Uno dei carichi più pesanti di cui è oberato chi si occupa dell'attualità italiana del mondo tech ha un nome, e quel nome è noia. Non succede mai nulla: la nostra è pura e sprezzante invidia per i colleghi d'oltremare che ogni giorno hanno a che fare con analisti governativi in fuga, satelliti spia e iPhone da sbloccare. Dopotutto, noi abbiamo avuto Hacking Team.Ma oggi, in alto i cuori, sospendiamo le nostre pene: in un incontro a porte chiuse avvenuto il 21 giugno a Roma—organizzato dall'associazione Italia Decide in una sala del Senato—"parlamentari, magistrati, forze dell'ordine, informatici e avvocati" hanno discusso del famigerato tema del 'trojan di Stato'. In breve, si è consumato l'ennesimo capitolo del lunghissimo dibattito riguardante la legalizzazione dei trojan governativi, i captatori informatici che da anni le istituzioni stanno cercando di normare per porre fine all'anarchia legislativa sul tema.Protagonista dell'incontro è stata la proposta di legge avanzata da un gruppo di deputati (tra cui Stefano Quintarelli, che in passato si era posto contro la legalizzazione in toto dei trojan per uso giudiziario). La proposta "dichiara di voler segmentare le funzionalità dei captatori, riconducendole al mezzo di ricerca della prova tradizionale con cui avrebbero più somiglianze," come spiegato dal report dell'incontro di Carola Frediani, pubblicato su La Stampa.La proposta
L'idea alla base delle proposta è quella di ricondurre ogni funzionalità del trojan a una forma di perquisizione già normata dalla legislazione italiana, "l'acquisizione di file come una forma di sequestro probatorio; le intercettazioni del traffico vocale come una intercettazione telefonica; e le registrazioni audio/video come una intercettazione ambientale," spiega Carola Frediani su La Stampa.In particolare, uno degli aspetti più sensibili del trojan di Stato è il suo essere, di fatto, uno strumento con cui può venire operata una forma di perquisizione a distanza e che questa modalità "seri problemi di compatibilità costituzionale," si legge nella proposta, che configura lo sfruttamento di questa funzionalità per "gravi reati associativi, terrorismo, pedofilia, prostituzione minorile, omicidio, rapina, estorsione, sequestro di persona, ma anche delitti di pubblici ufficiali contro la pubblica amministrazione e delitti informatici," si legge nel report. "Il sequestro a distanza dei dati - previsto per gli stessi reati della perquisizione - dovrà invece garantire la «conformità con gli originali, la loro immodificabilità e protezione»."La proposta, inoltre, sancisce l'assenza di intermediari tra gli inquirenti e l'obiettivo del trojan, affermando che l'esecuzione materiale delle operazioni debba essere affidata alla polizia giudiziaria, "anche in considerazione dell'impossibilità per le forze di polizia e per la magistratura di verificare l'operato." Attualmente le perquisizioni di natura informativa vengono svolte attraverso agenzie che lavorano a stretto contatto con le procure e che sfruttano software sviluppati da terzi.
Pubblicità
È fondamentale prima di tutto capire perché, oggi, la necessità manifestata sia quella di "segmentare le funzionalità dei captatori": l'utilizzo dei trojan nell'ambito di indagini ha uno storico, in Italia e Europa, di tacito assenso. Quando non normati, questi dispositivi sono stati spesso sfruttati dalle autorità per sorvegliare dei sospettati e ottenere prove a loro riguardo, di fatto non dichiarando mai la reale natura di queste operazioni. Una situazione piuttosto favorevole per chi questi software li sviluppa e per chi li sfrutta per svolgere intercettazioni di carattere specifico o ambientale, o, banalmente, per farsi un giro tra i file del computer del sospettato.Il problema, però, risiede proprio nelle potenzialità di questi software: da un lato estremamente utili per le indagini, le loro funzionalità non si limitano alle intercettazioni ambientali o al listaggio di file presenti in un hard disk e il rischio di abuso di questi poteri non può che preoccupare. Proprio in questo senso, la proposta di Quintarelli è pensata proprio per "regolamentare una volta per tutte i trojan di Stato ma in modo stringente e tecnicamente appropriato." Usiamoli, ma rendiamo il loro utilizzo completamente trasparente.La legge "dichiara di voler segmentare le funzionalità dei captatori, riconducendole al mezzo di ricerca della prova tradizionale con cui avrebbero più somiglianze".
Pubblicità
L'idea alla base delle proposta è quella di ricondurre ogni funzionalità del trojan a una forma di perquisizione già normata dalla legislazione italiana, "l'acquisizione di file come una forma di sequestro probatorio; le intercettazioni del traffico vocale come una intercettazione telefonica; e le registrazioni audio/video come una intercettazione ambientale," spiega Carola Frediani su La Stampa.In particolare, uno degli aspetti più sensibili del trojan di Stato è il suo essere, di fatto, uno strumento con cui può venire operata una forma di perquisizione a distanza e che questa modalità "seri problemi di compatibilità costituzionale," si legge nella proposta, che configura lo sfruttamento di questa funzionalità per "gravi reati associativi, terrorismo, pedofilia, prostituzione minorile, omicidio, rapina, estorsione, sequestro di persona, ma anche delitti di pubblici ufficiali contro la pubblica amministrazione e delitti informatici," si legge nel report. "Il sequestro a distanza dei dati - previsto per gli stessi reati della perquisizione - dovrà invece garantire la «conformità con gli originali, la loro immodificabilità e protezione»."La proposta, inoltre, sancisce l'assenza di intermediari tra gli inquirenti e l'obiettivo del trojan, affermando che l'esecuzione materiale delle operazioni debba essere affidata alla polizia giudiziaria, "anche in considerazione dell'impossibilità per le forze di polizia e per la magistratura di verificare l'operato." Attualmente le perquisizioni di natura informativa vengono svolte attraverso agenzie che lavorano a stretto contatto con le procure e che sfruttano software sviluppati da terzi.
Altro punto degno di nota riguarda l'accessibilità dei dati ottenuti mediante queste operazioni: i dati ottenuti da remoto "dovrebbero restare inaccessibili alle parti prima della notifica degli atti all'indagato," si legge nel report su La Stampa. Infine la proposta sancisce l'istituzione di un registro—la cui gestione sarà affidata all'Istituto superiore delle comunicazioni e tecnologie dell'informazione—per questi software, che prima del loro utilizzo dovranno ricevere una certificazione che ne garantisca la compatibilità con l'impianto legislativo che li norma.La proposta di legge avanzata durante l'incontro, dunque, sembra configurarsi in senso assolutamente cauto rispetto ai limiti sanciti dalla costituzione, ma per quanto lodevole lo sforzo operato lascia dietro di sé dei dubbi di natura tecnica: come è possibile sfruttare un software nei fatti molto potente come un trojan in maniera così limitata? Chi garantirà che le sue potenzialità non vengano abusate? Nel frattempo, l'iter legislativo per la normazione del trojan di Stato continua.(By me, link corretto) Intercettazioni con i trojan di Stato: la proposta di legge Carola Frediani22 giugno 2016