Confini EU: il sistema che monitora le frontiere è un colabrodo di vulnerabilità informatiche

Il Schengen Information System II (SIS II) rappresenta l'elemento nevralgico della cooperazione tra le forze di polizia e di frontiera europee, consentendo lo scambio in tempo reale di informazioni su migranti irregolari, sospetti criminali, persone ricercate e oggetti rubati. Il SIS II è in funzione dal 2013 e gestito dall’agenzia eu-LISA e contiene circa 93 milioni di record, di cui 1,7 milioni relativi a persone, inclusi 195.000 soggetti ritenuti minacce alla sicurezza nazionale. Le segnalazioni possono contenere dati biometrici come impronte digitali, fotografie e, dal 2023, anche decisioni di rimpatrio per l’espulsione di individui irregolari.

Il SIS II è nato con l'idea di rafforzare i confini dell'Unione Europea sulla spinta delle necessità di controllo dei flussi migratori e di lotta al terrorismo internazionale, in modo da dare agli Stati membri uno strumento che consenta l'emissione e la consultazione di avvisi in tempo reale ogni volta che un individuo segnalato cerca di attraversare una frontiera europea. 

Il sistema è isolato dalla rete pubblica e prossimamente verrà integrato con l'Entry/Exit System, che si occupa di registrare in maniera automatizzata i movimenti ai confini. Quest'ultima sarà invece collegata ad Internet e potrebbe rappresentare un rischio non trascurabile di accessi non autorizzati ai dati sensibili custoditi dal SIS II.

Un sistema come SIS II, in virtù della particolare delicatezza dei dati che tratta, viene immaginato come protetto in maniera robusta da ogni genere di minaccia informatica. In realtà, purtroppo, non è proprio così: nel 2024 l'European Data Protection Supervisor (EDPS) ha condotto una verifica riservata, ma di cui Bloomberg ha avuto modo di visionare esiti e scambi di e-mail, che ha messo in luce la presenza di migliaia di vulnerabilità software e di sicurezza classificate come ad alta gravità. Tra queste, in particolare, la presenza di un numero ritenuto "eccessivo" di account con permessi amministrativi, che espone il sistema ad un elevato rischio di attacchi interni e che, in generale, rende più semplice per eventuali malintenzionati ottenere accesso a informazioni riservate. Le operazioni di verifica hanno inoltre evidenziato che 69 membri di team esterni che non è stato possibile identificare con maggior precisione, non di diretto impiego da parte dell'EU e privi delle necessarie autorizzazioni, hanno potuto accedere al sistema.

Al momento non esistono prove di accessi o furti di dati dal sistema SIS II (e ricordiamo sempre che la mancanza di prove non equivale alla prova di una mancanza), ma gli esperti sottolineano che una violazione avrebbe conseguenze “catastrofiche”, potenzialmente coinvolgendo milioni di persone. Il rischio, com'è facile immaginare, è che informazioni su soggetti ricercati o sospetti possano essere divulgate, facilitando la loro fuga o elusione dei controlli di polizia. Il sistema sarebbe stato inoltre vulnerabile ad attacchi di overload, capaci di bloccare completamente il servizio.

La manutenzione di SIS II è nelle mani della società francese Sopra Steria, regolata da un contratto che impone la correzione di eventuali vulnerabilità critiche entro due mesi dal rilascio delle patch di eventuali vendor coinvolti. Secondo le informazioni raccolte durante le ispezioni dell'EDPS la società ha impiegato in diversi casi tra otto mesi e oltre cinque anni per risolvere i problemi segnalati. Sopra Steria, contattata da Bloomberg, ha dichiarato di aver sempre operato nel rispetto dei protocolli e delle normative UE, senza però rispondere nel dettaglio alle contestazioni specifiche.

L'ispezione ha inoltre evidenziato una mancanza di trasparenza interna di eu-LISA che non avrebbe informato il proprio consiglio direttivo delle vulnerabilità individuate, oltre alla tendenza ad affidarsi a consulenti esterni piuttosto che a personale tecnico con la conseguenza di aggravare la situazione, rallentando la risoluzione delle criticità e aumentando i rischi organizzativi e tecnici.

L’agenzia eu-LISA ha dichiarato che tutti i sistemi sotto la sua gestione sono sottoposti a valutazioni continue dei rischi, scansioni regolari delle vulnerabilità e test di sicurezza, e che ogni rischio identificato viene valutato e gestito in base alla criticità.

Quanto emerso dalle ispezioni dell'EDPS ci spinge ad una considerazione amara: se persino organizzazioni per le quali la sicurezza dovrebbe rappresentare una priorità assoluta finiscono per considerarla soltanto un obbligo contrattuale o una formalità burocratica, come possiamo aspettarci che realtà più piccole e con meno risorse riescano ad adottare un approccio realmente efficace e consapevole di fronte alle minacce informatiche di oggi?