ACosenza c’è un poliziotto sui generis: Vito Tignanelli. Se da una parte la sua carriera include esperienze di punta nell’antimafia, dall’altra il poliziotto si è dedicato a importanti attività imprenditoriali, compresa la commercializzazione del software-spia Exodus.

Exodus è un malware che ha messo a repentaglio milioni di byte di dati secretati e sensibili, intercettando almeno 393 telefoni. Sviluppato dalla società E-Surv, il software è stato nascosto in app all’apparenza innocue, con l’obiettivo di raccogliere tutte le informazioni contenute nel dispositivo infetto. Come ha ricostruito il centro di giornalismo d’inchiesta Irpi, questi dati finivano su server negli Stati Uniti, accessibili da qualsiasi dispositivo e browser, in una sorta di caveau da cui – questa è una delle piste su cui lavorano le procure che indagano sul caso – chi aveva le chiavi avrebbe potuto pescare informazioni scottanti per attività di dossieraggio. O da cui sono scomparsi gigabyte su importanti processi, anche per mafia.

Irpi ha anche scoperto come degli investimenti in Est Europa di Tignanelli nascondano risvolti inquietanti che creano un precedente per cui, con la dovuta due diligence, le procure italiane avrebbero potuto tenersi alla larga dal malware Exodus.

La storia parte con Vito Tignanelli che, mentre è in servizio, si dedica a due distinte attività imprenditoriali. La prima è l’investimento di un milione di euro in una finanziaria dell’Est Europa dallo scopo titanico, la costruzione del porto turistico – mai realizzato – di Diamante, in provincia di Cosenza. L’altra, il business delle intercettazioni. E sarà proprio quest’ultima attività a metterlo nei guai.

Impresa Exodus

Tignanelli è il proprietario de facto della Stm, azienda di sorveglianza che ha operato intercettazioni con il malware Exodus per conto di varie procure, come Castrovillari, Benevento e Palermo. Una diffusione radicale probabilmente permessa – come in altri casi di successo dei software-spia – da una efficace rete di clientelismi, una delle ipotesi su cui lavorano gli inquirenti nell’ambito delle indagini in cui il poliziotto è coinvolto.

Il mercato degli strumenti elettronici di sorveglianza registra un’ampia presenza di responsabili che hanno un passato nelle forze dell’ordine o nell’esercito. Questo perché gli affidamenti in questi casi avverrebbero principalmente su base fiduciaria, sia a Forte Braschi – sede dei servizi segreti esterni (Aise) – sia presso le procure. Potrebbe essere proprio questa rete di contatti ad aver spianato a E-surv e Stm la strada fino alle più alte gerarchie della sicurezza nazionale.

All’inizio del 2019, Tignanelli finisce sotto la lente degli inquirenti di Napoli e di Salerno. La Procura partenopea indaga sul suo ruolo nello scandalo Exodus, che tocca i più alti vertici dello stato. A Salerno, invece lo iscrivono nel registro degli indagati, assieme alla moglie, per il reato di “corruzione nell’esercizio della funzione”, in concorso con il procuratore capo di Castrovillari, Eugenio Facciolla. Secondo l’accusa, Facciolla avrebbe beneficiato nell’avere affidato servizi di intercettazione all’azienda di sorveglianza Stm intestata a un’altra persona, al momento estranea alle indagini, ma di fatto gestita dal poliziotto.

Alcune app contenenti il software-spia Exodus, ora non più disponibili sugli app store / Security Without Borders

La Stm, che oltre a software d’intercettazione fornisce anche strumenti di videosorveglianza e geolocalizzatori per i pedinamenti, sarebbe stata utilizzata per compiere diverse operazioni nelle indagini della procura del Pollino. Ma, a quanto si apprende dagli incartamenti del procedimento salernitano, le operazioni di sorveglianza non sarebbero state condotte sempre in modo ortodosso.

È quanto racconta dal carcere Carmine Greco, maresciallo della Forestale. Greco era stato investito dal procuratore Facciola di un ruolo importante nell’indagine su Calabria verde, impresa pubblica che gestisce i boschi in Calabria. L’indagine mirava a dimostrare come alcuni dirigenti dell’azienda accettassero mazzette per favorire il taglio selvaggio dei boschi, voluto da alcuni imprenditori dell’area.

Per catturare in video il passaggio di una mazzetta da 20 mila euro, Greco si serve di Antonio Spadafora, imprenditore boschivo che per l’occasione agisce come informatore degli investigatori. Le telecamere vengono piazzate dai tecnici della Stm su ordine di Facciolla. Ma avverranno due stranezze. La prima: Facciolla non dispone il sequestro dei 20 mila euro. La seconda: Greco verbalizza solo dopo alcuni giorni la presenza della Stm. Durante questo periodo, Greco e Tignanelli diventano amici.

Sarà proprio il poliziotto a informare Greco il 9 gennaio 2018 che il loro confidente, Spadafora, era stato arrestato nell’indagine Stige della Dda di Catanzaro, con l’accusa di essere affiliato ai clan egemoni nell’area di San Giovanni in Fiore. Per questo anche Greco finirà nei guai, indagato assieme a Tignanelli e Facciolla dalla procura di Salerno per presunte irregolarità nella raccolta di prove tramite telecamere e gps.

