Cosa dice la proposta di legge per i trojan di Stato

Dopo che si era già discusso del tema a giugno 2016, ed a seguito della sentenza della Cassazione in cui si era sancita la legittimità dell'uso di malware informatici per eseguire intercettazioni anche in caso di associazioni a delinquere — e non solo quindi nei casi di criminalità organizzata —, la discussione sui trojan di Stato era infine proseguita in sordina.

Lo scorso martedì 31 gennaio, però, il gruppo Civici ed Innovatori ha finalmente presentato in una conferenza stampa la proposta di legge dal titolo "Disciplina dell'uso dei captatori legali nel rispetto delle garanzie individuali".

Nel documento, in cui si ribadisce la necessità di legiferare sui captatori informatici che al momento sono regolamentati male ed il cui utilizzo è perlopiù nascosto, si definisce per captatore un software occulto che, una volta installato sui dispositivi dell'indagato, è in grado di raccogliere prove da remoto ai fini di un'indagine — i dati raccolti includono file, comunicazioni, ed anche la posizione geografica.

La proposta stabilisce subito che l'utilizzo dei captatori deve essere previsto solamente nei casi di organizzazioni criminali di stampo mafioso o con finalità di terrorismo e "limitatamente a quelle fattispecie che risultano talmente pervasive per cui non è possibile distinguere un ambito di attività o di vita personale estraneo all'associazione criminale" — Ovvero, l'utilizzo di questi mezzi è giustificato soltanto in casi in cui l'obiettivo è palesemente immerso fino al collo nelle sue attività criminose.

Si tratta quindi un primo segnale molto importante: non si potranno utilizzare malware in indagini che riguardano semplici furti ed omicidi, e non sono incluse nemmeno le indagini per casi di pedopornografia.

Il pubblico ministero dovrà inoltre richiedere l'approvazione per l'utilizzo di tali strumenti al giudice per le indagini preliminari (GIP), il quale dovrà fornire l'approvazione per ogni singolo dispositivo dell'indagato su cui si vorrà installare il captatore. Questo vincolo è fondamentale per evitare che si proceda ad una sorveglianza estrema e totalizzante del soggetto: senza, ci troveremmo di fronte ad una raccolta indiscriminata di ogni singola attività digitale di un essere umano, concessa con una singola approvazione del GIP, e che interessa un numero indefinito di dispositivi.

La concessione all'utilizzo dei captatori, inoltre, deve essere giustificata e deve rispettare i principi di necessità e proporzionalità, dimostrando l'assoluta indispensabilità di tali strumenti per la prosecuzione delle indagini.

L'indagato deve essere notificato dell'uso dei trojan entro quaranta giorni dall'inizio dell'intercettazione. È prevista, però, una proroga a tale notifica — su richiesta del PM ed accordata dal giudice —  per ulteriori quaranta giorni e fino ad un massimo di dodici mesi, "in ragione della complessità dell'indagine, qualora dalla notifica possa derivare un grave pregiudizio alle indagini."

Questo punto potrebbe lasciare perplessi: si potrebbe concedere la sorveglianza di un soggetto per un periodo di tempo così lungo da mettere a repentaglio la privacy personale e senza alcun tipo di notifica al soggetto stesso.

La proposta di legge richiede anche la definizione di un disciplinare tecnico per regolamentare il software dei trojan. In particolare si richiede che siano soggetti ad un meccanismo di omologazione affidato all'Istituto Superiore delle comunicazioni e delle tecnologie dell'informazione (ISCOM) e che si crei un registro nazionale in cui raccogliere tutte le versioni dei software utilizzati, in modo da poter fornire l'accesso al codice sorgente agli avvocati della difesa.

Si richiede inoltre una documentazione puntuale che descriva tutti i processi che vanno dall'installazione del malware alla sua rimozione dal dispositivo, in modo che la difesa possa valutare ed analizzare eventuali illeciti.

Un punto cruciale è sicuramente quello di garantire l'autenticità e l'integrità dei dati raccolti per mezzo dei captatori, una copia dei quali sarà custodita dalla procura della Repubblica. Non si deve correre il rischio che ci possa essere una qualche manipolazione degli stessi o, addirittura, un'eventuale introduzione, nel dispositivo indagato, di file completamente estranei ed artefatti.

La proposta di legge afferma inoltre che è "fondamentale che il disciplinare tecnico sia non solo tecnicamente ineccepibile ma pubblicamente disponibile, soggetto a continua revisione da parte della comunità di esperti di settore, con rilascio periodico di aggiornamenti tecnici-funzionali-procedurali." Una simile revisione è prevista anche per i codici sorgenti e deve essere effettuata ogni dodici mesi.

Un'importante scelta inclusa nella proposta è quella di concedere l'utilizzo di tali software solamente alla polizia giudiziaria, la quale non potrà avvalersi di ausiliari esterni. In questo modo si introduce finalmente maggiore chiarezza nel quadro frammentario dell'utilizzo dei captatori informatici. È previsto un'inasprimento delle pene "se l'intrusione al sistema informatico è commessa utilizzando anche strumenti di osservazione ed acquisizione da remoto, producendo danni alla sicurezza nazionale e alle infrastrutture critiche del Paese le pene sono aumentate da un terzo alla metà."

Siamo solo all'inizio della discussione sulla proposta di legge, ma già ci sono alcuni esperti che non sono soddisfatti, come ad esempio l'avvocato Francesco Paolo Micozzi che ritiene il disegno di legge carente sotto diversi aspetti, mentre invece altri lodano la proposta che costituisce un buon primo passo, come l'avvocato Carlo Blengino. Nel frattempo il gruppo Civici ed Innovatori ha predisposto un forum apposito dove discutere di queste ed altre problematicità della proposta di legge.

Un punto controverso che solleva parecchi dubbi è l'utilizzo dei captatori anche nei confronti di persone non direttamente indagate per le quali, in aggiunta, non sembra esserci traccia nella proposta di legge della possibilità di accedere alla documentazione dell'utilizzo dei trojan nei propri riguardi.

Al momento, inoltre, non sono previste nel testo delle garanzie per la privacy dell'indagato inerenti alla frequenza con cui vengono raccolti i dati. Le chiamate telefoniche ricoprono un lasso di tempo ridotto nella vita di un individuo mentre invece l'attività digitale caratterizza maggiormente la giornata di una persona. In ogni momento della giornata, infatti, interagiamo attivamente con i nostri dispositivi elettronici: si visitano costantemente siti web, si mandano centinaia di messaggi WhatsApp, e si utilizzano diverse applicazioni.

Sarebbe quindi opportuno, ad esempio, introdurre dei vincoli precisi sulla quantità di ore di intercettazioni che si possono effettuare giornalmente. Il fatto che la tecnologia permetta di raccogliere tutti i dati prodotti da un individuo nell'arco di ventiquattro ore non vuol dire che ogni singolo secondo debba essere raccolto.

Sarà importante vedere come questi ed altri problemi sollevati verranno affrontati e soprattutto controllare che gli eventuali emendamenti non stravolgeranno una proposta di legge che indica un'ottima via da seguire per far si che l'Italia possa avere una legge sui trojan di Stato che non sacrifichi la privacy dei suoi cittadini.

Immagine di copertina, via Shutterstock