Sì all’utilizzo di intercettazioni di conversazioni o comunicazioni tra persone presenti avvenuta attraverso l’installazione di un ‘virus-spia’, come ad esempio trojan in dispositivi elettronici portatili, come tablet e smartphone, in procedimenti relativi a delitti di criminalità organizzata, anche terroristica. È quanto hanno sancito le Sezioni Unite Penali della Suprema Corte di Cassazione, con la massima provvisoria depositata oggi nella quale si spiega che l’utilizzo di intercettazioni tramite ‘virus-spia’ può essere possibile anche nell’ambito di indagini riguardanti associazioni per delinquere, ben strutturate e pericolose, “con l’esclusione del mero concorso di persone nel reato”.
Per definire nei dettagli quest’ultimo punto relativo alle associazioni per delinquere, bisognerà attendere il deposito delle motivazioni della sentenza. Il verdetto dei supremi giudici sposa in toto le tesi illustrate dall’avvocato generale della Suprema Corte Nello Rossi e del sostituto pg Antonio Balsamo, secondo i quali, appunto, questo tipo di intercettazioni possono essere usate nel’ambito di processi relativi al crimine organizzato.
LA SENTENZA DELLA CASSAZIONE
Dopo l’autoregolamentazione delle Procure sulle intercettazioni, anche le Sezioni Unite della Cassazione hanno dettato una linea guida ‘giudiziaria’ nell’ambito della cornice normativa esistente e in attesa di eventuali interventi del legislatore. Peraltro, l’appuntamento è importantissimo anche nell’ambito del dibattito sulle intercettazioni e sul bilanciamento tra esigenze delle indagini, tutela della privacy e diritto di informazione. E chiama in causa a livello politico anche il dibattito e la polemica sorti attorno alla candidatura voluta dal premier Matteo Renzi di Marco Carrai a responsabile per la cyber sicurezza del Paese. Dopo lo scandalo delle intercettazioni da parte dell’Nsa, l’agenzia segreta di “ascolto” Usa che arrivò a spiare Berlusconi, una domanda legittima è questa : quali sono i limiti della captazione da parte dei servizi segreti?
Trojan, o captatore, o virus spia. Un trojan è un virus-spia che prende il nome dal celebre inganno di Ulisse. Inoculato con un sms, consente a un “operatore” di impadronirsi di tutti i comandi dello smartphone di proprietà di una persona da intercettare. Se quel virus è illegale, spedito ad esempio da un hacker, è un trojan (che fa parte del mondo dei malware – sintesi tra malicious software -, i software in continua crescita creati per eseguire un’azione non autorizzata, e spesso pericolosa, sul dispositivo dell’utente). Se è legale in quanto autorizzato da una procura, si chiama captatore.
Tecnologia invisibile. Il trojan è un programmino che va a inserirsi nel software che consente allo smartphone di fare interagire tra di loro le varie funzioni. Un esempio: si scatta una foto, la si memorizza nella cartella, quindi la si prende e la si spedisce via mail o la si condivide sui social. Bene: un software fa dialogare la funzione-foto con la funzione-posta elettronica e poi con la funzione-Facebook la funzione-Internet, WhatsApp o Twitter e così via. Il trojan, in sostanza, consente di diventare padrone assoluto dello smartphone di una terza persona, prendendo il comando di quel software che consente a tutte le app (microfono, telecamera, fotocamera, ecc.) di interfacciarsi l’una con l’altra. È totalmente invisibile: non esiste alcun modo, per il proprietario dello smartphone captato, di accorgersi della presenza del trojan.
DALLE INTERCETTAZIONI AL TROJAN DI STATO
Il caso giudiziario in Cassazione. Una procura ha autorizzato l’intercettazione telematica dello smartphone di un indagato per reati di mafia. Il trojan ha attivato il microfono del cellulare, che dunque ha intercettato anche tutte le conversazioni avvenute all’interno della casa dell’indagato. In questo ultimo caso, si effettuano delle vere e proprie intercettazioni ambientali che avrebbero bisogno di una autorizzazione specifica, andando a violare la privacy anche di altre persone.
Questione controversa. La questione sottoposta alle Sezioni Unite era: “se anche nei luoghi di privata dimora, pure non singolarmente individuati e anche se ivi non si stia svolgendo l’attività criminosa, sia consentita l’intercettazione di conversazioni o comunicazioni tra presenti, mediante personal computer, tablet, smartphone, ecc“.
