Dalla polemica MECM alla sovranità digitale mancata: la serratura sotto accusa, il muro sfondato? Ignorato

Nelle ultime settimane l’Italia si è divisa su una polemica che ha tutti i tratti di un cortocircuito informativo. Al centro della discussione c’è MECM, acronimo di Microsoft Endpoint Configuration Manager, un software di gestione centralizzata installato su circa quarantamila computer del Ministero della Giustizia. L’inchiesta di Report, che andrà in onda questa sera (25 gennaio 2026), anticipata mercoledì ha presentato questo strumento come un potenziale sistema di sorveglianza dei magistrati, scatenando reazioni politiche immediate e aprendo un fronte di scontro istituzionale a poche settimane dal referendum sulla giustizia.

Mentre il dibattito pubblico si infiamma su questo software, che gli esperti di settore definiscono uno standard industriale utilizzato da governi e grandi organizzazioni in tutto il mondo, passa quasi inosservata una notizia ben più significativa. Nel luglio 2025 Microsoft Francia ha dichiarato pubblicamente al Senato francese di non poter garantire che i dati dei propri clienti europei siano completamente protetti da richieste di accesso da parte delle autorità statunitensi. Una ammissione che riguarda direttamente anche i dati della giustizia italiana, ospitati su infrastrutture soggette al Cloud Act americano.

Il paradosso è evidente. Ci si divide su uno strumento di amministrazione IT mentre si ignora che oltre il settanta per cento del mercato cloud pubblico europeo è in mano a tre hyperscaler statunitensi, e che la legge americana consente al governo di Washington di richiedere l’accesso ai dati ovunque essi siano archiviati, purché gestiti da aziende soggette alla giurisdizione USA. È come discutere animatamente della serratura di una porta mentre il muro accanto presenta una breccia.

I fatti della vicenda

Prima di qualsiasi analisi conviene ricostruire i fatti nella loro sequenza. MECM, precedentemente noto come SCCM, è stato installato sui computer del Ministero della Giustizia nel 2019, durante il primo governo Conte con Alfonso Bonafede alla guida del dicastero. Si tratta di una piattaforma Microsoft per la gestione centralizzata degli endpoint, utilizzata per distribuire aggiornamenti di sicurezza, installare software, effettuare inventario delle risorse e fornire assistenza tecnica da remoto. Gestire decine di migliaia di postazioni senza strumenti di questo tipo sarebbe tecnicamente impossibile e pericoloso dal punto di vista della sicurezza.

Nel 2024 la Procura di Torino ha sollevato preoccupazioni sul funzionamento del sistema, segnalando al Ministero potenziali rischi per la segretezza delle indagini. Secondo le anticipazioni, Report avrebbe ottenuto una registrazione audio di una riunione tenutasi nel maggio 2024, in cui Giuseppe Talerico, dirigente del Coordinamento dei sistemi informatici del Ministero, avrebbe detto ai tecnici locali di mantenere un profilo comunicativo ermetico nei confronti degli uffici giudiziari e avrebbe fatto riferimento a pressioni provenienti dalla Presidenza del Consiglio.

La Procura di Roma ha aperto un fascicolo sulla vicenda, ma secondo le informazioni disponibili il procedimento è rimasto a modello 45, senza indagati né ipotesi di reato, e senza rilevare profili penalmente perseguibili. Il ministro Nordio ha definito le accuse surreali, precisando che il sistema non consente sorveglianza dell’attività dei magistrati, non legge contenuti, non registra tasti o schermo, non attiva microfoni o webcam, e che le funzioni di controllo remoto non sono attive né sono state mai attivate.

Le due letture a confronto

La polemica si è cristallizzata attorno a due interpretazioni radicalmente diverse della stessa realtà tecnica.

Da un lato l’anticipazione della puntata di Report, che andrà in onda questa sera (Domenica 25 gennaio) e alcuni magistrati sostengono che il software potrebbe consentire accessi remoti non autorizzati. Francesco Zorzi, consulente di diverse Procure, ha replicato in laboratorio un’infrastruttura simile a quella ministeriale dimostrando che il controllo remoto, pur risultando disattivato nella configurazione prevista, potrebbe essere riattivato con relativa facilità da un tecnico dotato di permessi di amministratore. Il giudice Aldo Tirone del Tribunale di Alessandria ha raccontato a Report di aver fatto una prova con un tecnico di un ufficio giudiziario diverso su un file aperto che era in grado di leggere senza alcuna autorizzazione o alert.

