Gli indagati della maxi-inchiesta della procura di Milano, che ha scoperchiato un parallelo mercato di dati sottratti fraudolentemente, attingevano soprattutto da Serpico, la banca dati finanziari, il Cervellone economico del Paese.
Gli accusati entravano dal Punto fisco dell’Agenzia delle Entrate, rovistavano nei Cassetti fiscali e nel database delle Sos, le segnalazioni di operazioni finanziarie sospette. «Poter accedere a Serpico», scrivono i pm milanesi, a supporto dell’importanza della banca dati, «e poter interrogare la banca dati Sos significa poter avere a disposizione le informazioni economico-finanziarie di tutti i cittadini italiani».
Gli specialisti di Equalize riuscivano a violare anche il Sistema di interscambio Anagrafe tributarie enti locali, il Siatel-Punto fisco. Così si può sapere tutto su Imu, Ici, Tari, versamenti Irpef, contratti di locazione, contratti di fornitura e dichiarazioni di successione. Dal Cassetto fiscale potevano risalire ai versamenti F23 e F24, a condoni e concordati, rimborsi e dichiarazioni fiscali di tutti i tipi.
Ma cosa è Serpico? L’acronimo di «Servizi per i contribuenti», raccoglie dalle grandi operazioni finanziarie fino a tutte le spese fatte con carta di credito o bancomat da ogni cittadino italiano. Si tratta del sistema informatico utilizzato dall’Agenzia delle entrate, in grado di incrociare oltre 30 milioni di dichiarazioni dei redditi con altri dati fiscali. Da questo database in pochi istanti appaiono gli ultimi 5 modelli 730 di un contribuente».
Fu creato nel 2012 per volere dell’allora governo Monti. Fu pensato per “spiare” le finanze in ottica di contrastare l’evasione fiscale che supera abbondantemente i 100 miliardi all’anno. Controllando conti correnti, titoli e qualsiasi operazione bancaria con esborso maggiore di 1.000 euro. Il software viene ormai utilizzato da oltre dieci anni dall’Agenzia delle Entrate. Ha un nome evocativo. Come l’incorruttibile poliziotto newyorkese di origini italiane, Frank Serpico, interpretato poi da Al Pacino in un celebre film del 1973. Chiamare così l’algoritmo anti-evasione voleva comunicare il messaggio della integrità adamantina dei dipendenti del Fisco che hanno accesso a informazioni molto riservate sulla vita dei cittadini. Riservatezza delle informazioni corroborata da norme ferree a difesa della privacy dei contribuenti. Ma non è andata proprio così.
Si tratta di un Cervellone ubicato in più di 2.000 server stivati in meno di 2000 metri quadri con un’attività continua (24 ore su 24) ad un ritmo di 22.200 informazioni al secondo, nel cuore di Sogei, la partecipata al 100% del Ministero del Tesoro finita di recente in un’inchiesta sugli appalti che ha portato all’arresto del direttore generale Paolino Iorio, arrestato in flagranza mentre intascava una tangente da 15mila euro. Ad alimentare questo Cervellone hanno contribuito da tempo le varie Agenzie fiscali (Entrate, Demanio, Territorio, Dogane), agli enti previdenziali e assistenziali (Inps, Inpdap e Inail) passando per i ministeri, i comuni, le province e le regioni.
L’interfaccia nacque in stile minimal ma poi si è evoluta anche come design, oltre che per contenuti. Alla sinistra ci sono le dichiarazioni dei redditi degli ultimi cinque anni. Poi c’è una sezione dedicata alle eventuali pendenze con l’amministrazione finanziaria, verifiche in corso, cartelle ed accertamenti. Infine, redditi, scontrini farmaceutici in detrazione, interessi del mutuo ed eventuali costi. In un’altra finestra, si può accedere ai beni posseduti, al fine di visionare i perimetri catastali di case, appartamenti e terreni, senza dimenticare i beni mobili (automobili, moto, barche, aeroplani). Paolino Iorio, arrestato lunedì in flagranza mentre intascava una tangente da 15mila euro.
Tutte le applicazioni, prima di consentire qualsiasi trattamento dei dati, dovrebbero interagire con il sistema di controllo accessi affinché tutti gli operatori che vogliono accedere siano preventivamente identificati e autenticati e ne sia verificata sui sistemi l’autorizzazione all’accesso. L’autenticazione dell’operatore avverrebbe sempre utilizzando almeno un fattore di autenticazione, la password di accesso, sottoposta a una specifica password policy con opportune caratteristiche di sicurezza quali la lunghezza minima, la scadenza e il blocco in caso di ripetuti errori di inserimento. Tutte le procedure sono state evidentemente scavalcate.
