chi – come il capitano di fregata Walter Biot – fotografa quel che è visualizzato sullo schermo…
L’analisi dei “log” porta a rilevare le interrogazioni fatte da quell’accoppiamento utente/password includendo le attività eventualmente svolte da un terzo che le ha carpite in modo fraudolento… I professionisti dei dossier illegali normalmente agiscono approfittando di sessioni di lavoro lasciate aperte dal collega che improvvisamente ha abbandonato il suo computer non presidiato per “allontanarsi un attimo” e si guardano bene dal far registrare a proprio nome certe ricerche.
Il “tesoro”, poi, non lo lasciano certo sul computer dell’ufficio ma fanno sparire ogni traccia e così potremmo continuare in una sterminata sequenza di considerazioni.
E’ ovvio che – come in tutte le faccende di sicurezza informatica – l’anello debole è quello “umano”. L’impiego di dispositivi e procedure non evita un bel niente e al massimo consente di risalire al colpevole. Dopo, molto tempo dopo.
