Il cuore del problema sono gli Internet eXchange Point (IXP) italiani, ossia dei veri e propri "nodi fisici" ai quali affluiscono i cablaggi della rete internet, che sono risultati molto vulnerabili e potrebbero essere utilizzati per realizzale facilmente una moltitudine di tipologie di intercettazioni.
A denunziare questa falla gravissima, che mette a disposizione di hacker e malintenzionati praticamente tutte le telefonate, gli sms, le chat, i social network e le email degli italiani, è il Dipartimento attività ispettive dell'Autorità garante per la protezione dei dati personali, con una relazione di tre pagine nelle quali è stato riassunto un rapporto stilato dagli ingegneri informatici del Garante, svelata da Repubblica.it e inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell'Interno e al sottosegretario con delega all'Intelligence Marco Minniti.
A seguito dello scandalo Datagate, il Garante per la privacy ha dato il via a uno studio approfondito per verificare le eventuali falle di sicurezza relative alle infrastrutture delle telecomunicazioni italiane, che è riuscito a scovare tra i mesi di aprile e maggio successivi alle rivelazioni sull'NSA, importanti vulnerabilità in praticamente tutti i "punti di scambio" italiani, compresi i tre più importanti di Milano (Mix), Torino (Top-IX) e Roma (NaMex).
"Tali apparati" – si legge nella relazione redatta dagli ispettori del Garante – "Dispongono di funzionalità tecniche che possono consentire di replicare, in tempo reale, il traffico in transito dirottando il flusso replicato verso un'altra porta (port mirroring)". Una funzionalità fortunatamente non rilevata attiva nel corso dei controlli, ma che sarebbe sftuttabile senza troppi problemi e "con una certa facilità, attivando la funzione di port mirroring e poi utilizzando appositi strumenti di analisi". In soldoni, sfruttando questa vulnerabilità, hacker e malintenzionati potrebbero senza troppi problemi effettuare una vera e propria duplicazione in tempo reale del traffico generato da tutti gli utenti italiani, per poi dirottarlo altrove e memorizzarlo in database dalle enormi dimensioni e analizzarlo per estrapolarne i dati personali.
Si tratta di una falla di sicurezza importante, soprattutto considerando che da circa dieci anni a questa parte, anche le telefonate vocali sia da rete fissa che da rete mobile vengono digitalizzate e trasmesse tramite le stesse infrastrutture dedicate al web, alle quali si connettono anche una serie di aziende straniere tra cui Facebook, Google, Microsoft, Amazon, AT&T e Verizon, che trasmettono un'enorme mole di dati verso i quali – tra l'altro – gli Internet eXchange Point "non assumono la qualifica di titolare del trattamento, in relazione alla quale il Garante potrebbe prescrivere loro direttamente le misure ritenute necessarie o opportune per rendere il trattamento dei dati conforme alle disposizioni di legge".
L'allarme è stato dato. Gli stessi esperti in sicurezza del Garante della privacy sono del parere che si tratta di una scoperta importante sulla quale bisognerebbe effettuare tutta una serie di approfondimenti perché, ad essere incriminate, sono "strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti (anche pubbliche amministrazioni e imprese) dei principali operatori nazionali".