Intercettazioni – dai trojan al captatore informatico / parte I

Intercettazioni – dai trojan al captatore informatico / parte I
Stefano Pipitone

La Riforma Orlano ha inciso con forza sulla disciplina sulle intercettazioni.
L’intervento del legislatore è nato dall’esigenza di ridefinire il bilanciamento di diversi interessi, oggi in aperto contrasto fra loro: tutela della privacy, nuove tecnologie investigative, la libertà di stampa ed il diritto all’informazione, (Riforma Orlando sulle Intercettazioni -Relazione illustrativa).

Nel corpo della Riforma, il legislatore ha ricercato quindi un nuovo assetto di equilibri, recependo i numerosi interventi della S.C., della Corte Costituzionale e della Corte EDU.
Il risultato, come sempre più spesso accade nelle riforme, non ha suscitato consensi unanimi ed è stato bersaglio di aspre critiche, sollevate da magistratura e avvocatura.

Con ordine.

Sulle nuove tecnologie investigative: dai Droni al Captatore Informatico

Droni e Trojan rappresentano oggi gli strumenti senza dubbio più efficaci nella disponibilità di intelligence e investigatori.

Sino alla Riforma, i risultati informativi che derivavano da questi strumenti tecnologici erano coperti dal segreto (quantomeno in relazione alla loro origine, nel caso di attività d’intelligence), ovvero venivano introdotti nel processo attraverso un’interpretazione estensiva della cd. prova atipica ex art. 189 c.p.p..[1]

In tale contesto, gli ultimi anni sono stati segnati da un crescente impegno della giurisprudenza di legittimità, chiamata a mettere ordine in un contesto, quello della digital evidence, privo di normazione.

I malware, e tra essi i trojan, sono molto di più di un mero “captatore informatico”. Oggi infatti autorevole dottrina li definisce piuttosto come una “intercettazione polifunzionale, in quanto omnicomprensiva, indeterminata e itinerante”, (Prof.ssa R. Aprati).

Solo per dare un’idea, i malware possono essere sia installati fisicamente sul dispositivo, ovvero inoculati da remoto, senza cioè che l’utente finale se ne accorga e senza alcuna percepibile alterazione funzionale del dispositivo. Una volta attivato da remoto, il dispositivo si trasforma in un tool multifunzione, divenendo una vera e propria cimice ambientale in grado di svolgere funzioni di keylogging (cioè memorizza le password che vengono digitate), ma rende anche possibile entrare nella memoria del dispositivo, prendere dati, immetterli, tracciare la posizione GPS [3], accedere ad email, sms, chiamate VOIP, monitorare il display e quindi leggere e fotografare (screenshoting) tutte le conversazioni, bypassando così la necessità di decriptare i flussi di dati, (si pensi a WhatApp, su tutti).

Oggi nel mondo accademico si discute di online search e online surveillance.

In breve, è cominciata l’era dell’hacking evidence.

Per dare un’idea della vastità delle nuove frontiere tecnologiche, basta richiamare quando, nel 2015, l’Hacking Team, società italiana di information tecnology nota per il trojanGalileo”, subì a sua volta un attacco hacker con cui furono messi online ben 400giga di dati hackerati riferibili, anche, al Nucleo tecnologico della Presidenza del Consiglio, Polizia Postale, Ros e G.d.F. del Scico.

In tale contesto, la Riforma del “sistema intercettazioni” era un passo inevitabile per il Parlamento.

Il legislatore, tuttavia, a fronte di un tema di sensibile complessità, ha appiattito la materia nella locuzione “captatore informatico”, introducendo una disciplina che, prima facie, rimae legata al più classico concetto di intercettazione. Con la conseguenza di lasciare alla magistratura il compito di adeguare la portata applicativa delle norme generali alle evoluzioni tecnologiche.