Dall’altro lato gli esperti di cybersicurezza contestano questa ricostruzione con argomentazioni tecniche puntuali. Matteo Flora ha spiegato che MECM funziona su audit trail e log dettagliati che registrano ogni intervento, soprattutto quelli che richiedono privilegi elevati. Cancellare sistematicamente queste tracce sarebbe paradossalmente molto più complesso che lasciarle. L’accesso al sistema è regolato dal principio del minimo privilegio, con ruoli separati, autorizzazioni limitate e controlli incrociati. I profili con poteri più estesi sono pochissimi e monitorati da strutture di sicurezza dedicate come i Security Operations Center.

Particolarmente netto è il giudizio del professor Antonio Teti, docente di Fondamenti di Cybersecurity presso l’Università d’Annunzio di Chieti-Pescara e autore di numerose pubblicazioni su intelligence e sicurezza informatica. Intervistato da Formiche.net, Teti ha definito la polemica rivelatrice di un problema strutturale nel modo in cui in Italia si parla di tecnologia, pubblica amministrazione e sicurezza. Per il professore, la narrazione dominante confonde deliberatamente, o colpevolmente, il controllo tecnico con il controllo disciplinare. Il primo è necessario per far funzionare qualsiasi infrastruttura complessa, il secondo è regolato dal diritto del lavoro e dai regolamenti interni. Sono due piani completamente diversi che vengono sovrapposti creando confusione.

Teti ha ricordato che senza strumenti come MECM una grande amministrazione non è semplicemente gestibile, perché amministrare decine di migliaia di postazioni richiederebbe centinaia di operatori informatici che comunque non riuscirebbero a garantire la stessa efficienza. L’utilizzo di queste piattaforme centralizzate non è una scelta discrezionale ma una condizione di sopravvivenza organizzativa.

Sulla possibilità teorica di abuso, il professore ha offerto una chiave di lettura illuminante. Qualsiasi tecnologia può essere abusata, ha osservato, compreso un telefono, una stampante o un badge card. Vale l’esempio del coltello: possiamo utilizzarlo per tagliare il pane ma può trasformarsi in uno strumento di offesa. È sempre l’uomo l’elemento decisore. La domanda corretta non è se uno strumento possa essere abusato, bensì se sia progettato e utilizzato per quello scopo. Nel caso di MECM la risposta è no.

Per trasformare MECM in uno strumento di sorveglianza, ha precisato Teti, servirebbero amministratori di sistema che volutamente decidano di trafugare informazioni, moduli aggiuntivi specifici, configurazioni invasive, autorizzazioni particolari, violazioni contrattuali e normative evidenti. E tutti questi elementi lascerebbero traccia del loro operato.

Particolarmente significativa l’analisi del professor Teti sulla dinamica narrativa della vicenda. La tecnologia è diventata un campo di battaglia ideologico, ha affermato, uno strumento di delegittimazione, una leva emotiva alimentata da una narrativa virale e manipolata. Agitare lo spettro del controllo per ottenere visibilità, consenso o scontro, scaricando sull’Information Technology le colpe, rappresenta una forma di propaganda e condizionamento psicologico-comportamentale delle masse.

L’errore più grave di questa narrazione, secondo Teti, sta nel presentare la sicurezza informatica come una minaccia invece che come una tutela. Il messaggio implicito è devastante: mettere in sicurezza i sistemi pubblici diventa sospetto. È un messaggio che indebolisce lo Stato, le sue istituzioni e che produce insicurezza nei cittadini.

C’è poi una posizione intermedia, forse la più equilibrata. Alcuni esperti di sicurezza informatica osservano che strumenti come MECM, pur nati per la gestione legittima degli ambienti IT, comportano rischi se configurati in modo tale da permettere accessi remoti senza notifiche chiare. Non si tratta di un trojan segreto, ma di una tecnologia di gestione enterprise che, se mal governata, può prestarsi ad abusi. La questione dunque non è se MECM sia intrinsecamente uno spyware, cosa che non è, ma se la governance, i processi e i controlli implementati dal Ministero siano adeguati per un contesto delicato come quello giudiziario.

