| In questo articolo l’avvocato Monica A. Senor introduce alcune riflessioni sulla nuova normativa che disciplina l’utilizzo nelle indagini penali dei Trojan - malware in grado di captare diversi dati dai dispositivi “infettati”. La disciplina è introdotta dal decreto legislativo n. 216/2017. Nel delineare il perimetro di legittimità entro cui la normativa dispone l’utilizzabilità del Trojan, l’autrice ne evidenzia, per così dire, i “bug”, ossia le perplessità giuridiche e tecnico-informatiche di uno strumento investigativo altamente pervasivo. L’autrice perciò segnala agli avvocati quali risposte processuali possano essere attivate in caso di “abuso” dello strumento di indagine. Buona Lettura! |
Come funzioneranno i trojan di Stato?
Il decreto legislativo n. 216 del 29 dicembre 2017, emanato dal Governo in attuazione della Legge delega 103/2017, che disciplina l’utilizzo dei trojan a fini investigativi penali è stato pubblicato in Gazzetta Ufficiale l’11 gennaio 2018.
Questa in sintesi la previsione normativa: i captatori informatici - di cui non viene fornita la definizione - potranno essere inoculati solo su dispositivi elettronici portatili ed usati solo come strumento per effettuare intercettazioni ambientali. Il loro utilizzo, per i delitti previsti all’art. 51, comma 3 bis e quater c.p.p. (reati associativi e con finalità di terrorismo) sarà sempre consentito senza alcuna limitazione, mentre per gli altri reati di cui all’art. 266 c.p.p. (ovverosia tutti quei reati per cui sono ammesse le intercettazioni), l’utilizzo dei captatori nei luoghi di privata dimora (art. 614 c.p.) sarà consentito solo se vi è fondato motivo di ritenere che ivi si stia svolgendo l’attività criminosa ed il Giudice, nel decreto autorizzativo, dovrà indicare i luoghi ed il tempo, anche indirettamente determinati, in relazione ai quali è consentita l’attivazione del microfono da remoto.
Le specifiche tecniche dei programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore sono affidati ad un decreto del Ministero di Giustizia da emanare entro 30 giorni dall’entrata in vigore del decreto legislativo (cioè entro il 25 febbraio 2018), mentre l’intera disciplina troverà applicazione 180 giorni dopo l’entrata in vigore del decreto stesso (cioè a partire dal 26 luglio 2018).
Al netto delle critiche che hanno preceduto l’emanazione dell’attuale normativa, alcune persistenti carenze tecniche e giuridiche sull’argomento impongono qualche riflessione sulla portata ed i limiti del decreto in commento in una prospettiva correlata alla salvaguardia dei diritti fondamentali ed al diritto di difesa.
Qual è l’inquadramento giuridico delle svariate potenziali attività di ricerca della prova con il Trojan? Partendo dai profili giuridici, occorre innanzitutto rilevare che rimane del tutto irrisolto il nodo cruciale relativo all’inquadramento giuridico delle svariate attività di ricerca della prova veicolate dai captatori.
La Relazione di accompagnamento al decreto, dopo aver dato atto che i trojan, in quanto malware, consentono di effettuare diverse operazioni tra cui l’attivazione del microfono e della telecamera, l’acquisizione da remoto del traffico dati nonché del contenuto del device infettato, gli screenshot delle schermate, la geolocalizzazione e l’acquisizione di quanto digitato sulla tastiera, riferisce che si tratta “di un complesso di operazioni (alcune delle quali già praticate ove consentite dalla legislazione vigente) che la tecnologia consente di effettuare, ma che il delegante non ha inteso regolare, limitando l’ambito di intervento normativo alla disciplina degli aspetti attinenti all’intercettazione audio, eseguita mediante inoculazione di dispositivo portatile (smartphone, tablet, ecc.) e non anche di dispositivi fissi”.
L’ambito di regolamentazione legislativa, in perfetta linea con la giurisprudenza di legittimità, è dunque limitata al solo utilizzo dei trojan come strumento informatico atto ad intercettare le conversazioni tra presenti mediante l’attivazione da remoto del microfono del dispositivo previamente infettato. Sulla scorta di questa impostazione l’avvocato non può non porsi una serie di domande:
- in assenza di una specifica disciplina normativa è da considerare lecito od illecito l’uso di captatori per funzioni tecniche non espressamente regolamentate?
