[:it]Come probabilmente noto agli operatori del settore, in questi giorni il Senato, con l’approvazione del voto di fiducia al provvedimento Orlando di riforma della giustizia penale, ha regolato il Trojan come strumento di indagine, definendone limiti e ambiti di applicazione.
Si precisa che il testo approvato al Senato dopo ben 2 anni dal testo licenziato dalla Camera, deve tornare in Commissione Giustizia, a Montecitorio per alcune modifiche tra le quali quella sulla prescrizione (blocco dopo il primo grado ma Appello e Cassazione devono celebrarsi entro 18 mesi ciascuno, prima erano 2 anni più uno).
Potrebbero quindi arrivare modifiche al testo licenziato al senato.
Ma cosa è il Trojan?
Per essere didascalico (o wikipediano):
“un trojan o trojan horse, nell’ambito della sicurezza informatica, indica un tipo di malware.
Oggi col termine Trojan ci si riferisce ai trojan ad accesso remoto (detti anche RAT dall’inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dall’attaccante per inviare istruzioni che il server esegue.
Un trojan può contenere qualsiasi tipo di istruzione maligna. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.
I programmi di nuova generazione hanno molteplici funzionalità, quali connessioni tramite bot IRC che permettono di formare una Botnet. Possiedono inoltre migliori funzioni e opzioni per nascondersi meglio nel sistema operativo, utilizzando tecniche di Rootkit“.
Cosa dice una recente sentenza della Cassazione.
Ora: i trojan (o captatori informatici per dirla all’italiana) sono utilizzati da tempo dalle procure italiane nell’ambito di indagini di vario tipo.
E il loro utilizzo, piuttosto criticabile a mio avviso, è stato avvallato dalla Suprema Corte di Cassazione con la sentenza 1 luglio 2016 n. 26889, ma con particolare riferimento a indagini legate alla criminalità organizzata.
In estrema sintesi, tale sentenza stabiliva che:
“Limitatamente ai procedimenti per delitti di criminalità organizzata è consentita l’intercettazione di conversazioni o comunicazioni tra presenti, mediante l’installazione di un ‘captatore informatico’ in dispositivi elettronici portatili, anche nei luoghi di privata dimora, pure non singolarmente individuati e anche se ivi non si stia svolgendo l’attività criminosa“.
Inoltre, le motivazioni delle sentenza diffuse dalla Cassazione allargano il raggio di azione della pratica, “per reati di criminalità organizzata devono intendersi non solo quelli elencati nell’articolo 51, commi 3-bis e 3-quater cpp (associazione di stampo mafioso, terrorismo, riduzione in schiavitù, sequestro di persona a scopo di estorsione, tratta di persone, acquisto e alienazione di schiavi), ma anche quelli comunque facenti capo a un’associazione per delinquere ex articolo 416 cp, correlata alle attività criminose più diverse, con esclusione del mero concorso di persone nel reato.”
Tale sentenza è stata – se così si può dire – l’anticamera dell’attuale DDL e da tempo si auspicava l’intervento di una specifica normativa che disciplinasse i “casi” ed i “modi” dell’azione investigativa per mezzo di programmi informatici inoculati da remoto, considerando i canoni di proporzionalità e di necessità dell’ingerenza pubblica nella vita privata nonché quello della ragionevolezza di tale intrusione.
Cosa sta accadendo in questi giorni?
Il ddl approvato da Palazzo Madama in questi giorni conferisce la delega al Governo per la riforma in generale del sistema delle intercettazioni, sulla base di una limitazione alla loro divulgazione soprattutto con riguardo alle persone non coinvolte nei reati.
Inoltre, con una modifica dell’ultima ora (il cui “tempismo” è stato oggetto di critiche), il Governo ha ottenuto anche la modifica del Testo Unico sulle spese di giustizia per ottenere risparmi di spesa (stimati in almeno il 50% delle spese finora sostenute) tramite una revisione del listino delle tariffe delle prestazioni obbligatorie e funzionali richieste agli operatori e la introduzioni di nuovi obblighi per i fornitori collegati alle loro capacità tecniche e di tutela dei dati sotto il profilo informatico.