Il precedente che tutti dimenticano

C’è un elemento di contesto che stranamente non compare quasi mai nel dibattito pubblico. Nel 2024 l’hacker Carmelo Miano è stato arrestato dopo aver violato per anni i sistemi informatici del Ministero della Giustizia. Secondo le ricostruzioni investigative, Miano era dentro i sistemi dal 2021 e per quattro anni ha potuto spiare, leggere le email e scaricare documenti che passavano per i segmenti di rete da lui sorvegliati. Era riuscito a copiare l’intero database utenti del Ministero, estrapolando le password di 46 magistrati inquirenti di stanza tra Firenze, Perugia e Torino, inclusi i procuratori Gratteri e Cantone.

L’avvocato Gioacchino Genchi, difensore di Miano, dichiarò alla stampa che la rete informatica del Ministero della Giustizia era definibile con il nome di un noto accessorio da cucina chiamato colabrodo. Persino Nicola Gratteri, che pure coordina indagini delicatissime, ammise pubblicamente di non usare mai la posta del Ministero né alcuna apparecchiatura dello Stato per l’alto rischio che fosse permeabile.

Il paradosso è stridente. Mentre ci si interroga su un software Microsoft standard utilizzato in tutto il mondo, un hacker ha avuto accesso per anni ai sistemi più sensibili della giustizia italiana sfruttando vulnerabilità ben più gravi. Il caso Miano dimostra che le minacce reali alla sicurezza dei dati giudiziari non vengono da strumenti di gestione IT, ma da carenze strutturali nella sicurezza delle infrastrutture.

L’operazione nel dominio cognitivo

Chi si occupa di sicurezza nazionale non può limitarsi a valutare la fondatezza tecnica delle accuse. Deve anche analizzare la dinamica informativa che ha caratterizzato questa vicenda, perché presenta tratti riconducibili alle operazioni nel dominio cognitivo descritte nelle dottrine militari contemporanee. Il professor Teti ha parlato esplicitamente di propaganda e condizionamento psicologico-comportamentale delle masse, un’espressione che merita approfondimento.

La prima tecnica identificabile è lo slittamento semantico. Un software di endpoint management, categoria nota e standardizzata, viene progressivamente ridefinito come software spia attraverso un uso sapiente del linguaggio. La parola spia evoca scenari di sorveglianza illegale che non corrispondono alla natura tecnica dello strumento, ma che si imprimono nell’immaginario collettivo con maggiore forza di qualsiasi spiegazione tecnica.

La seconda tecnica è l’omissione selettiva. Nel racconto mediatico non compare quasi mai il riferimento agli audit trail, ai controlli di accesso basati sui ruoli, ai Security Operations Center che monitorano le attività privilegiate. Elementi tecnici fondamentali per valutare la reale pericolosità del sistema vengono sistematicamente esclusi dalla narrazione.

La terza tecnica è la generalizzazione indebita. L’affermazione che qualsiasi tecnico con permesso di amministratore può attivare il controllo remoto all’insaputa dei magistrati ignora completamente il principio del minimo privilegio su cui si basano tutti i sistemi di sicurezza enterprise. Non tutti i tecnici hanno gli stessi permessi, i ruoli sono segregati, gli accessi privilegiati sono monitorati e tracciati.

La quarta tecnica è la decontestualizzazione temporale. Il sistema è stato installato nel 2019 sotto il governo Conte, ma la polemica viene presentata in modo da colpire l’attuale esecutivo. Il timing, a ridosso del referendum sulla giustizia, non appare casuale.

Gli effetti sistemici di questa operazione sono molteplici. Si produce frammentazione del consenso istituzionale, con magistratura, esecutivo e opinione pubblica che si dividono su basi tecnicamente fragili. Si erode la fiducia nelle infrastrutture IT dello Stato, rendendo più difficile qualsiasi futura iniziativa di digitalizzazione. Si distoglie l’attenzione dalle minacce reali, come gli attacchi ransomware, le operazioni di APT stranieri, le vulnerabilità della supply chain. Come ha osservato il professor Teti, mentre si discute di fantasmi gli attacchi ransomware aumentano, le supply chain digitali sono sotto pressione e la Pubblica Amministrazione è diventata un bersaglio privilegiato. La conseguenza è che invece di rafforzare la governance digitale la si delegittima. Si inverte paradossalmente il messaggio sulla sicurezza, facendo apparire sospetto il fatto stesso di dotarsi di strumenti di gestione e protezione dei sistemi.

