La legge italiana sull’uso dei Trojan di Stato è un disastro

Lo scorso 11 gennaio, sono state pubblicate sulla Gazzetta Ufficiale della Repubblica Italiana le Disposizioni in materia di intercettazioni di conversazioni o comunicazioni, in attuazione della delega prevista dal DDL Orlando, di cui avevamo parlato in precedenza.

Queste disposizioni indicano le modalità di utilizzo dei captatori informatici — i cosiddetti trojan — ovvero quei malware utilizzati dalle forze dell’ordine per raccogliere informazioni, dati, e contenuti dai dispositivi informatici dei cittadini.

Quello che colpisce subito, però, è che il decreto parla solamente di intercettazioni tra presenti, ovvero l’attivazione in remoto del microfono presente sui nostri dispositivi per registrare le conversazioni fra presenti, sia in caso di reati di mafia e terrorismo, che per reati minori come quelli collegati a sostanze stupefacenti — in questi ultimi casi, però, è espressamente richiesto di indicare i luoghi e il tempo in cui il microfono sarà attivo.

Le norme saranno applicabili solo fra 180 giorni ma ci sono già diversi dubbi, soprattutto, come sottolinea l’avvocato Stefano Aterno, esperto di reati informatici e privacy, fa discutere ciò che le norme non dicono e quello che non disciplinano o non vietano: “il captatore è limitato alle intercettazioni tra presenti — cosiddette itineranti — ma allo stesso tempo non si vieta espressamente di usarlo o non si disciplinano compiutamente le altre funzioni come ad esempio gli screenshot, di cui la giurisprudenza si è occupata con la sentenza Occhionero riconducendoli, in parte sbagliando, alle intercettazioni telematiche.”

Per sottolineare le problematicità di questo decreto, l’avvocato Giovanni Battista Gallus, esperto di crimini informatici e privacy, suggerisce di leggere in parallelo il risultato della sentenza della Cassazione sulla vicenda Occhionero — il duo coinvolto nel malware Eyepyramid che prevedeva attacchi di phishing ai danni di esponenti politici italiani.

La Corte ha sostenuto ammissibile l’impiego dei captatori informatici per intercettazioni telematiche, ovvero quelle relative ai dati di traffico in transito — nel caso degli Occhionero, però, erano stati acquisiti anche degli screenshot.

Poiché il decreto attuale parla solamente di intercettazioni ambientali, sottolinea Gallus, “si rischia che i risultati della sentenza Occhionero siano utilizzabili nonostante questo decreto legislativo.”

Per intenderci, suggerisce Gallus, dobbiamo pensare allo screenshot come l’equivalente delle foto scattate durante la perquisizione: “dobbiamo quindi applicare le garanzie che sono previste nelle norme in tema di perquisizioni, come ad esempio la possibilità di assistervi, ma con un trojan attivato in remoto questo è impossibile, vengono meno le garanzie per il cittadino.” Siamo di fronte ad una perquisizione occulta.

Aterno ribadisce la necessità che “il PM e il giudice autorizzino il trojan a fare A e B, vietando espressamente di fare C e D.” Non possiamo affidarci ad una semplice formula che dia il via libera all’uso generico di un trojan anche perchè gli screenshot sono già stati in parte legittimati dalla sentenza Occhionero “e presto lo saranno nella funzione di captazione di “comportamenti comunicativi” come indicato in passato dalle Sezioni Unite del 2006 e dalla Corte Costituzionale del 2002 per le videocamere e le fotografie all’interno del domicilio.”

“Ho l’impressione,” aggiunge l’avvocato Aterno, “che il legislatore abbia pensato al passato e non al futuro, disciplinando l’uso del trojan riferendosi soltanto alle intercettazioni tra presenti e tralasciando, distrattamente, le altre potenzialità e le altre modalità di utilizzo del trojan.”

