Come domare i trojan del DDL Orlando

Al momento, la votazione sul DDL Orlando sembra essere slittata alla prossima settimana. Questo DDL ha sollevato un'accesa discussione intorno all'introduzione di una delega al governo per rivedere l'utilizzo delle intercettazioni attraverso i captatori informatici — i trojan — con il rischio di estenderlo anche ai reati minori.

Questo tipo di delega non costituisce quindi una vera e propria legge, ma piuttosto un insieme di principi e linee guida che il governo dovrà seguire ed implementare. Proprio per questo motivo, ed alla luce delle complessità tecniche collegate al tema dei trojan, è necessario analizzare i punti di criticità di questo DDL valutando le possibli soluzioni per migliorarlo, nel rispetto dei principi di proporzionalità e necessità.

Purtroppo, allo stato attuale, il DDL manca di garanzie sufficienti per i cittadini in un'ottica di minimizzazione e salvaguardia da abusi.

Per effettuare un'analisi puntuale della regolamentazione dei captatori come prevista dal DDL Orlando, possiamo confrontarla con la proposta di legge presentata dal gruppo Civici e Innovatori lo scorso gennaio. La proposta costituisce una base solida per normare l'uso dei captatori informatici e ha ricevuto una revisione anche da parte dell'associazione per i diritti digitali Access Now.

Nel DDL, il comma 84 lettera e) introduce l'uso del captatore in modalità di intercettazione audio tra presenti — accensione e registrazione tramite microfono interno del dispositivo — anche all'interno dei luoghi considerati privato domicilio. I captatori non verrebbero utilizzati solo in caso di mafia e terrorismo, ma anche per tutti gli altri reati di cui all'art. 266 comma 1 del codice di procedura penale, ad esempio, minacce, disturbo a mezzo telefonico e molti altri reati minori.

L'introduzione di un trojan all'interno di un dispositivo informatico è un'operazione estremamente invasiva: solleva delle ovvie difficoltà nello stabilire il luogo in cui la persona sta entrando e gli interlocutori con cui sta parlando — portiamo sempre con noi i nostri smartphone, tablet, e computer.

Per questo motivo, è fondamentale rimuovere il riferimento all'articolo 266 comma 1 del cpp per limitare così l'utilizzo dei trojan ai soli reati gravi di mafia e terrorismo come previsto nella proposta di legge di Civici e Innovatori.

Inoltre, l'articolo 84 lettera e) continua a concedere il ricorso a società private per gestire la fase di intercettazione e captazione tramite trojan, proprio come avviene in questo momento. Pur richiedendo successivamente che le registrazioni vengano trasferite soltanto verso il server della procura, questa garanzia non è sufficiente. La gestione del trojan deve essere esclusivamente nelle mani della polizia giudiziaria, evitando così di introdurre le aziende che producono questi sistemi di sorveglianza all'interno delle operazioni giudiziarie e delimitare una separazione fra le aziende private e l'operato della giustizia.

Il riferimento agli ausiliari giudiziari deve essere quindi soppresso.

Il DDL, se confrontato con la proposta di legge, risulta mancante anche dal punto di vista delle garanzie di integrità e correttezza delle intercettazioni raccolte. Non prevedendo un sistema di omologazione e di verifica del software dei captatori informatici, non è possibile assicurare l'integrità e l'affidabilità degli strumenti, la tracciabilità dei procedimenti e la verifica da parte dei legali coinvolti.

Per questo motivo, è auspicabile l'istituzione di un sistema di omologazione dei captatori che consenta alle parti una verifica a posteriori della idoneità e dell'adeguatezza dei captatori, anche mediante procedure di riproducibilità della compilazione del software. Inoltre, è necessario stabilire un registro nazionale in modo da garantire la rintracciabilità dello strumento utilizzato per le intercettazioni. L'accesso a questo registro deve essere garantito alle forze di pubblica sicurezza, dei servizi di informazione ma anche, e soprattutto, ai difensori delle parti direttamente infettate dal trojan.

È necessario inoltre prevedere, come indicato nella pdl, un report che registri l'attività svolta dal trojan — i file di log — anche durante il suo funzionamento, e non solo i dettagli relativi all'inoculazione ed alla disattivazione del captatore. Il tutto per garantire un controllo continuativo, esaustivo e per facilitare la valutazione del corretto funzionamento dello strumento.

La proposta di legge di Civici e Innovatori, tuttavia, prevede l'utilizzo dei captatori informatici anche per un nuovo mezzo di ricerca della prova che consenta di controllare e acquisire da remoto i file e i documenti presenti sul dispositivo, l'attivazione della funzione di geolocalizzazione e l'intercettazione delle conversazioni che avvengono attraverso sistemi VoIP — previa autorizzazione del giudice — nei casi collegati ad indagini di mafia e terrorismo. Queste predisposizioni sono assenti dal testo del DDL Orlando e, se da un lato la loro assenza limita le capacità della magistratura nel contrastare la mafia ed il terrorismo, dall'altro lato, la loro introduzione solleva enormi dubbi sulla legittimità del loro utilizzo.

La Coalizione Italiana Libertà e Diritti Civili (CILD) e Privacy International contestano la legittimità dell'hacking come strumento della sorveglianza di stato e lo ritengono "incompatibile con il diritto internazionale in materia di diritti umani".

Dobbiamo però riconoscere, come indicano anche le due associazioni, che la regolamentazione dei trojan è comunque un passo necessario ed indispensabile per riportare ordine nella scena investigativa italiana. Al momento, malgrado sia confermato l'utilizzo diffuso di questo tipo di strumenti, i trojan non sono esplicitamente regolamentati, permettendo così alle forze dell'ordine di proseguire indisturbate a utilizzarli.

Allo stato attuale, il DDL Orlando non garantisce sufficienti protezioni per i diritti dei cittadini sia perché estende l'uso dei captatori anche ai reati minori, sia perché dimentica di indicare principi e strumenti fondamentali per esercitare un controllo effettivo ed efficace sui trojan.

Abbiamo ancora tempo per richiedere ai nostri politici di emendare i punti critici del DDL Orlando, evitando così di trasformare l'Italia in uno stato in cui la sorveglianza digitale è legalmente consentita per un'ampia serie di reati, e definita in modo così parziale e vago da rischiare di non concedere alcuno strumento ai cittadini per poter controllare l'operato dello Stato.