Cenni sulla Riforma

Il nuovo sistema intercettazioni, disciplinato dai nuovi artt. 266, 266bis e ss c.p.p., prevede la possibilità di intercettazione mediante inserimento del captatore informatico su dispositivo elettronico portatile, (smartphone, tablet, notebook). Da una prima interpretazione letterale, parrebbe quindi che l’uso del captatore non ricomprenda i computer che non siano portatili; in tal caso, non è chiaro quali saranno le conseguenze di elementi informativi estratti con un trojan. È altamente probabile che, in quella ipotesi, le informazioni possano essere salvate dalla S.C. facendo ricorso, ancora una volta, alla cd. prova atipica ex art. 189 c.p.p..

Il legislatore ha normato l’attività di captazione prevedendo che essa non possa essere mantenuta attiva senza limiti di tempo o spazio, bensì attivata e disattivata secondo quanto previsto dal P.M.. Sul magistrato ricade infatti l’onere di indicare, in sede di richiesta, ai sensi dell’art. 267 c.p.p., i luoghi e il tempo, anche indirettamente determinati, per l’attivazione del microfono. Il captatore dovrà inoltre essere disattivato se l’intercettazione avviene in ambiente domiciliare.

La disciplina prevede due eccezioni:

  1.  l’obbligo di disattivazione viene meno solo se vi sia fondato motivo di ritenere che ivi si stia svolgendo l’attività criminosa;
  2. ai sensi del comma 2bis dell’art. 266 c.p.p., per i reati di cui all’art. 51, commi 3-bis e 3-quater c.p.p. l’attività del captatore informatico è “sempre consentita”, anche all’interno del domicilio, a prescindere dall’attività in corso di svolgimento.

Se sotto il profilo astratto, i limiti temporali e spaziali sono chiari, lo stesso non si può affermare per quanto attiene all’ambito applicativo della norma. In dottrina infatti si parla ormai di intercettazione itinerante e di pedinamento di comunicazioni per evidenziare come gli strumenti di captazione siano stati sviluppati proprio per rispondere all’esigenze di intercettare comunicazioni i cui luoghi e tempi sono fisiologicamente indeterminati, (si pensi ad un malware inoculato in Italia su un cellulare che “segue” il proprietario in un viaggio all’estero). A fronte di tali chiare esigenze, il legislatore ha invece imposto al P.M. la specifica indicazione di tempi e luoghi!

Altro dato non preso in considerazione dal legislatore riguarda le modalità pratico-operative delle attività di intercettazione. La P.G. oggi procede registrando le comunicazioni, (attraverso gli strumenti di captazione), per poi passare ad una attenta analisi ed ascolto. L’ascolto non sempre avviene contemporaneamente rispetto alla registrazione[3]. La riforma, invece, impone di “attivare” e “disattivare” il captatore in funzione del luogo raggiunto dal soggetto intercettato, presupponendo così la fisiologica contemporaneità tra l’attività di registrazione-trasmissione e quella di ascolto/analisi da parte dell’operatore di P.G..

Ove venga confermata tale interpretazione, sorgono seri dubbi circa la congruità delle risorse umane in forza alla Polizia Giudiziaria perchè, per quanto preparate, sono numericamente esigue.

L’analisi si può spingere oltre. Per esempio analizzando la difficoltà dell’operatore che, in ascolto, dovrà comprendere con esattezza il momento di ingresso del dispositivo all’interno di un domicilio. In media, infatti, il GPS (Global Positioning System) garantisce margini di precisione di 50-200 metri. E se l’edificio avessi diversi piani?

Altra riflessione, non meno importante: l’operatore che, visto l’ingresso in ambiente domiciliare, ha disattivato da remoto la periferica (il malware), come comprenderà quando riattivarla perché l’intercettato sta nuovamente per uscire? Il dispositivo disattivato, infatti, non trasmette più nulla, generando un momento di irrimediabile vuoto investigativo. Tutte queste considerazioni, di ordine tecnico-pratico, ad oggi, non sembrano avere risposta.