L’archivio Tignanelli-Facciolla

Pur non comparendo nell’organigramma della società Stm, è Tignanelli a risolvere le questioni tecniche per l’azienda, anche durante le indagini su Calabria verde. Facciolla non la ritiene una stranezza, poiché il poliziotto – con cui vi è una conoscenza più che ventennale – è un esperto di intercettazioni e «una persona che gode della massima incondizionata fiducia sia mia che di altri».

Ed è proprio con lui che Facciolla si confronta in merito alla proposta di Nicola Gratteri, procuratore capo di Catanzaro, di gestire in un unico server presso la sua procura le intercettazioni di tutto il Sud Italia. Tale proposta avrebbe creato più di qualche problema a Exodus, visto che il software archiviava illegalmente i dati raccolti su un server in affitto su Amazon (estranea alle indagini) in Oregon, negli Usa. Al contrario, la legge italiana impone che dati tanto sensibili debbano essere archiviati solo su un server fisicamente presente nelle procure che gestiscono l’indagine specifica.

Facciolla si fida profondamente di Tignanelli, tanto da affidargli il proprio archivio personale, nonostante il poliziotto fosse in servizio alla stradale e non presso il suo ufficio. Saranno gli stessi inquirenti della Guardia di finanza di Salerno a chiedere lumi: cosa ci fanno a casa di Tignanelli una serie di faldoni che riguardano sia indagini di Facciolla che indagini in cui il pm non è coinvolto? Facciolla si giustifica spiegando che nel trasferimento dalla Procura generale di Catanzaro alla Procura di Castrovillari ha chiesto a Tignanelli il favore di scansionare alcuni fascicoli di vicende giudiziarie pregresse.

Lo stoccaggio di materiale giudiziario a casa di Tignanelli ricorda un altro ritrovamento di materiale fuori dall’ufficio di competenza. La Procura di Napoli nella sua indagine parallela a quella salernitana, scopre infatti presso gli uffici della Stm materiale proveniente da indagini di varie procure, captato da Exodus.

I legali di Tignanelli e Facciolla, raggiunti per un commento, hanno risposto che non possono commentare i fatti al di fuori dei procedimenti giudiziari in corso. Nel far presente che i loro clienti stanno già dando ai magistrati tutti i dettagli sul caso, lamentano come ci siano state diverse fughe di notizie da documenti riservati. In realtà Wired ha avuto accesso esclusivamente ad atti già desecretati.

Come funziona

Progettato per estrarre informazioni dai dispositivi sui quali viene installato, Exodus è il software-spia sviluppato dall’azienda calabrese E-surv e distribuito in licenza da Stm.

Innanzitutto è necessario capire di che tipo di tecnologia si tratta: i software-spia sono strumenti informatici che, una volta installati sul telefono di un bersaglio, sono in grado di accederne alla memoria e ai sensori per raccogliere dati utili alle indagini. Messaggi, telefonate, fotografie, mail, screenshot: chi ha accesso a un’installazione di Exodus può acquisire verosimilmente qualsiasi informazione contenuta nel dispositivo infetto, oltre ad avere la possibilità di attivarne il microfono e la videocamera per ascoltare e vedere ciò che succede nel suo raggio d’azione.

Uno strumento investigativo ben più pervasivo di una semplice intercettazione dunque, che fino alla riforma voluta dal ministro della Giustizia Alfonso Bonafede, a gennaio 2019, poteva essere utilizzato esclusivamente per investigazioni di mafia o terrorismo.

I primi a svelare l’esistenza di Exodus, a marzo 2019, sono stati i giornalisti di Motherboard che, assieme ai ricercatori di Security Without Borders, hanno scoperto come il trojan fosse stato nascosto in alcune app apparentemente innocue presenti sul Google Play Store. Tra queste, alcune servivano per l’ottimizzazione delle prestazioni del cellulare o per ricevere promozioni commerciali.

Alcune app contenenti il software-spia Exodus, ora non più disponibili sugli app store / Security Without Borders

A nascondere Exodus tra le app del Google Play Store, esponendo chiunque le scaricasse a un’intercettazione illegale, era stata la E-surv. Che aveva raggruppato le informazioni così raccolte in due cartelle: demo e volontari. I volontari sarebbero stati i soggetti che avevano installato il malware per caso e che probabilmente servivano per testarne l’operatività su dispositivi diversi per modello o sistema operativo.

Una pratica a prima vista irregolare. In realtà, stando alle dichiarazioni di un dipendente della E-surv – sarebbe stata permessa sulla base di «garanzie funzionali». Le garanzie funzionali sono previste dalla legge 124/2007 per esonerare i servizi segreti – e i privati, «qualora la loro attività sia indispensabile e avvenga in concorso con il personale delle Agenzie» – da responsabilità penali durante l’attività istituzionale.

