Roma - Consip, telecamere cinesi mettono a rischio Sicurezza nazionale? Asit: hardware made in China ma riscritto il firmware.
Nessun pericolo per la sicurezza italiana secondo la Asit Spa. La Cina non può 'sorvegliare' gli uffici delle Pa italiane attraverso le telecamere Dahua di fattura cinese ritargate dalla Jbf Srl di Jacopo e Joris Ganz e fornite alla Asit Spa del padre Valentino Ganz che le ha fornite a sua volta a Tim, Vodafone e Fastweb aggiudicatari del bando Consip VDS2 da 65 milioni di euro.
"L'hardware è Dahua ma il firmware e il software è stato riscritto da noi", spiegano ad AGEEI dalla Asit Spa. "Nessun pericolo per la Sicurezza nazionale, sono state testate prima di essere fornite. Abbiamo fatto tutti i costosi penetration test, senza i quali non era possibile presentare il prodotto". In sostanza "il ferro è Dahua ma il firmware e l'hardware è nostro".
Aziende come Vodafone, Tim, Fastweb vincono i lotti Consip, si riforniscono dalla Asit di Valentino Ganz (scomparso a causa di un incidente pochi mesi fa) che a sua volta si rifornisce dalla Jbf Srl (dove tra i soci appaiono i due figli di Ganz, Joris e Jacopo) che – ancora a sua volta – si rifornisce dal colosso cinese Dahua e riconfigura le telecamere e le rietichetta con il nome italiano.
L'indirizzo tra il fornitore Asit di Ganz padre, e il produttore Jbf di Ganz figli - che prima del bando aveva nella ragione sociale la produzione di bretelle ottiche e fatturava 150mila euro - è lo stesso.
Ma le schede tecniche, confrontandole, sono le stesse. Rischiando così di aprire una porta delle amministrazioni italiane alla Cina.
Come riportò Wired in un'inchiesta giornalistica, basta cercare nei listini e confrontare le schede tecniche dei modelli tra la Dahua e l’azienda piemontese: le Jbf: JBF-AS-2MP-PTZ-2 e JBF-AS-4MP-IR2 sembrano corrispondere alle DH-IPC-HFW3441T-ZS e DH-SD5A232XB-HNR di Dahua. Lo stesso general manager di Dahua Italia Pasquale Totaro confermò sempre a Wired spiegando come la fornitura rientriasse all’interno del programma Netshield, per offrire ad alcuni partner un hardware da riconfigurare a livello software da proporre sul mercato con il proprio marchio. Quello che fa Jbf all’interno della gara Consip.
Da quanto si apprende le telecamere Dahua/Jbf sono presenti almeno su otto lotti su dieci, compreso quello più grande che rappresenta un terzo del valore complessivo del bando (21 milioni di 65) vinto dalla RTI Telecom Italia Spa e I&SI Spa.
Ed è così che le telecamere della Dahua che dopo il caos generato a seguito del primo bando VDS1 (che secondo quanto censito all’epoca avrebbe consentito di installare almeno 2430 gli impianti istallati da nord a sud, tra cui 134 Procure, ministero della Difesa fino a Palazzo Chigi) ha slegato il suo nome dalla Hikvision (che il Parlamento Ue con il voto del 2021 ne sancì la rimozione) ora possono puntare a pieno titolo i propri obiettivi sulle scrivanie dei funzionari pubblici italiani.
Il bando Consip parla chiaro in merito: i prodotti non devono essere riconducibili direttamente ad aziende cinesi. Tutto sta in quel ‘direttamente’.
Oltre a quanto richiesto dall’Acn Agenzia per la Cybersicurezza nazionale: assenza di servizi e funzionalità che comunicano verso reti esterne e interne; possibilità di disabilitare queste forme di comunicazione all’esterno anche per motivi di aggiornamento; un controllo di sicurezza con tanto di penetration test sul software e firmware.
Come si chiedeva già il sito Securindex.com, restano diversi dubbi:
- se il vendor fosse nella black list di Onvif, cosa direbbe Consip?
- come mai questo produttore italiano è comparso sulla scena all'ultimo momento depositando sul sito Onvif solo a fine febbraio la dichiarazione di conformità dei firmware?
- sono stati fatti i penetration test richiesti da Consip? con quale esito?
AGEEI ha posto a Fastweb e Tim le seguenti domande:
- se siano stati fatti i penetration test e con quale esito?
- se è stato effettivamente verificato che i firmware e i software siano di sviluppo e progettazione italiana
- se le telecamere siano state effettivamente installate?
- se l'operazione fatta con Jbf sia in grado di garantire la sicurezza nazionale
Ma hanno preferito non commentare.
AGEEI ha infine chiesto alla Jbf Srl:
- avete riscritto il firmware e il software delle telecamere Dahua fornite alla Asit per il bando Consip VDS2?
- le telecamere fornite il cui hardware è Dahua possono garantire la sicurezza nazionale non consentendo alcun accesso alla Pa italiana
- con chi sono stati fatti i Penetration test e con quale esito?
- come ha fatto la Jbf Srl a fare un salto di produzione da bretelle ottiche a un numero tale di fornitura di telecamere in così poco tempo?
Anche dalla Jbf Srl non è arrivata alcuna risposta.
A causa dei minori costi di produzione, alcuni fornitori (cosiddetti vendor) occidentali fanno fabbricare nei paesi orientali la parte fisica dei dispositivi elettronici come quelli deputati alla videosorveglianza su progettazione, sviluppo del software e del firmware e il controllo della qualità fatti in house. Altri si limitano ad assemblare e rimarchiare hardware e software fabbricati e sviluppati da produttori orientali come la Dahua. Il cosiddetto mercato OEM. Il risultato è che buona parte delle telecamere a marchio occidentale sono equipaggiate dai produttori cinesi.
E' questo il motivo per cui il governo statunitense, già nel 2018, ha messo al bando i prodotti OEM (oltre a quelli chiaramente prodotti in Oriente) dei vendor che non sono inclusi nelle forniture governative.
Da quanto apprende AGEEI il prodotto JBF non era presente nel listino dei partecipanti alla gara al momento dell'avvio della procedura. Ci sarebbe entrato dopo 'salvando' appunto la gara a fronte del ban americano. Anche perché quando la gara è stata bandita il prodotto in questione JBF non esisteva.
Lo stesso anno in cui Consip avviava il bando VDS2 che permetteva a telecamere made in China di puntare gli obiettivi nelle stanze dei Palazzi italiani.