“Mix dichiara l’infondatezza delle informazioni riportate per la parte che le compete nell’articolo di Repubblica e si riserva di ritornare sull’argomento non appena avrà preso visione della relazione dell’Autorità Garante per la Privacy non ancora completata e pertanto non in suo possesso”.
E’ la replica di Mix, la società che gestisce l’Internet exchange point di Milano, alla notizia pubblicata questa mattina dal quotidiano, che rendeva pubblico il contenuto di una relazione riservata del dipartimento Attività ispettive dell’autorità garante per la Protezione dei dati personali, e che sarebbe sul tavolo del presidente del Consiglio, dei ministri per lo Sviluppo economico e della Difesa, e su quello di Marco Minniti, sottosegretario con delega all’intelligence. Secondo il dossier i contenuti delle comunicazioni degli italiani, via telefono o via Internet, potrebbero essere agevolmente controllati a causa di un deficit di sicurezza. Il rapporto, stilato dai tecnici dell’authority, risale ai mesi in cui scoppiò il cado Datagate, nel 2013, e sarebbe stato stilato tra aprile e maggio.
Il “punto debole” individuato dalla relazione nella gestione della sicurezza delle comunicazioni degli italiani sono gli Ixp, internet exchange point, e i sistemi che dovrebbero garantire la loro sicurezza. Si tratta, in pratica, dei luoghi in cui confluiscono i cavi che trasmettono le informazioni degli Internet service provider e ne consentono lo smistamento. Gli Ixp in Italia sono nove, ma tre sono quelli più importanti per lo scambio di informazioni su scala nazionale: Milano, Roma e Torino. Se qualcuno volesse esaminare il traffico in transito su questi nodi, scrive Repubblica citando la relazione, “potrebbe farlo con una certa facilità, attivando la funzione di port mirroring e poi utilizzando appositi strumenti di analisi”. Per poter fare una cosa del genere sarebbe in ogni caso necessario entrare fisicamente nelle stanze dell’Ixp, ma la relazione la considera un’eventualità possibile: “Sono emerse una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi. La cosa merita la massima attenzione – si legge negli stralci della relazione pubblicati dal quotidiano – in quanto si tratta di strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese, poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti dei principali operatori nazionali. Un inadeguato livello di sicurezza – hanno denunciato gli ispettori – può riflettersi negativamente sia sui diritti dei singoli cittadini, pregiudicando la riservatezza delle loro comunicazioni e la protezione dei loro dati personali, sia gli interessi istituzionali ed economici degli enti e delle imprese”.
Nella relazione gli ispettori denunciano anche una carenza sul piano delle regole: “Per svolgere la propria attività gli Ixp non hanno la necessità di trattare i dati personali degli abbonati o delgi utenti e quindi non assumono la qualifica di titolare del trattamento, in relazione alla quale il Garante potrebbe prescrivere loro direttamente le misure ritenute necessarie o opportune per rendere il trattamento dei dati conforme alle disposizioni di legge”