- Se sì, le relative risultanze probatorie in quali istituti processuali andranno inquadrate considerato che l’art. 189 c.p.p. in tema di prova atipica riguarda i mezzi e non i mezzi di ricerca della prova?
- Quali sono le altre operazioni informatiche di captazione già praticate e consentite dalla legislazione vivente a cui la Relazione fa riferimento?
- Come possono, tecnicamente, i captatori essere limitati nel loro funzionamento alle mere operazioni di controllo da remoto del microfono?
- Se il decreto con cui il Giudice autorizza l’intercettazione deve indicare i limiti spazio-temporali entro è consentita l’attivazione da remoto del microfono, come può l’operatore di polizia giudiziaria sapere quando procedere se non riceve dal trojan stesso informazioni su dove si trovi il dispositivo infettato attraverso la captazione di altri dati che ne consentano la geolocalizzazione, come celle e Wi-Fi agganciati, GPS, screenshot, videocamera o il microfono stesso?
Per l’avvocato spazio alle eccezioni procedurali in difesa dei principi costituzionali. La risposta a tutte queste domande non è agevole, né immediata e richiede che l’avvocato acquisisca un minimo di dimestichezza con la tecnologia di riferimento e, dal punto di vista strettamente giuridico, imposti la difesa più su principi costituzionali che su eccezioni procedurali (rectius, sollevi le seconde usando i primi).
Il trojan attua una pervasiva lesione del domicilio informatico. Infatti, come già sottolineato con riferimento alla giurisprudenza della Corte di Cassazione in materia, la mancanza di un’analisi sistematica del funzionamento di un trojan nella sua complessità, tende a ridurre la problematica delle garanzie costituzionali da tutelare all’inviolabilità del domicilio fisico (come per le tradizionali intercettazioni ambientali), laddove ciò che invece veramente rileva con i trojan è una pervasiva lesione del domicilio informatico che, a sua volta, a cascata, determina la violazione di molti altri diritti fondamentali quali domicilio fisico, comunicazione, corrispondenza, libera circolazione e, sebbene non protette dalla riserva di legge e di giurisdizione in quanto afferenti all’art. 2 Cost., riservatezza e tutela dei dati personali.
In un’ottica difensiva occorrerà dunque lottare per una seria riaffermazione delle libertà e dei diritti fondamentali nell’ambito di quello che viene definito il “corpo digitale” dell’uomo.
La carta della inutilizzabilità delle prove illegittimamente raccolte. Si potrà, ad esempio, sostenere l’inutilizzabilità, in quanto prove incostituzionali ai sensi dell’art. 191 c.p.p., di tutte quelle fonti di prova acquisite mediante l’utilizzo di funzioni che il captatore non è legislativamente autorizzato ad effettuare.
Impatto delle nuove tecnologie e auspicate interpretazioni più garantiste delle Corti superiori. Ma anche lavorare a lungo termine al fine di ottenere un deciso revirement da parte della giurisprudenza delle nostre Corti superiori in tema di libertà fondamentali mediante interpretazioni più garantiste degli artt. 14, 15 e 16 Cost. al fine di adeguare le relative tutele alle gravi lesioni a cui sono oggi sottoposte per effetto delle nuove tecnologie di controllo e sorveglianza, spostando il baricentro dal concetto di corpo fisico a quello di corpo digitale con la consapevolezza che, alla fine, i due concetti non possono che coincidere (cfr. l’Onlife Manifesto del prof. Luciano Floridi).
In aiuto delle prerogative di difesa anche il diritto sovranazionale. Ed ancora, l’avvocato potrà far leva sul diritto sovranazionale, vuoi chiedendo l’applicazione nel nostro ordinamento interno dell’art. 8 CEDU (che prevede un diritto espresso al rispetto della vita privata, al domicilio ed alla corrispondenza) attraverso la valvola dell’art. 117 Cost., vuoi invocando l’applicazione diretta degli artt. 7 e 8 (che proteggono privacy e data protection) della Carta dei diritti fondamentali dell’Unione europea, atteso che quest’ultima ha lo stesso valore giuridico dei trattati (ai sensi dell’art. 6 della Carta stessa).
|
Gli strumenti processuali per far valere l’eventuale abuso del Trojan nelle indagini! |
Norme sul Trojan e perplessità tecniche- informatiche. Ma al di là delle questioni giuridiche, il decreto appena pubblicato desta forti perplessità anche sotto il profilo tecnico-informatico: vediamone alcune.