Fermo restando che il testo potrebbe subire ulteriori modifiche alla Camera per l’approvazione finale, vediamo, in sintesi, i criteri introdotti dal Parlamento e che il Governo dovrà osservare per la disciplina dell’utilizzo dei Trojan nell’ambito di indagini:
- il Giudice deve autorizzarli con Decreto indicando le ragioni per le quali l’utilizzo del trojan sia necessario per lo svolgimento delle indagini;
- il microfono si può attivare solo a seguito di uno specifico comando inviato da remoto (e nei limiti stabiliti nel decreto autorizzativo del Giudice) e non con il semplice inserimento del Trojan;
- la registrazione audio è avviata dalla polizia giudiziaria o dal personale incaricato secondo circostanze da attestare nel verbale descrittivo delle modalità di effettuazione delle operazioni;
- l’attivazione del dispositivo è sempre ammessa nel caso in cui si proceda per i delitti di criminalità e, fuori da tali casi, nei luoghi di domicilio solo se è in corso l’attività criminosa, nel rispetto dei requisiti previsti per le intercettazioni telefoniche;
- il trasferimento delle registrazioni è effettuato soltanto verso il server della Procura in modo da garantire originalità ed integrità delle registrazioni;
- al termine della registrazione il Trojan viene disattivato e reso definitivamente inutilizzabile su indicazione del personale di polizia giudiziaria operante;
- devono essere utilizzati soltanto programmi informatici conformi a requisiti tecnici stabiliti con decreto ministeriale da emanarsi entro 30 giorni dalla data di entrata in vigore dei decreti legislativi di attuazione, che tenga costantemente conto dell’evoluzione tecnica al fine di garantire che tale programma si limiti ad effettuare le operazioni espressamente disposte secondo standard idonei di affidabilità tecnica, di sicurezza e di efficacia;
- in concreti casi di urgenza, il pubblico ministero può disporre la captazione informatica per delitti di criminalità con successiva convalida del giudice entro il termine massimo di quarantotto ore, sempre che il decreto d’urgenza dia conto delle specifiche situazioni di fatto che rendano impossibile la richiesta al giudice e delle ragioni per le quali tale specifica modalità di intercettazione sia necessaria per lo svolgimento delle indagini;
- i risultati intercettativi ottenuti possono essere utilizzati a fini di prova soltanto dei reati oggetto del provvedimento autorizzativo e possono essere utilizzati in procedimenti diversi a condizione che siano indispensabili per l’accerta-mento dei delitti per i quali è previsto l’arresto obbligatorio in flagranza (ex art. 380 c.p.p.);
- non possano essere in alcun modo conoscibili, divulgabili e pubblicabili i risultati di intercettazioni che abbiano coinvolto occasionalmente soggetti estranei ai fatti per cui si procede.
Perchè questa norma è utile?
Innanzitutto la sua utilità potrà essere meglio definita solo all’esito della definitiva approvazione del DDL alla Camera e sulla base di quanto il Governo concretamente andrà a definire nell’ambito della delega conferita dal Parlamento. In questo senso, il Governo, collaborerà con le principali Procure italiane e con la direzione nazionale antimafia.
Una volta chiarito l’ambito applicativo esatto, si potrà formulare un giudizio chiaro in merito. Resta il fatto che già oggi il Parlamento ha inteso difendere (forse – come dice qualcuno maliziosamente – favorendo qualche interesse particolare) il sacrosanto diritto alla riservatezza e alla inviolabilità della vita privata e del proprio domicilio.
Perchè tecnicamente potrebbe essere inutile?
Se per i giuristi le indicazioni della delega possono apparire estremanente utili e interessanti, in realtà potrebbero esserci problemi tecnici non banali legati all’attivazione del microfono solo a seguito di uno specifico comando inviato da remoto (e nei limiti stabiliti nel decreto autorizzativo del Giudice). Una verifica di questo tipo è – sopratutto a posteriori – tecnicamente complessa e “aggirabile”.
Utilizzare programmi informatici conformi a requisiti tecnici stabiliti con decreto ministeriale da emanarsi entro 30 giorni dalla data di entrata in vigore dei decreti legislativi di attuazione significa, a mio avviso, depotenziare sostanzialmente l’operatività degli intrusori posto che essi possono essere bloccati con specifiche contromisure e antivirus che probabilmente, in questo contesto, risulterebbero più evoluti rispetto a intrusori basati su sistemi antiquati (considerata l’evoluzione tecnologica).
Mi lascia poi alquanto perplessa la precisazione secondo la quale il trasferimento delle registrazioni è effettuato soltanto verso il server della Procura in modo da garantire originalità ed integrità delle registrazioni. Mi chiedo cosa si intenda esattamente con “server della Procura”.
Ciò detto, ribadisco l’importanza di porre una limitazione all’utilizzo di quello che da alcuni autorevoli interpreti è stato definito il Trojan di Stato. Senza però inficiare del tutto uno strumento di indagine certamente utile considerata l’attuale evoluzione tecnologica.
[:]