Captatore informatico (Trojan): spunti di riflessione in attesa di un’urgente regolamentazione

1.Introduzione

La vicenda Palamara e le indagini condotte dalla procura di Perugia sul magistrato della procura di Roma stanno, da giorni, occupando grande spazio sui media.

Commenti più disparati anche in seguito alla diffusione (abusiva) di elementi che, sotto forma di veri e propri “scoop”, alimentano una discussione talvolta imbarazzante se si tiene conto della riservatezza che, invece, ci si aspetterebbe nella gestione di una questione così delicata.

Uno degli aspetti più rilevanti che ha destato interesse nella vicenda è la modalità con cui l’indagine è stata svolta e cioè l’uso del “captatore informatico”, meglio noto con il termine “trojan”, vale a dire un software che, all’insaputa del soggetto intercettato, viene introdotto all’interno di un dispositivo (normalmente uno smartphone) ed è in grado, a questo punto, di assumerne il controllo attivandone, potenzialmente, tutte le funzioni tra cui l’uso del microfono, della trasmissione dati in remoto ecc.

Si tratta di una metodologia investigativa che rappresenta una grande conquista in quanto è in grado di superare tutti quegli ostacoli tecnologici posti alle attività di polizia giudiziaria da nuovi strumenti di comunicazione quali chat private crittografate, servizi di messaggistica diffusi e l’impossibilità, spesso, di interloquire con i proprietari delle piattaforme non sempre rintracciabili e affidabili come avviene, invece, nel caso degli operatori di telefonia.

2. L’evoluzione della disciplina

Ci siamo già occupati del captatore informatico con vari articoli nelle sue fasi storiche più importanti:

25.07.2016, Intercettazioni mediante “Virus Informatico” : Le motivazioni delle sezioni unite. Cass. pen., Sez. Unite, n. 26889/2016

28.01.2018, Intercettazioni telematiche: la parola della Cassazione 

6.05.2019, Intercettazioni mediante captatore informatico: il Garante scrive a Parlamento e Governo

L’utilizzo del trojan ha fatto la sua comparsa nello scenario investigativo ben prima che il legislatore procedesse con il suo (ancora inadeguato a mio avviso) tentativo di regolamentazione.

Il recente D.Lgs. 216/2017, nell’ambito della c.d. “riforma della giustizia” posta in essere dal precedente Esecutivo, ha disciplinato gli aspetti giuridici e autorizzativi ma non è entrato nel merito di aspetti tecnici per cui si auspicherebbe, ad esempio, il rilascio di uno specifico protocollo con le caratteristiche tecniche che i suddetti software dovrebbero possedere.

La stessa riforma, peraltro, si applica a partire da provvedimenti autorizzativi successivi al 31.07.2019 benché nelle more essa abbia già subito un intervento modificativo e integrativa ad opera della legge 3/2019 (c.d. “Spazzacorrotti”).

Il risultato è che oggi si possono individuare, in relazione al regime autorizzativo di riferimento per l’utilizzo del captatore informatico, tre categorie di reati:

  • procedimenti concernenti delitti in materia di criminalità organizzata;
  • procedimenti concernenti delitti contro la pubblica amministrazione;
  • procedimenti per reati comuni diversi da quelli in materia di criminalità organizzata (art. 51 co. III bis e co. III quater c.p.p.) e da quelli commessi dai pubblici ufficiali contro la pubblica amministrazione.

3. Criticità

L’uso dei captatori informatici, è bene ribadire, rappresenta comunque una conquista cui plaudire nell’ottica di perseguire forme di criminalità sempre più sofisticate.

Appare, però, sconcertante l’effetto che può generare questa forma di tecnica particolarmente invasiva allorché, come nel caso “Palamara” citato in Premessa, oggetto di osservazione e ascolto sia un magistrato inquirente dell’ufficio di procura più importante d’Italia e quindi soggetto che, si presume, abbia in carico probabilmente qualche migliaio di fascicoli penali alcuni dei quali possono riguardare, data la competenza della procura capitolina, fenomeni criminali e contesti molto delicati.

Non è la mia una valutazione sui fatti in sé (che è certamente un bene che siano emersi soprattutto se si riveleranno fondati) ma di una considerazione sul metodo.

Se è vero che il perseguimento dei reati debba avvenire in qualsiasi condizione per cui non può esserci alcuna barriera tecnologica a ostacolare l’accertamento della giustizia, d’altro canto esistono ulteriori principi e istituti costituzionalmente garantiti, meritevoli di essere tutelati forse in maniera altrettanto forte come il bene giustizia.

Oggi lo smartphone viene utilizzato, probabilmente anche con troppa leggerezza, per lo scambio di informazioni molto riservate e sensibili.

Tutti noi operatori del diritto riceviamo, incautamente, tramite chat, una serie di informazioni sensibili (foto, file e quant’altro) e tutto ciò malgrado ognuno di noi cerchi di arginare il fenomeno invitando gli interlocutori al rispetto delle più elementari regole di una comunicazione sicura.

In queste condizioni, comprendiamo bene che cosa possa voler dire prendere il possesso del cellulare di un pubblico ministero della Procura di Roma.

Significa potenzialmente ascoltare e apprendere di indagini su pubblici ufficiali, magari appartenenti alle forze dell’ordine o alla stessa polizia che sta indagando, o ancora su parlamentari o altre cariche dello Stato.