La Cassazione ha stabilito e trovato una soluzione al problema. Queste intercettazioni telematiche si possono fare, ma in un preciso ambito di utilizzo: “Limitatamente a procedimenti relativi a delitti di criminalità organizzata, anche terroristica“. Stefano Quintarelli, deputato ex Scelta Civica, ora nel gruppo Misto, docente di Sicurezza informatica all’Università Nettuno, è tra i pionieri del web (fu tra i fondatori di I.Net, il primo Internet service provider commerciale in Italia orientato al mercato professionale). “Questo caso giudiziario – commenta Quintarelli – è l’ennesima conferma del vuoto normativo esistente. Per questo ho presentato nei giorni scorsi un progetto di legge che dovrà portare a una normativa. Il tema è la compatibilità di questi strumenti di captazione o di intercettazione telematica 2.0 con le garanzie costituzionali“.
Dagli 007 all’Hacking Team. La captazione è usata da procure, ma anche dall’intelligence di tutto il mondo (il cosiddetto trojan di Stato) e tutti si avvalgono di programmi e software prodotti da aziende private. Una di queste, l’azienda italiana
di base a Milano, fu vittima nel luglio 2015 di un attacco informatico: vennero sottratti e pubblicati in rete oltre 400 Gb di dati relativi a dei software di sorveglianza venduti a istituzioni e Stati di tutto il mondo. L’azienda era già stata accusata in precedenza di vendere i propri prodotti a governi totalitari e liberticidi, che li usavano per individuare i dissidenti per poi incarcerarli, torturarli e giustiziarli.
Le procure, e i problemi dell’attuale normativa. Quando una procura autorizza una captazione, si rivolge a ditte specializzate, le quali provvedono a rendere operativa l’intercettazione telematica. Questa procedura va incontro a tre tipi di problemi. Il primo, l’affidabilità dell’operatore privato. Chi è? Che requisiti di serietà ha? Il secondo, è la modalità della captazione da parte dell’operatore privato: si attiene al disposto della Procura, o va oltre? Chi lo controlla? Che fine fanno le informazioni eventualmente captate extra mandato? Il terzo è dato dalla tecnologia usata dall’operatore, che, se non efficiente, potrebbe offrire delle involontarie “finestre” di accesso ad hacker, o malintenzionati, che possono raggiungere il dispositivo della persona intercettata e manipolarlo, scaricandogli sullo smartphone anche prove di reati che non ha mai commesso. La nuova legge che dovrà uscire dal Parlamento dovrà dare una soluzione a queste tre criticità.
Il progetto di legge. Il punto cardine sollevato da Quintarelli nel progetto di legge è se sia possibile usare uno strumento di questo genere nel rispetto delle garanzie costituzionali. In altre parole, quali caratteristiche devono avere sia gli strumenti che le metodiche con cui Trojan o captatori vengono usati in modo tale da assicurare il rispetto dei principi costituzionali affinchè non ci siano invasioni ingiustificate della privacy. Affinchè ci sia una certificabilità dei dati ottenibili e delle persone coinvolte dall’intercettazione telematica. Affinchè ci sia una segmentazione e una limitazione nell’uso.
Si può parlare ancora di intercettazioni? In un capitolo del libro “Costruire il domani, istruzioni per un futuro immateriale” pubblicato da Il Sole 24 Ore è stato sollevato da Quintarelli un altro aspetto importante della captazione . “È improprio – sostiene il fondatore di I.Net – parlare ancora di intercettazioni poiché gli strumenti di captazione telematica di oggi sono estremamente invasivi. Consente di prendere il controllo assoluto e totale del dispositivo, dal microfono alla telecamera, dal gps ai file, dalla fotocamera ai comandi per l’accensione”
A rischio la privacy. Il Trojan permette a chi lo usa di conoscere tutti i segreti più intimi di una persona, perfino gli smile mandati agli amanti, fino a ricostruire tutta la storia della vita di una persona in tre dimensioni: ampiezza, profondità, tempo. Qual è il limite oltre il quale le procure non possono spingersi? La violazione – osserva Quintarelli – di questo volume di informazioni inimmaginabile, “merita una riflessione politica e normativa puntuale su quali debbano essere le condizioni, gli strumenti e le metodiche della captazione. Riflessione che inizieremo con l’intergruppo parlamentare per l’innovazione tecnologica nelle prossime settimane, anche con momenti di confronto pubblico“.
