Whistleblowing nella PA

Il ministero della Difesa ha un problema con le segnalazioni anonime

Il portale per raccogliere segnalazioni di illeciti si basa sul software GlobaLeaks per rendere anonimo chi comunica, ma viene richiesto di usare una carta interna che potrebbe rendere identificabile la fonte
Difesa il ministero ha un problema con le segnalazioni anonime

Anche il ministero della Difesa si adegua alla normativa per la tutela dei whistleblower, lanciando un portale per la raccolta di segnalazioni riguardanti illeciti o malversazioni. Tuttavia l’iniziativa tradisce lo scopo della tecnologia impiegata, ovvero il software GlobaLeaks - lo stesso usato da Wired per comunicare con le proprie fonti attraverso la piattaforma WiredLeaks - che nasce con l’intento di rendere tecnologicamente anonimo chi lo usa. 

Il dicastero ha vincolato l’accesso al portale all’uso della Carta multiservizi della Difesa, smart card di identificazione del militare che contiene i dati personali, la foto, le impronte digitali, i dati sanitari e i certificati digitali necessari all'identificazione e alla firma elettronica e che potrebbe compromettere l’anonimato di chi utilizza la piattaforma. L’apparente cortocircuito logico non è sfuggito agli sviluppatori di GlobaLeaks, che dal profilo ufficiale del progetto hanno criticato la scelta del ministero.

“Il ministero italiano della Difesa ha appena lanciato una piattaforma interna di whistleblowing basata su Globaleaks con l’autenticazione (tramite) smart card di fronte - è il commento pubblicato sul canale ufficiale del progetto su Twitter -. Non è così che dovrebbe essere usata. Dovrebbe essere usata attraverso Tor per proteggere l’anonimato dei whistleblower.

X content

This content can also be viewed on the site it originates from.

Che cos'è GlobaLeaks

Nata nel 2010 nell’ambito del Centro Hermes, organizzazione italiana per l’implementazione dei diritti umani digitali, GlobaLeaks è una piattaforma open source, quindi impiegabile da chiunque senza scopo di lucro, che garantisce un alto livello di protezione di chi la usa. Per ottenere questo risultato, il software si avvale del cosiddetto dark web: l’infrastruttura informatica di Tor che permette di navigare online offuscando le proprie tracce digitali. È la stessa tecnologia usata anche da Wired Italia e altre organizzazioni giornalistiche in tutto il mondo per ricevere documenti e informazioni di interesse pubblico, garantendo al contempo il completo anonimato di chi vi ricorre. Certo, a meno che non venga inserito un meccanismo di autenticazione a monte del processo.

È questo il caso del ministero, che impedisce l’utilizzo della piattaforma a chi non è in possesso del titolo elettronico. “Per procedere devi utilizzare la tua Carta multiservizi della Difesa (Cmd). L'utilizzo della Cmd serve a garantire l'accesso ai soli dipendenti della Difesa”, si legge nella pagina. In ogni caso, nello stesso si legge anche: “In nessun caso saranno tracciati i relativi dati”, con una formulazione ambigua che non dà modo di capire se l’utente sarà realmente anonimo, se alcuni dati verranno registrati ed eventualmente dopo quanto verrebbero cancellati. Ancora: la normativa prevede l'estensione delle tutele ai fornitori ed ex fornitori, che non risulta siano in possesso della smart card, necessaria per accedere alla piattaforma. 

Un precedente risale al 2020 quando, analogamente al ministero della Difesa, il dicastero della Giustizia aveva vincolato l'accesso alla propria piattaforma all'utilizzo di credenziali di accesso. Una misura tecnica già riconosciuta come errata e successivamente rimossa. Contattato da Wired, il ministero non ha risposto a una richiesta di commento.

Cosa dicono le regole sul whistleblowing

“La normativa sulla tutela dei whistleblower è introdotta, in Italia, con la legge ‘anticorruzione’, con l’intento di stimolare le segnalazioni e, allo stesso tempo, proteggere il dipendente pubblico che segnali un illecito contro eventuali ritorsioni o discriminazioni conseguenti alla sua segnalazione. Queste norme, quindi, si applicano ai dipendenti di un ente pubblico, ed è possibile che il ministero abbia scelto di vincolare l’accesso alla piattaforma proprio per accertarsi che i segnalanti siano realmente i destinatari questa normativa”, spiega a Wired Francesco Paolo Micozzi, avvocato esperto di informatica e docente di informatica giuridica all’Università di Perugia. 

Tuttavia, le segnalazioni anonime sono contemplate eccome e GlobaLeaks nasce proprio con questo scopo. A specificarlo, nel suo piano triennale di Prevenzione della corruzione e della trasparenza, è la stessa Anac (Autorità nazionale anticorruzione), che precisa come “Con riguardo, invece, alle segnalazioni anonime, saranno prese in carico anche le comunicazioni non sottoscritte, che risultino manifestamente fondate e dalle quali emergano elementi utili per la ricostruzione e l’accertamento di illeciti a vario titolo rilevanti.”. Non un obbligo, ma una porta lasciata aperta per tutte le persone in possesso di informazioni utili che desiderano proteggere la propria identità nel segnalare un potenziale illecito.

Niente di tutto ciò compare però nell’omologo piano del ministero della Difesa, che non spiega in alcun modo se e come tratterebbe sia le segnalazioni dei fornitori sia un'eventuale segnalazione anonima. Anche perché, se da un lato la piattaforma ufficiale resta riservata ai soli dipendenti, dall’altra il responsabile della trasparenza delle forze armate dispone di una casella email per la raccolta di segnalazioni. E non è chiaro se queste verrebbero accettate o approfondite, soddisfatto il requisito della presenza di “elementi utili”, anche qualora provenissero da un utente anonimo. Certo è che, per l’utente comune, sono molteplici le sfide da affrontare per inviare un messaggio di posta elettronica veramente anonimo e irrintracciabile. Esattamente le sfide che GlobaLeaks nasce per risolvere e di cui al ministero non sembrano aver bisogno.