Chi beneficia oggettivamente di questa dinamica? Senza entrare in speculazioni sui mandanti, gli effetti favoriscono attori statali ostili interessati alla destabilizzazione italiana, attori cyber che operano contro le istituzioni del paese, dinamiche di polarizzazione interna che indeboliscono la coesione nazionale.

Il vero problema che nessuno affronta

Mentre l’Italia si divide su MECM, il vero problema della sicurezza informatica della giustizia resta sullo sfondo. Non si tratta della presunta capacità di sorveglianza di uno strumento Microsoft, ma della dipendenza strutturale dell’intero sistema da infrastrutture soggette a giurisdizioni extraeuropee.

Il Cloud Act americano, entrato in vigore nel 2018, consente alle autorità statunitensi di richiedere l’accesso ai dati ai fornitori di servizi cloud statunitensi indipendentemente dal luogo di archiviazione. Questo significa che i dati conservati su server fisicamente collocati in Europa possono comunque essere richiesti da Washington se il fornitore del servizio è un’azienda americana.

Nel luglio 2025 Microsoft Francia ha ammesso pubblicamente al Senato francese che, in presenza di una richiesta formalmente legittima da parte delle autorità USA, la società sarebbe obbligata a trasmettere i dati richiesti anche se conservati su server europei. L’azienda ha precisato che si impegna contrattualmente a resistere alle richieste infondate e a notificare il cliente coinvolto, ma in casi estremi potrebbe essere costretta a trasmettere i dati.

La situazione italiana non fa eccezione. Il Polo Strategico Nazionale, pilastro della digitalizzazione della Pubblica Amministrazione, è stato costruito facendo ampio affidamento sulle tecnologie proprietarie degli hyperscaler americani. Una scelta dettata da esigenze di efficienza che ha generato un vincolo strutturale noto come vendor lock-in. La dipendenza da soluzioni PaaS proprietarie rende estremamente complessa l’eventuale exit strategy, con costi e tempi di migrazione incompatibili con la continuità operativa di enti critici.

Il deficit commerciale digitale dell’Unione Europea supera i cento miliardi di euro l’anno. Circa 264 miliardi, pari all’uno e mezzo per cento del PIL europeo, finiscono ogni anno a fornitori stranieri di software e cloud. La quota di mercato in mano a imprese europee nel settore cloud è ormai ridotta al tredici per cento, mentre i tre principali fornitori USA coprono circa il settanta per cento del mercato.

Per la giustizia italiana questo significa che dati sensibilissimi, inclusi atti di indagine coperti da segreto, comunicazioni tra magistrati, fascicoli processuali, risiedono su infrastrutture potenzialmente accessibili a giurisdizioni straniere in base a normative extraterritoriali. È un problema di sovranità nazionale che prescinde completamente dalla polemica su MECM.

Cosa stanno facendo gli altri paesi europei

Di fronte a questa situazione, diversi paesi europei hanno avviato strategie concrete per ridurre la dipendenza tecnologica. L’esperienza più avanzata è quella dello Schleswig-Holstein, uno stato federale tedesco che ha completato la migrazione dei propri sistemi e-mail verso soluzioni open source, abbandonando Microsoft Exchange e Outlook in favore di Thunderbird e Open-Xchange. La transizione ha coinvolto circa trentamila dipendenti dell’amministrazione regionale con l’obiettivo dichiarato di ridurre la dipendenza da fornitori proprietari, migliorare la trasparenza e rafforzare la sovranità digitale.

Il progetto tedesco prevede il passaggio completo da Microsoft Windows a GNU/Linux, l’utilizzo di Nextcloud per la collaborazione e la condivisione di file, Open-Xchange e Thunderbird per email e calendario, un servizio di directory basato su open source per sostituire Microsoft Active Directory, soluzioni di videoconferenza basate su Jitsi. Lo stato ha già migrato oltre quarantamila caselle di posta elettronica con oltre cento milioni di email e voci di calendario.