Sebbene il legislatore abbia inserito i captatori all’interno della norma (art. 266 c.p.p.) sulle intercettazioni ambientali, le cui operazioni ricordiamo possono essere compiute esclusivamente per mezzo degli impianti installati nelle Procure della Repubblica, il decreto in commento introduce, in coda all’art. 268, comma 3 bis, c.p.p. - che, per le intercettazioni informatiche o telematiche, prevede possano essere utilizzati anche impianti appartenenti a privati - un inciso che autorizza gli ufficiali di polizia giudiziaria ad avvalersi di persone dotate di specifiche competenze tecniche ai sensi dell’art. 348, ult. co., c.p.p. per le operazioni di avvio e cessazione delle registrazioni con captatore.
Quale significato deve darsi alla norma? Il testo novellato va interpretato nel senso che per le intercettazioni con captatore debbono essere utilizzati solo gli impianti delle Procure ma con l’ausilio di tecnici esterni alla polizia giudiziaria, oppure che possono essere usati sia impianti che personale esterno?
Il quesito non trova risposta neppure con l’analisi sistematica, atteso che le modifiche apportate dal decreto all’art. 89 disp. att. c.p.p. prevedono (riproponendo pedissequamente quanto stabilito nella legge delega) in maniera del tutto generica ed atecnica che le comunicazioni intercettate con trojan devono essere trasferite (trasferite, non memorizzate!) esclusivamente verso gli impianti delle Procura, salvo che il “contestuale trasferimento dei dati intercettati” sia impossibile per ragioni tecniche delle cui cause deve essere dato atto a verbale, unitamente alla successione cronologica degli accadimenti captati (quali accadimenti?) e delle conservazioni intercettate.
Come interpretare la norma se non dando implicitamente per scontato che verranno utilizzati impianti privati esterni sui quali, in prima battuta, verranno memorizzati i dati captati che solo successivamente, se possibile immediatamente altrimenti con imprecisato differimento, verranno trasmettessi ai server delle Procure?
Del resto è noto che i sistemi di captazione non sono costituiti solamente dal trojan, cioè dal semplice software (rectius, malware), che viene inoculato, ma anche dalle piattaforme necessarie per il loro funzionamento, che ne consentono il controllo e la gestione da remoto e che ricevono i dati inviati dal captatore in relazione alle funzioni di spionaggio attivate. Non solo. Sistemi come RCS (Remote Control System) di Hacking Team erano progettati per usare una serie di proxy server al fine di “riciclare” i dati estrapolati dai computer infetti, per poi giungere, dopo un lungo percorso condotto in vari Paesi, all’endpoint rappresentato dall'operatore governativo del malware: verosimilmente la tecnica era pensata più per le agenzie di intelligence che per l’autorità giudiziaria (peraltro sappiamo che le Procure italiane hanno fatto ampio uso dei trojan di HT), ma resta il fatto che, anche in considerazione del doveroso rispetto degli altissimi protocolli di sicurezza delle reti della Giustizia amministrate dalla DGSIA, sia facilmente ipotizzabile che verranno sempre utilizzati per le operazioni con captatori sistemi privati esterni.
Il costo zero della compressione delle libertà fondamentali. Da ultimo, una doverosa riflessione va fatta in merito al fatto che dall’attuazione del decreto si prevede non derivino nuovi o maggiori oneri per la finanza pubblica perché, come si legge nella Relazione tecnica, si tratta di “disposizioni di natura prettamente procedurale che possono essere realizzate con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”. Come è mai possibile che una così significativa compressione delle libertà fondamentali dei cittadini avvenga a costo zero.
(Altalex, 22 gennaio 2018. Articolo di Monica Alessia Senor)
