Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

il decreto

Intercettazioni con “captatori informatici” (trojan), tutto ciò che bisogna sapere

L’analisi del decreto appena pubblicato con cui l’Italia disciplina l’utilizzo, nell’ambito delle indagini penali, di nuovi strumenti tecnologici per le intercettazioni. Cosa implica, quali sono i limiti e i punti da chiari

17 Gen 2018

Catia Maietta

avvocato


In data 29 dicembre 2017 è stato approvato in via definitiva dal Governo, il decreto legislativo n. 216 che introduce “Disposizioni in materia di intercettazione di conversazioni o comunicazioni, in attuazione della delega di cui all’art. I, commi 82, 83 e 84, lettere a), b), c), d), ed e), della legge 23 giugno 2017, n. 103” [1].

Tra i temi trattati[2], non può passare certo inosservata la nuova disciplina introdotta per le intercettazioni di comunicazioni o conversazioni mediante l’utilizzo di captatori informatici in dispositivi elettronici portatili, cd. trojan horse.

Si tratta di un intervento legislativo resosi necessario al fine di disciplinare l’utilizzo, ormai frequente nella prassi, nell’ambito delle indagini penali, di nuovi strumenti tecnologici in grado di stare al passo con l’evoluzione delle nuove forme di comunicazione e, conseguenzialmente, di sfruttare al meglio le possibilità investigative offerte dalla rete.

Fine primario della disciplina, quello di regolamentare l’utilizzo dei captatori informatici, adeguando il modello alle esigenze processuali, dotare le indagini di strumenti al passo con i tempi e fornire gli stessi di un opportuno riconoscimento in ambito legislativo. Ciò al fine di consentirne un uso giuridicamente corretto, nonché di tutelare i diritti fondamentali del singolo, secondo un adeguato bilanciamento degli interessi in gioco, nell’intento di rendere maggiormente equilibrata la salvaguardia fra interessi parimenti meritevoli di tutela a livello costituzionale[3].

Ed in effetti l’uso di questi sistemi, nell’ambito delle indagini penali, pone delicatissimi problemi proprio per il valore degli interessi coinvolti: da un lato la tutela dei diritti fondamentali dell’individuo, dall’altro le esigenze di verità e giustizia. Nel dettaglio si parla di libertà e segretezza della corrispondenza e delle forme di comunicazione, nonché di inviolabilità del domicilio, diritti che sono destinati a subire delle limitazioni nella misura in cui lo Stato, tra i suoi doveri primari, pone l’accertamento delle responsabilità penali, il perseguimento e la repressione dei reati.

Che vi sia una limitazione di questi diritti non è certo una novità: le indagini sono alla base del sistema processuale e del problema del buon uso delle stesse si è sempre discusso. Ciò che rileva, con la presente disciplina, è invece individuare, al cospetto delle nuove tecniche investigative, l’esatto punto da cui far partire le predette restrizioni.

Si tratta, in pratica, di ridefinire i limiti fino cui spingersi e del dove fermarsi a fronte dell’utilizzo di tecniche investigative che certamente rischiano di essere maggiormente invasive, ma che, dato lo stato delle comunicazioni sociali, non sono altro che l’adeguamento, per giunta anche in ritardo, del sistema processuale alle nuove metodiche comunicative. Anzi si potrebbe giustamente parlare di una necessità intrinseca per svolgere l’attività di indagine in maniera efficace, ovviamente nel caso in cui si agisca per l’accertamento di determinati reati[4], in quanto senza tale aggiornamento il sistema non sarebbe stato più in grado di ottenere validi risultati dalle indagini tradizionali, stante la sempre più frequente criptazione delle comunicazioni. E ciò con l’inevitabile corollario di svilire e rendere obsoleto l’intero sistema-giustizia del Paese.

In senso conforme alla predetta necessità si erano già espresse le Sezioni Unite[5] affermando che “ è legittimo nutrire preoccupazioni per le accresciute potenzialità scrutatrici ed acquisitive dei virus informatici, suscettibili di ledere riservatezza, dignità e libertà delle persone” ma anche riconoscendo che “è del pari legittimo ricordare che solo siffatti strumenti sono oggi in grado di penetrare canali criminali di comunicazione o di scambio di informazioni utilizzati per la commissione di gravissimi reati contro le persone”.

Del tema, dunque, si era già occupata la giurisprudenza, ancor prima del legislatore, con una anomala inversione dei tempi di intervento (semplicisticamente delineati, nell’accezione tradizionale, sulla base delle seguenti fasi: verificarsi di un fenomeno/fattispecie – regolamentazione legislativa – interpretazione giurisprudenziale), prendendo coscienza del fenomeno ed intervenendo doverosamente sullo stesso.

Ciò ha, da un lato, messo in evidenza il ritardo del legislatore nel prendere coscienza della necessità di una regolamentazione, dall’altro, ha fornito però un segnale di grande adattamento alle mutate esigenze e della capacità di far fronte ad un orientamento interpretativo su di un nuovo fenomeno, pur in assenza di una puntuale disciplina legislativa.