A sua volta la procura di Roma, sulla base della normativa che regola la competenza sulle indagini che riguardano i magistrati, potrebbe indagare su altri magistrati di altro distretto (segnatamente, l’attuale legge prevede che la Procura di Roma abbia competenza du Cagliari).

Insomma, da operatori del diritto ci poniamo molti interrogativi sull’uso di una tecnica irrinunciabile se si considera che tutto il processo di produzione del software viene demandato a soggetti privati selezionati in assenza di uno specifico stringente protocollo.

4. Considerazioni conclusive

E’ possibile consentire che si introducano nei dispositivi mobili software con TUTTI i servizi attivati quando l’autorizzazione prevede, ad esempio, unicamente l’intercettazione di comunicazioni o di specifiche trasmissioni dati?

Ed è normale che poi questi dati vengano immagazzinati (temporaneamente?!?) presso server o cloud privati prima di essere riversati sui server della Procura?

Ma gli stessi server della Procura, a parte la loro ubicazione, offrono adeguate garanzie in termini di sicurezza?

Ed ancora, è normale che sia lasciata all’operatore la scelta arbitraria di attivare o disattivare il funzionamento del trojan durante il periodo di effettuazione dell’attività?

Altro punto nevralgico, vero e proprio “buco nero” dell’attuale sistema, è rappresentato dal sistema di selezione e controllo dei fornitori privati che offrono questo tipo di servizi.

Alcuni molto seri e strutturati, altri troppo spesso improvvisati e non in grado di garantire adeguate garanzie.

E’ già successo, in passato, che società selezionate per la fornitura di servizi di intercettazione (ambientale) avessero cessato la loro attività, per varie ragioni, addirittura prima ancora che avesse avuto termine lo stesso procedimento per il quale erano state attivate.

Ci chiediamo, quindi, se non sia arrivato il momento di pretendere che tali problematiche siano affrontate una volta per tutte.

E’ necessario che venga predisposta una seria e specifica regolamentazione per:

  • individuare e formalizzare rigorose regole tecniche e operative da seguire nell’utilizzo dell’intercettazione mediante captatore informatico;
  • disciplinare la selezione dei soggetti fornitori di tali servizi.

5. Proposte e spunti di riflessione

Mi limito a condividere una serie di spunti in ordine sparso lasciando ad autori ben più autorevoli di me il compito di integrare, correggere, criticare o solo commentare quanto da me proposto. Alcuni di questi spunti sono, in effetti, precetti già presenti in linea teorica nella normativa attuale ma sono sistematicamente disattesi dalla prassi.

PROPOSTE OPERATIVE

  1. Individuazione e formalizzazione precisa delle caratteristiche del captatore informatico con il dettaglio di tutti i servizi potenzialmente attivabili.
  2. Specifica chiara, all’interno dei decreti autorizzativi, dei servizi da attivare nella singola attività captativa che si sta autorizzando.
  3. Sanzioni processuali molto forti, fino ad arrivare all’inutilizzabilità assoluta di tutta l’attività captativa, in caso di violazione delle prescrizioni impartite dall’A.G.
  4. Formazione di un’aliquota di operatori di polizia giudiziaria selezionata sulla base di criteri molto rigorosi (non soltanto legate a competenze tecniche) da utilizzare nei casi di utilizzo di captatore informatico.
  5. Divieto di utilizzare soggetti terzi per la produzione, l’installazione del software e la gestione operativa delle fasi di captazione.
  6. In caso di utilizzo di soggetti terzi, previsione di regole rigorosissime per la selezione dei fornitori di servizi.
  7. Previsione dell’obbligo di riversare i dati unicamente e direttamente presso i server della procura.
  8. Formalizzazione di un capitolato tecnico ovvero di uno standard di riferimento cui devono conformarsi i server ubicati presso le procure
  9. Verbalizzazione minuziosa delle operazioni.
  10. Documentazione audio-video dell’attività svolta dalla polizia giudiziaria quanto meno nelle fasi di installazione del software (ma possibilmente di tutte le fasi di intercettazione).
  11. Utilizzo di software dotati di sistemi di generazione automatica di log che tengano traccia di tutte le attività che sono state svolte.
  12. Possibilità di accesso alle informazioni esclusivamente mediante credenziali univocamente e individualmente attribuite.
  13. Utilizzo di tecniche che consentono di ricostruire il ciclo di vita delle informazioni e individuare i soggetti che ne hanno avuto accesso.
  14. Deposito preventivo, presso un ufficio individuato per legge, dei codici sorgenti di tutti i software “autorizzati” ad essere impiegati in indagini di questo tipo.
  15. Allegazione al fascicolo del software utilizzato nella specifica indagine.
  16. Attuazione delle indicazioni del Garante sulla privacy.
  17. Obbligo, per le società fornitrici, di dotarsi di un Modello organizzativo ai sensi del D.Lgs. 231/2001 con protocolli interni formalizzati e dedicati soprattutto in tema di reati informatici nonché di misure idonee in tema di trattamento di dati personali.
  18. Previsione di requisiti di adeguatezza patrimoniale per le società che forniscono questo tipo di servizi.
  19. Obbligo, per le suddette società, di utilizzare esclusivamente personale munito di apposito Nulla Osta di Segretezza.
  20. Previsioni di sanzioni specifiche, anche di tipo penale, nei confronti degli operatori privati che contravvengono alle sopra indicate regole.
Segui e condividi i nostri contenuti anche sui social network...