Nella mattina del 13 maggio 2026, la Procura di Napoli diretta da Nicola Gratteri ha sgominato un’organizzazione criminale dedita all’accesso abusivo a sistemi informatici istituzionali, alla corruzione e alla rivelazione di segreto d’ufficio. L’operazione ha interessato le province di Napoli, Roma, Ferrara, Belluno e Bolzano, con dieci arresti, di cui quattro in carcere e sei ai domiciliari, e altri diciannove destinatari di misure cautelari. Sono stati eseguiti sequestri per circa 1,3 milioni di euro.
Il meccanismo: credenziali di servizio come strumento di commercio illecito
Il punto di partenza dell’indagine è stato il rilevamento di un volume di accessi anomalo: due agenti di polizia avevano effettuato rispettivamente 600.000 e 130.000 accessi alle banche dati riservate nell’arco di due anni, nessuno dei quali giustificato da esigenze di servizio. Non si trattava di un attacco informatico nel senso tecnico del termine (nessuna vulnerabilità sfruttata, nessun sistema violato dall’esterno). Gli agenti utilizzavano le proprie credenziali istituzionali per accedere a banche dati cui erano autorizzati per ragioni di servizio, estraendo informazioni che non avevano alcun titolo a consultare per finalità personali o commerciali.
Il sistema è strutturato e prevede tariffe. Per una verifica nella banca dati SDI (il sistema di indagine del Ministero dell’Interno) il compenso era di 25 euro. Gli accessi ai dati INPS costavano tra i 6 e gli 11 euro, a seconda del documento richiesto. Le informazioni così ottenute venivano cedute a una decina di società, alcune dislocate al Nord, che le richiedevano con cadenza quasi quotidiana. Sul server sequestrato nella notte tra il 12 e il 13 maggio sono stati trovati oltre un milione di dati conservati.
I soggetti coinvolti e le banche dati violate
Oltre agli agenti della Polizia di Stato, risultano coinvolti dipendenti dell’INPS, dell’Agenzia delle Entrate e due direttori di filiali di Poste Italiane. Le banche dati interessate includono il Sistema di indagine del Ministero dell’Interno, i database previdenziali dell’INPS e quelli dell’Agenzia delle Entrate. Si tratta di archivi che contengono dati personali di elevata sensibilità: situazioni patrimoniali, pendenze fiscali, precedenti penali, informazioni anagrafiche dettagliate. Tra gli indagati figura anche una persona riconducibile all’agenzia Equalize di Milano, già coinvolta in altre inchieste analoghe.
I profili giuridici rilevanti
Il caso solleva almeno tre questioni che vanno ben oltre la cronaca giudiziaria. La prima riguarda il controllo degli accessi privilegiati nelle pubbliche amministrazioni. Il volume di 730.000 accessi in due anni (una media di quasi mille al giorno) avrebbe dovuto attivare meccanismi automatici di anomaly detection molto prima che l’indagine li intercettasse. La presenza di sistemi di monitoraggio dei log di accesso è un requisito minimo di sicurezza informatica: che nessun alert abbia segnalato in tempo reale un’attività di questa portata è di per sé una vulnerabilità sistemica.
La seconda questione riguarda il GDPR e la responsabilità delle amministrazioni titolari del trattamento. Le banche dati violate conservano dati personali per i quali le rispettive amministrazioni sono titolari del trattamento. L’accesso abusivo da parte di soggetti interni – anche se formalmente autorizzati all’accesso per ragioni di servizio – configura una violazione dei dati personali ai sensi dell’art. 33 del GDPR, con obbligo di notifica al Garante entro 72 ore dalla conoscenza dell’evento e, nei casi più gravi, obbligo di comunicazione agli interessati.
La terza questione riguarda il mercato finale delle informazioni. Come ha sottolineato il procuratore Gratteri, il mercato delle informazioni riservate è ancora vivissimo: le agenzie che raccogliendo informazioni riservate per cederle a terzi non sono un fenomeno marginale. Chi commissiona questi accessi, anche senza sapere che avvengono in modo illecito, si espone a responsabilità penali e civili che non si esauriscono nella posizione del fornitore.
Il caso di Napoli è l’ennesima dimostrazione che la minaccia più difficile da gestire non viene dall’esterno dei sistemi, ma dall’interno: da chi ha le credenziali, conosce i processi e sa esattamente dove cercare. Contro questo tipo di rischio, le misure tecniche di perimetro non bastano. Serve una governance degli accessi privilegiati che tracci, analizzi e reagisca in tempo reale.