A livello federale la Germania ha istituito nel 2022 il Centre for Digital Sovereignty, noto come ZenDiS, una società di proprietà del governo con l’obiettivo di rafforzare l’autonomia digitale della pubblica amministrazione e superare le dipendenze critiche da singoli fornitori di tecnologia. ZenDiS ha sviluppato openDesk, una suite di strumenti per l’ufficio e la collaborazione che integra componenti di otto produttori europei ed è specificamente progettata per la pubblica amministrazione.

Il caso più emblematico dell’adozione di openDesk riguarda il Tribunale penale internazionale dell’Aia, che ha deciso di sostituire Microsoft Office con la piattaforma tedesca. La scelta è arrivata dopo che l’account email del procuratore capo Karim Khan era stato sospeso in seguito alle sanzioni imposte dall’amministrazione Trump contro funzionari della Corte. Un episodio che ha dimostrato concretamente i rischi della dipendenza da fornitori soggetti a giurisdizioni straniere.

Anche la difesa tedesca sta per adottare openDesk in sostituzione dei prodotti Microsoft, segnando un passaggio significativo per un settore dove la sicurezza delle comunicazioni è prioritaria.

La Danimarca ha annunciato l’intenzione di abbandonare Microsoft Office 365 a favore di LibreOffice, una suite open source sviluppata dalla Document Foundation di Berlino. Il piano prevede una sostituzione graduale a partire dal Ministero degli Affari Digitali, con l’obiettivo di ridurre la dipendenza da fornitori unici. La decisione è stata accelerata dalle tensioni con Washington sulla questione della Groenlandia, ma risponde a preoccupazioni più strutturali sulla sovranità digitale.

La Francia ha adottato una politica open source first che incoraggia l’uso di software libero in tutte le amministrazioni pubbliche. La Direzione Interministeriale del Digitale ha promosso la sostituzione progressiva dei software proprietari con alternative open source come Nextcloud per l’archiviazione cloud, LibreOffice per la produttività, Linux e OpenStack per i server. Il Ministero dell’Economia e delle Finanze ha recentemente completato NUBO, un’iniziativa di cloud privato basata su OpenStack progettata per gestire dati e servizi sensibili.

Nel luglio 2025 Germania, Francia, Italia e Paesi Bassi hanno istituito il European Digital Infrastructure Consortium for Digital Commons per sviluppare e scalare congiuntamente strumenti digitali sovrani. Un’iniziativa che segnala una crescente consapevolezza a livello europeo della necessità di ridurre la dipendenza tecnologica.

L’Italia si trova in una posizione ambivalente. Da un lato ha firmato la Dichiarazione per la Sovranità Digitale Europea e ha avviato la Strategia nazionale cloud con investimenti per circa un miliardo previsti dal PNRR. Dall’altro il Polo Strategico Nazionale conta tra i partner strategici i grandi player americani come AWS di Amazon, Google, Microsoft e Oracle. Un cloud nazionale, ma con fornitori esteri.

La questione non è puramente ideologica. Costruire infrastrutture cloud sovrane richiede competenze, investimenti e tempo che l’Italia ha accumulato in ritardo rispetto ad altri paesi europei. Ma il problema è anche di volontà politica e di consapevolezza. Le amministrazioni pubbliche continuano ad affidarsi a suite di produttività e servizi cloud di Microsoft e Google, con solo sporadiche migrazioni verso soluzioni open source.

C’è poi il fenomeno del sovereignty washing, come lo definiscono gli esperti del settore. Fornitori americani che si alleano con partner europei per poter vantare garanzie di sovranità che in realtà non possono offrire, perché restano comunque soggetti alle leggi statunitensi. Costruire data center in Europa risolve la residenza fisica dei dati, ma non il problema della giurisdizione.

La polemica su MECM si inserisce in questo contesto di ritardo strategico. Invece di discutere di come ridurre la dipendenza strutturale da fornitori extraeuropei, ci si divide su uno strumento di gestione IT che è lo standard in tutto il mondo. È come se un paziente affetto da una patologia cronica si preoccupasse ossessivamente di un neo benigno ignorando la malattia sottostante.

Le domande che dovremmo porci

La vicenda MECM solleva comunque questioni legittime, anche se mal formulate nel dibattito pubblico. La governance dei sistemi informatici della giustizia merita attenzione, ma le domande corrette sono diverse da quelle poste finora.