Genesi e capitolazione

È l’ottobre 2018 e nella Procura di Benevento si sta svolgendo un’indagine per la quale è stato autorizzato l’uso del malware sul telefono di un indagato. Dopo giorni di esasperanti disservizi e rallentamenti nella connessione, uno degli ufficiali di polizia giudiziaria decide di riavviare il computer dal quale controllavano il trojan.

Nonostante le difficoltà tecniche, la procedura per accedere al materiale raccolto dal software-spia è semplice e prevede l’inserimento dell’indirizzo Ip fornito da E-Surv sul browser, come per navigare su un comune sito web. Tuttavia, l’archivio di Exodus avrebbe dovuto essere raggiungibile esclusivamente dai computer autorizzati presenti in procura. Con suo stesso stupore, nell’attesa che la postazione venga riavviata, l’agente scopre invece di potersi collegare anche dal browser del suo smartphone, venendo correttamente reindirizzato sulla schermata nella quale inserire le credenziali di accesso. Insospettito, l’ufficiale di Polizia giudiziaria ripete più volte l’operazione, riuscendo a connettersi da computer e telefoni non autorizzati.

La sicurezza delle intercettazioni, notano gli inquirenti, era affidata esclusivamente al nome utente e alla password assegnate ai titolari dell’indagine, senza un secondo livello di verifica, come l’invio di un sms con un codice di controllo. Nulla, in breve, impediva a chi otteneva le credenziali d’accesso di consultare i segreti custoditi nel caveau di Exodus.

Ma serviranno ulteriori verifiche e tentativi per svelare la più grave delle criticità del sistema. Gli agenti scoprono infatti di avere accesso non solo a tutti i dati relativi al procedimento penale su cui stavano lavorando, ma “anche e soprattutto” alle intercettazioni di altri procedimenti, effettuati da altre procure che usavano il medesimo software. Di questi emergono screenshot, brogliacci (le trascrizioni di un’intercettazione), registri delle chiamate, rubriche telefoniche e addirittura il grado e il nominativo di alcuni operatori di Polizia giudiziaria, la cui identità era così esposta – con tutti i rischi che ne conseguono.

Come se non bastasse, il server da 4 terabyte (dimensione che equivale a circa duemila ore di materiali video) che avrebbe dovuto contenere il materiale intercettato in un luogo sicuro all’interno della Procura di Benevento era completamente vuoto, privo anche del sistema operativo e quindi assolutamente inerte. Infatti tutto ciò che veniva raccolto da Exodus finiva, al contrario, su un server remoto offshore, negli Stati Uniti.

L’esodo delle informazioni

Ma a cosa serviva lo stoccaggio dei dati su Amazon? Possibile che si trattasse solo di un mero errore operativo, un aver programmato male il servizio tecnologico? La Procura di Napoli indaga su presunte attività di dossieraggio e ricatto, e una fonte qualificata conferma che «il sistema di intercettazioni non controllate sarebbe stato utilizzato come centrale di informazioni, anche dai servizi«».

Insomma, un caveau a cui alcuni fortunati potevano accedere e pescare informazioni. Un sistema che ricorda molto quello di Massimo Carminati (l’ex Nar a capo della rete criminale soprannominata Mafia capitale), il quale rubò informazioni sensibili e segrete, con cui poi ricattare negli anni a venire personaggi chiave dello stato, della Chiesa e della criminalità.

Le indagini non hanno ancora appurato se e come il caveau virtuale Exodus sia stato usato anche per attività del genere, e da chi. Mentre le indagini dei pm campani suggeriscono come Exodus servisse per immagazzinare informazioni, fonti confidenziali riferiscono che mancherebbero all’appello diversi gigabyte di dati su importanti procedimenti giudiziari, incluse indagini sulla ‘ndrangheta. Le procure stanno anche valutando un’altra possibilità: che il vero business Exodus non fosse il servizio d’intercettazione reso alle procure – si guadagnava di più con gps e telecamere – bensì la vendita di informazioni secretate.

A indagare sulla vicenda è anche la Procura di Roma, che ha competenza in quanto Exodus sarebbe stato utilizzato anche da Aise e Aisi, i nostri servizi segreti. Come riporta l’Espresso, a seguito di analisi interne, risulta agli stessi servizi che il trojan sarebbe sì stato comprato, ma mai utilizzato.

Quanti e quali uffici dei servizi segreti abbiano testato Exodus non è dato sapere. Né ai giornalisti è accessibile il dato di quante procure si siano affidate alla Stm per i servizi di intercettazione tramite questo trojan e che due diligence sia stata fatta. Eppure, se da una parte tale segretezza nell’affidamento e negli appalti è giustificata dalla necessità di non rendere noto ai criminali quale azienda di sorveglianza fornisca gli strumenti durante una specifica indagine, dall’altra la storia di Exodus pone nuove sfide.

Chi controlla il controllore? Si suppone, la magistratura stessa. Eppure la storia di Exodus ci racconta come – quando si parla di strumenti tecnologici di tale potenza – basti molto poco affinché tutto finisca fuori controllo. In un server offshore.