La Riforma ha previsto altresì che il captatore informatico debba essere conforme ai requisiti tecnici previsti con D.M.. Il dato non è chiaro. Allo stato attuale non si comprende la portata della definizione “requisiti tecnici” e quanto questi saranno stringenti. La circostanza non è di poco momento, perché un’indicazione dettagliata delle caratteristiche del software spia finirebbe con il sollevare problemi di proprietà intellettuale e, indirettamente, faciliterebbe l’evoluzione di antivirus/antimalware.

Ex adverso, soltanto conoscendo il software spia utilizzato, è possibile analizzare, tracciare e verificare tutta l’attività svolta da questo all’interno del dispositivo infettato.

In conclusione, appare evidente come in tema di malware la Riforma non abbia soddisfatto le aspettative e le esigenze di disciplina dei software spia, lasciando irrisolti temi come l’introduzione dei dati all’interno del dispositivo, l’uso del GPS, l’uso dei droni per fini investigativi[4], l’attività di copia da remoto dell’hard disk.

Sul punto va osservato come quest’ultima attività investigativa,  rende paradossalmente non più necessario il ricorso ai mezzi di ricerca della prova come ispezioni, perquisizioni e sequestro [5], con una compressione incettabile del diritto di difesa.

(continua…)

Note

[1Cass. Pen. Sez. VI 26.05.2015 sent. n. 27100 – Rv 265655; Cass. Pen. Sez. II 07.07.2015 sent. n.  41332 – Rv. 264889;  in dottrina, P. TONINI  – C. CONTI , Il diritto delle prove penali, p. 185 e ss.; G. TABASCO, Prove non disciplinate dalla legge nel processo penale, Le “prove atipiche” tra teoria e prassi, Napoli, 2011, p.13.

[2S. SIGNORATO, La localizzazione satellitare nel sistema degli atti investigativi, in Riv. it. dir. proc. pen., 2012, p. 586; A. SERRANI, Sorveglianza satellitare GPS: un’attività investigativa ancora in cerca di garanzie, in Arch. pen., 2013, 3; Corte EDU, 9 maggio 2003, Papageorgiou c. Grecia.

[3Uno studio Eurispes sulle intercettazioni, elaborato su dati Ministero della Giustizia-Direzione Generale di Statistica, pubblicato il 17.08.2012, ha rilevato come in Italia ogni anno si eseguono circa 181 milioni di intercettazioni e il fenomeno è cresciuto dal 2006 del 22,6%. Tra il 2008 e il 2010 la spesa per le intercettazioni è cresciuta del 6,8%, passando da 266.165.056 a 284.449.782 di euro.

Considerando che nel 2010 le utenze telefoniche intercettate sono state 139.051, con una media di 26 eventi telefonici giornalieri per utenza, e che la durata di ogni singola intercettazione – sebbene in calo rispetto agli anni passati –, è pari a una media di 50 giorni, gli “eventi telefonici” registrati ogni anno possono essere stimati a 181.183.453. Sempre secondo i dati forniti dall’Ufficio Statistico del Ministero della Giustizia, tra le diverse tipologie di intercettazione quelle telefoniche rappresentano il 90% del totale (125.150), quelle ambientali l’8,4% (11.729), e, infine, quelle informatiche e telematiche solo l’1,6% (2.172).

Nonostante lo strumento delle intercettazioni sia diventato negli anni sempre più mirato e preciso, anche grazie alle sofisticate tecnologie messe in campo, l’analisi della serie storica evidenzia che tra il 2006 e il 2010 i bersagli complessivi intercettati sono aumentati del 22,6%, un incremento particolarmente significativo in un arco di tempo di soli 5 anni e che ha interessato tutte le diverse tipologie di intercettazione, (Fonte Elaborazione Eurispes su dati del Ministero della Giustizia-Direzione Generale di Statistica).

[4] “Pubblicata in gazzetta la riforma delle intercettazioni”, Prof. Leonardo FILIPPI, in “Il Quotidiano Giuridico” del 12.01.2018.

[5] Sul punto, cfr. L. BRAGHÒ, L’ispezione e la perquisizione di dati, informazioni e programmi informatici, in AA .VV., Sistema penale e criminalità informatica, Milano, 2009, p. 192.