Sulla governance interna bisognerebbe chiedersi chi abbia accesso ai privilegi di amministratore sui sistemi della giustizia, come vengano monitorati questi accessi, se esistano audit indipendenti, quali siano le procedure per la gestione degli incidenti di sicurezza.

Sulla sovranità bisognerebbe chiedersi perché i dati giudiziari italiani risiedano su infrastrutture soggette al Cloud Act statunitense, quali siano i piani concreti per ridurre questa dipendenza, se l’Italia stia partecipando attivamente alle iniziative europee per la sovranità digitale.

Sulla sicurezza reale bisognerebbe chiedersi quali misure strutturali siano state adottate dopo il caso Miano, se la polemica su MECM non stia distraendo da vulnerabilità più gravi, quale sia lo stato effettivo della sicurezza delle infrastrutture critiche della giustizia.

Sulla strategia nazionale bisognerebbe chiedersi quali azioni concrete seguiranno la firma della Dichiarazione per la Sovranità Digitale Europea, se esistano piani per adottare soluzioni come openDesk anche in Italia, quale sia la roadmap per ridurre il vendor lock-in con i fornitori americani.

La polemica sul software MECM al Ministero della Giustizia presenta le caratteristiche di un’operazione nel dominio cognitivo, sia essa intenzionale o emergente da dinamiche mediatiche e politiche. Il professor Teti ha definito il fenomeno con parole efficaci: il problema è l’analfabetismo digitale elevato a dibattito pubblico, un analfabetismo che confonde strumenti con intenzioni, ignora le architetture IT e riduce la complessità a slogan. Queste polemiche rischiano di delegittimare le competenze e alimentare la sfiducia nello Stato, premiando l’ignoranza rumorosa.

La vicenda sfrutta questo deficit culturale per trasformare uno strumento di gestione standard in una minaccia percepita. Distoglie l’attenzione dalle vulnerabilità reali dimostrate dal caso Miano e dalla dipendenza strutturale da infrastrutture extraeuropee. Frammenta il consenso istituzionale in un momento critico per la transizione digitale del paese.

Paradossalmente però la polemica solleva, anche se in modo distorto, una questione legittima. Chi controlla davvero i dati della giustizia italiana? La risposta onesta è che, in ultima istanza, il controllo può essere esercitato da aziende soggette a giurisdizioni straniere in base a normative come il Cloud Act. Questo è un problema che prescinde da MECM, da Report e dalle polemiche politiche contingenti.

Altri paesi europei hanno iniziato ad affrontare questa sfida con strategie concrete. La Germania sta migrando intere amministrazioni verso soluzioni open source. La Francia ha adottato politiche open source first. La Danimarca sta abbandonando Microsoft Office. Il Tribunale penale internazionale ha scelto openDesk proprio per sottrarsi alla giurisdizione americana. L’Italia ha firmato dichiarazioni di principio ma fatica a tradurle in azioni.

Un paese che si paralizza per polemiche tecnicamente fragili sugli strumenti di gestione dei propri sistemi IT, mentre ignora la dipendenza strutturale da fornitori soggetti a giurisdizioni straniere, presenta una vulnerabilità nel dominio cognitivo che nessun firewall può sanare. La resilienza cognitiva, intesa come capacità di distinguere le minacce reali dalle narrazioni strumentali, e la sovranità digitale effettiva, intesa come controllo reale sulle proprie infrastrutture critiche, sono ormai componenti inscindibili della sicurezza nazionale.

La vera sfida non è decidere se MECM sia o meno uno strumento di sorveglianza. È costruire un’infrastruttura digitale della giustizia che non dipenda, in ultima istanza, dalla benevolenza di governi stranieri. Su questo fronte l’Italia ha ancora molta strada da fare.

_Fonti:

_{Anticipazione Report}

_{Formiche (intervista professor Antonio Teti)}

_{Carmelo Miano ( Cybersecurity Italia)}

L’articolo Dalla polemica MECM alla sovranità digitale mancata: la serratura sotto accusa, il muro sfondato? Ignorato proviene da Difesa Online.

Nelle ultime settimane l’Italia si è divisa su una polemica che ha tutti i tratti di un cortocircuito informativo. Al…

L’articolo Dalla polemica MECM alla sovranità digitale mancata: la serratura sotto accusa, il muro sfondato? Ignorato proviene da Difesa Online.