Il “Grande Fratello” in Tribunale? Forse no. Ma la domanda vera è: chi controlla i controllori

MECM non è uno spyware: è un tool enterprise. Ma su PC della Giustizia la questione è governance: accesso remoto, privilegi, log e audit. E con la NIS2 il “fidatevi” non basta più.

Report, in un recente servizio, andato in onda domenica 25 Gennaio, parla di un software di gestione installato sui PC della Giustizia capace, a certe condizioni, di aprire una finestra remota “senza bussare”. Il Ministro Nordio smentisce: nessuno spia, nessun controllo remoto attivo. Avendo guardato il servizio, oltre che i commenti sul punto, mi sono persuaso che la verità è nel mezzo, sintetizzata da queste fattispepie: poteri tecnici enormi, fiducia istituzionale ai minimi e un paradosso chiamato NIS2.

MECM (Microsoft Endpoint Configuration Manager) non è un malware: è uno strumento enterprise per amministrare migliaia di dispositivi (per lavoro utilizzo tecnologie simili tutti i giornio per dare assistenza alle aziende italiane). Proprio per questo, se configurato male o governato peggio, può diventare un’arma impropria. In un Paese che chiede alle aziende private investimenti e prove di sicurezza “by design”, il settore pubblico non può cavarsela con un comunicato. Servono policy, audit e disclosure tecnica verificabile.

C’è un modo rapido per capire perché la storia “software spia nei PC dei Tribunali” non si liquida con una risata né si archivia con un complotto: basta togliere i titoli urlati e guardare l’oggetto.

L’oggetto è MECM, cioè Microsoft Endpoint Configuration Manager (in molti lo chiamano ancora SCCM). E se lavorate nell’IT — o semplicemente avete un ufficio con più di trenta PC — sapete cos’è: un sistema centralizzato per tenere aggiornati i dispositivi, distribuire applicazioni, applicare configurazioni, fare inventario e (se abilitato) anche supporto remoto. Non è un mostro. È un utensile. E come ogni utensile: dipende da chi lo impugna e da come lo regola.

Che cosa sostiene Report e che cosa risponde il Ministero

Secondo i post social di Report, sui computer dell’amministrazione giudiziaria sarebbe installato un programma che consentirebbe, in determinate condizioni, l’accesso remoto e la visualizzazione dell’attività dell’utente; viene citata anche la testimonianza del giudice Aldo Tirone, che racconta una prova di accesso senza alert percepiti.

Il Ministro della Giustizia Carlo Nordio risponde con parole nette: “nessun Grande fratello”, accuse “surreali”, niente sorveglianza dell’attività dei magistrati, niente lettura contenuti, niente tasti, schermo, microfoni, webcam; le funzioni di controllo remoto non sarebbero attive né mai attivate; e comunque ogni intervento sarebbe tracciato.

Quindi: da un lato “si può entrare senza che l’utente se ne accorga”; dall’altro “non si può, e comunque è tutto tracciato”. Il punto è che entrambe le frasi possono essere vere o false a seconda di un dettaglio che la politica odia: la configurazione.

Il punto tecnico che cambia tutto: “policy”, non “magia”

Qui parlo da tecnico che questi strumenti li usa davvero, ogni giorno, per fare assistenza e gestione endpoint a più realtà italiane. La domanda che conta non è “MECM esiste?” (ovvio), ma:

• chi può avviare una sessione remota;
• se l’utente deve dare consenso;
• che notifiche vede (barra, icona, avvisi);
• dove finiscono i log e se sono integri e controllati.

E non lo dico per teoria: lo dice anche Microsoft, in modo quasi disarmante. Nelle sue guide ufficiali su Remote Control, Microsoft raccomanda di abilitare l’impostazione che chiede consenso perché riduce la possibilità che gli utenti vengano “spiati” mentre lavorano su attività confidenziali — aggiungendo che esistono modi per aggirare anche quella impostazione.

Traduzione: la tecnologia consente sia modalità trasparenti (consenso/notifica) sia modalità più “silenziose” (se abilitate). Non è fantascienza: è governance.