Aterno, oltre alla incomprensibile assenza (anche in legge delega) di riferimenti ai “dispositivi fissi”, sottolinea che “il legislatore sembra dare atto della pericolosità ed invasività del trojan e da un lato impone la chiusura del microfono per reati “minori” durante le “cd intercettazioni itineranti” in tutti i casi in cui il soggetto entra in un domicilio privato, ma per comprendere quando e’ stato “staccato” il microfono, accusa e difesa, avranno bisogno dei file di log relativi al funzionamento del malware altrimenti ci sarà confusione.”

A fine febbraio il Ministero della Giustizia dovrà pubblicare i requisiti tecnici dei captatori informatici, un documento fondamentale, sottolinea Aterno, poiché sarà necessario prevedere il log delle attività del trojan come strumento a tutela dei diritti sia dell’accusa che della difesa. Entrambi gli avvocati, però, sottolineano l’incongruenza della scrittura di un documento tecnico da parte del Ministero della Giustizia, in cui chiaramente si trovano più giuristi che esperti di tecnologia e si augurano che vengano ascoltati i consigli di tutti gli esperti tecnici, anche delle forze di polizia, che da anni utilizzano questi strumenti.

Gallus, inoltre, esprime anche dei dubbi sull’efficacia di questo documento tecnico: “nel decreto legislativo manca qualunque riferimento ai log — essendo soltanto obbligatorio indicare il tipo di software impiegato e il luogo dell’attività — e non è espressamente indicato quale sia la sanzione in caso di utilizzo di software non conforme.” Aterno ritiene che lo spazio normativo che consente i log e le altre tecniche di sicurezza è nel comma 2 ter dell’ art. 89 nel punto in cui si indicano le “condizioni tecniche di sicurezza e di affidabilità della rete di trasmissione “ e i “controlli costanti di integrità” da adottare.

Il decreto legislativo sui captatori prevede anche dei punti che fanno ben sperare, come ad esempio il riconoscimento importante dell’ausilio e supporto del Garante per la protezione dei dati personali alla valutazione della sicurezza informatica dei server delle procure che dovranno ospitare i dati ottenuti dai captatori. In futuro, sottolinea Gallus, quando verrà implementata la direttiva 680/2016 che prevede ad esempio la valutazione di impatto sulla protezione dei dati contenuti nell’archivio riservato delle intercettazioni, potrebbe essere proprio il Garante a svolgere il ruolo di Autorità di controllo.

Su questo punto, però, rimangono alcuni problemi dal momento che società private rischiano di rimanere ancora coinvolte nelle operazioni di supporto alla polizia giudiziaria — specialmente nelle fasi di inoculazione, attivazione, e spegnimento del trojan: già in passato, aziende che vendono tecnologie di sorveglianza come Area e Esitel sono state — o sono tutt’ora — indagate per gestione illecita di conversazioni intercettate e sono state recentemente escluse dalla partecipazione ad un bando per le intercettazioni della Procura di Milano.

Il nuovo decreto legislativo sui captatori informatici lascia quindi ampi margini di interpretazione e dovremo capire come la giurisprudenza si muoverà. Se da un lato, l’Italia potrà affermare di avere finalmente una legge sull’uso dei trojan, dall’altro dobbiamo riconoscere che si tratta di un provvedimento a metà, che lascia molte zone d’ombra in cui poter agire come si è fatto fino ad ora, utilizzando i malware di stato senza avere sufficienti garanzie contro le violazioni dei diritti dei cittadini.

I trojan possono essere usati per raccogliere le nostre password, le nostre foto e documenti, i log delle nostre attività, e catturare i messaggi che ci scambiamo nelle chat grazie agli screenshot: siamo di fronte ad un sistema di intercettazione in grado di sottrarci tutte le informazioni personali che portiamo con noi all’interno dei nostri dispositivi.

Il legislatore italiano, però, ha deciso di guardare dall’altra parte e parlare solamente dell’attivazione dei microfoni da remoto.