“È tutto tracciato”: frase comoda, prova difficile

Nel mondo reale, “è tracciato” vale quanto la qualità del tracciamento. Microsoft elenca una quantità di log lato client/server e spiega come monitorarli.
Ma il vero tema è: quei log sono centralizzati? sono immutabili? hanno retention adeguata? vengono verificati? Perché se restano sparsi, alterabili o non correlati a ticket e identità, diventano un alibi: buoni per i comunicati, meno per un audit.

L’elefante nella stanza: gli Amministratori di Sistema non sono “vietati”, sono “pericolosi”

Ogni volta che esplode un caso così, spunta l’idea: “per legge non ci dovrebbe essere un amministratore di sistema”. È l’opposto: in Italia gli AdS esistono e proprio perché esistono sono regolati.

Il Garante della privacy, con il provvedimento sugli Amministratori di sistema (2008, poi aggiornato), prescrive misure e cautele: designazioni, ambiti, controlli e soprattutto registrazione degli accessi logici con requisiti di completezza, integrità e conservazione (tipicamente non inferiore a sei mesi).

Quindi il problema non è “l’amministratore”: il problema è quanti sono, cosa possono fare, come lo dimostri e chi li controlla. In un perimetro sensibile come la Giustizia, un accesso remoto senza consenso potrebbe non essere “spionaggio” nel senso cinematografico, ma resta una capacità tecnicamente abilitata che va circoscritta con le mani legate dietro la schiena: procedure, autorizzazioni, logging forte e audit indipendente.

Il cortocircuito NIS2: ai privati “pagate e dimostrate”, al pubblico “fidatevi”

E qui arriviamo alla parte politica, quella vera. Perché questa vicenda esplode nel pieno dell’era NIS2, cioè della stagione in cui la sicurezza informatica smette di essere una spesa “facoltativa” e diventa responsabilità, processi, misure e sanzioni.

In Italia la NIS2 è stata recepita con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024.
E il decreto disegna sanzioni pesanti per molte realtà private (fino a percentuali di fatturato importanti), mentre per alcune pubbliche amministrazioni individua fasce molto più contenute.

Non è solo “quanto paghi se sbagli”. È la differenza tra un ecosistema dove devi investire e dimostrare (audit, processi, evidenze) e un altro dove spesso basta dire “tranquilli, non succede”. Nel privato, quando gestisco endpoint e accessi remoti, la regola è sempre la stessa: non conta cosa dichiari, conta cosa puoi provare. E chi paga davvero, alla fine, sono reputazione e continuità operativa.

Il caso Gratteri: sfiducia istituzionale e tentazione dello “shadow IT”

In questa storia c’è un frammento che vale più di mille convegni: Nicola Gratteri ha dichiarato pubblicamente di non usare la tecnologia del Ministero, preferendo dispositivi personali.

Questo non è un dettaglio folcloristico. È un segnale: quando un vertice giudiziario “esce” dall’infrastruttura istituzionale, dice che la fiducia è compromessa. Ma attenzione: può aprire un altro problema, altrettanto serio, lo shadow IT. Perché un device personale può essere più “performante”, ma spesso è meno governato (patching, monitoraggio, standard, log, incident response). E il prezzo lo paga la segretezza delle indagini, non l’orgoglio di chi compra il portatile “migliore”.

Tre richieste concrete alle istituzioni (senza slogan)

Se davvero non c’è nessun “Grande fratello”, tanto meglio. Ma allora non dovrebbe essere difficile fare tre cose semplici — e decisive.

1. Policy scritta e vincolante per le utenze sensibili
   Una regola pubblica (almeno nei principi): su endpoint di magistrati e uffici sensibili, accesso remoto solo con consenso o notifica evidente, identità dell’operatore visibile, ticket obbligatorio, privilegi minimi, eccezioni “break-glass” formalizzate.
2. Audit indipendente e periodico su privilegi e accessi remoti
   Non un’autocertificazione. Un controllo ricorrente su RBAC, gruppi autorizzati, catena fornitori, MFA/PAM, retention e integrità dei log. Con un esito sintetico comunicabile: non servono dettagli operativi, serve credibilità.
3. Disclosure tecnica essenziale e verificabile
   Una scheda tecnica, sobria ma utile: remote control abilitato/disabilitato per classi di utenza; policy di consenso; dove e come vengono custoditi i log; chi ha accesso e con quali garanzie (segregazione, tracciamento, verifiche). Insomma: non “fidatevi”, ma “ecco come lo proviamo”.

Perché in un Paese che pretende compliance, investimenti e processi dalle aziende private, la vera domanda non è se il software è “buono” o “cattivo”. La domanda è: lo Stato accetta di essere giudicato con lo stesso metro che impone agli altri?

Per Approfondire:

FONTI PRIMARIE (RAI / ISTITUZIONI)

• RaiPlay – “L’occhio sui magistrati” (Report 25/01/2026)
  https://www.raiplay.it/video/2026/01/Locchio-sui-magistrati—Report-25012026-48fca4d7-2489-46e5-a498-d8905d7f5a7e.html
• RAI.it – Scheda inchiesta “L’occhio sui magistrati” (Report)
  https://www.rai.it/programmi/report/inchieste/Locchio-sui-magistrati—Report-25012026-ef659541-067e-4447-9933-491295ddc0fc.html
• RaiPlay – Puntata Report del 25/01/2026
  https://www.raiplay.it/video/2026/01/Report—Puntata-del-25012026-88c710c0-3b72-4198-bd2b-edc9d21eda69.html
• gNews (Ministero Giustizia) – Nota Nordio “Nessun grande fratello”
  https://www.gnewsonline.it/report-nordio-notizia-diffusa-senza-accertamenti-nessun-grande-fratello/
• ANM (Associazione Nazionale Magistrati) – Nota su inchiesta Report e sicurezza informatica
  https://www.associazionemagistrati.it/doc/5039/report-grave-preoccupazione-serve-chiarimento-nordio-su-sicurezza-informatica.htm

DOCUMENTAZIONE TECNICA MICROSOFT (MECM / CONFIGURATION MANAGER)

• Remote control – Introduzione (Microsoft Learn)
  https://learn.microsoft.com/en-us/intune/configmgr/core/clients/manage/remote-control/introduction-to-remote-control
• Configure remote control – Configurazione (Microsoft Learn)
  https://learn.microsoft.com/en-us/intune/configmgr/core/clients/manage/remote-control/configuring-remote-control

NORMATIVA CYBER (NIS2) – ITALIA

• Normattiva – D.Lgs. 4 settembre 2024, n. 138 (recepimento NIS2)
  https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138=
• ACN – Sezione “La normativa” (NIS)
  https://www.acn.gov.it/portale/nis/la-normativa
• ACN – FAQ NIS (aspetti generali / obblighi)
  https://www.acn.gov.it/portale/faq/nis/aspetti-generali

PRIVACY / GDPR / AMMINISTRATORI DI SISTEMA (ITALIA + UE)

• Garante Privacy – Provvedimento “Amministratori di sistema” (DocWeb)
  https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1577499
• Garante Privacy – Modifiche al provvedimento AdS (DocWeb)
  https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1626595
• GDPR – Testo ufficiale (EUR-Lex, IT)
  https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=it

CONTESTO / COPERTURA GIORNALISTICA (UTILE COME “SECONDE FONTI”)

• RaiNews TGR Piemonte – “Computer dei magistrati spiati: il caso parte dal Piemonte” (21/01/2026)
  https://www.rainews.it/tgr/piemonte/articoli/2026/01/computer-dei-magistrati-spiati-il-caso-parte-dal-piemonte-8d461658-b4bd-4b6b-9680-c9d0514f1ce6.html
• Wired – Articolo di contesto sul caso
  https://www.wired.it/article/giustizia-software-spia-nei-pc-dei-magistrati-report/
• Il Fatto Quotidiano – Articolo con stralci/ricostruzione (se vuoi citare il dibattito)
  https://www.ilfattoquotidiano.it/2026/01/22/report-la-testimonianza-esclusiva-sul-software-per-i-magistrati-lordine-della-presidenza-del-consiglio-di-installare-ecm-sui-computer/8265701/
• La7 – Video dichiarazioni Gratteri (Otto e Mezzo, 18/11/2024)
  https://www.la7.it/otto-e-mezzo/video/la-rivelazione-di-gratteri-non-ho-mai-utilizzato-la-tecnologia-del-ministero-della-giustizia-18-11-2024-568042