Quello che si ricava dalla sentenza delle Sezioni Unite è l’esame di uno spaccato sociale, la presa di coscienza di una realtà mutevole e dinamica e la necessità di stare al passo, interpretando, adeguando, leggendo le potenzialità senza dimenticare la tutela dei diritti fondamentali costituzionalmente garantiti[6]. Potrebbe anche essere il primo segnale di una inversione necessitata e che porterebbe il potere giurisprudenziale a suggerire, anche in futuro su nuovi versanti, modalità e tecniche di disciplina al potere legislativo. Sta di fatto che, il presente decreto legislativo, ricalca sostanzialmente quanto già espresso dalla giurisprudenza nelle recenti decisioni sulla materia, lasciando sul tappeto alcune criticità e dubbi.

Giunge, comunque, finalmente al vaglio del legislatore la disciplina sui captatori informatici. Stante la doverosa premessa della obiettiva difficoltà, quasi ontologica, determinata dal fornire una regolamentazione legislativa relativa all’uso di sistemi di indagine altamente specialistici e derivanti dal mondo delle tecnologie informatiche, l’intervento, di per sé, si presenta strutturato come segue.

L’analisi della legge

L’art. 4 del Decreto in esame introduce la seguente disciplina: “Modifiche al codice di procedura penale in materia di intercettazioni mediante inserimento di captatore informatico”. Il codice di procedura penale apre, di fatto, con il presente decreto legislativo, al captatore informatico quale mezzo di ricerca della prova prevedendo, all’art. 266, comma 2, c.p.p. che l’attività di intercettazione di conversazioni o di comunicazioni possa essere “eseguita anche mediante l’inserimento di un captatore informatico su un dispositivo elettronico portatile”.

Fin qui, l’inclusione, a livello codicistico, di un’attività che, come sopra rappresentato, già da un po’ di tempo veniva eseguita dai reparti specialistici al fine di acquisire prove nella fase delle indagini investigative.

Il dibattito sul concreto utilizzo dei captatori informatici e di altri strumenti tecnologici da parte dei reparti specialistici della polizia giudiziaria era, come detto, attivo già da alcuni anni: l’assenza di un riferimento legislativo a volte aveva dato vita a vari opinionismi sulla corretta collocazione degli esiti delle indagini condotte mediante l’uso dei cd. trojan e mezzi simili.

Con il presente decreto, l’attività guadagna una propria autonomia come intercettazione cd. “autonoma”, sganciandosi dalle intercettazioni ambientali cui spesso veniva ricondotta.

Particolarmente interessante, la disciplina introdotta al comma 1, dell’art. 267 c.p.p., fine periodo, laddove si dispone che “il decreto che autorizza l’intercettazione tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile indica le ragioni che rendono necessaria tale modalità per lo svolgimento delle indagini; nonché, se si procede per i delitti diversi da quelli di cui all’art. 51, commi 3bis e 3quater, i luoghi e il tempo, anche indirettamente determinati, in relazione ai quali è consentita l’attivazione del microfono”.

Emergono, da subito, alcuni elementi sui quali formulare delle riflessioni. Prima di tutto viene in rilievo il criterio discretivo dei reati per i quali si procede: nel caso in cui si tratti di reati di terrorismo o inerenti attività criminosa di stampo mafioso, o delitti particolarmente gravi in ambito sociale, non sussiste l’obbligo di dettagliare, con decreto, tempo e luogo di attivazione del captatore, in ragione della peculiarità dei reati per cui si procede che consentono un più ampio spettro di indagini.

Per tutti gli altri, si pone, invece un primo problema di compatibilità dell’uso dei virus-intercettatori con la delimitazione spazio-temporale: nel decreto occorrerà circoscrivere l’attivazione del microfono del captatore solo in determinate circostanze di tempo e di luogo che dovranno essere previamente determinate, anche indirettamente, cosa certamente non semplice se si vuol comunque giungere ad un uso efficace dello strumento che, così facendo, viene depauperato di buona parte delle sue potenzialità unitamente alla difficoltà di determinare previamente le opportune circostanze, ragioni e modalità, per l’esecuzione dell’intercettazione. Tale limite, se pur ben accetto, quale forma di garantismo dei diritti e delle libertà dell’individuo, dovrà essere tuttavia opportunamente gestito, pena l’inutilità dello strumento e/o anche l’inutilizzabilità degli esiti dell’indagine.

E ciò tralasciando le implicazioni relative al chi può fare cosa in merito ai poteri riconosciuti in capo alla polizia giudiziaria o alla magistratura, in particolare al pubblico ministero.

Tecnicamente, invece, si sposta il tempo di inizio della fase dell’intercettazione, disponendo che la stessa cominci con l’attivazione del microfono in conseguenza di apposito comando, distinguendo la fase di inserimento del captatore informatico sul dispositivo dall’utilizzo dello stesso ai fini dell’intercettazione. Rilievo di non poco conto a livello operativo se si pensa che, così facendo, si sgancia l’intrusione del virus dalla fase propriamente monitoria ed autorizzatoria definita con decreto, rendendo la stessa mera operazione preliminare necessaria.

Tempo e luogo restano, invece, concetti difficilmente amalgamabili ai sistemi di comunicazione che viaggiano sulla rete. Di tanto vi è evidenza nell’utilizzo della locuzione, riferita ai luoghi ed al tempo, “anche indirettamente determinati”. Tutti siffatti dati, unitamente al nominativo del soggetto delegato alle operazioni di intercettazione dovranno essere indicati nel verbale, in modo da rendere possibile il controllo delle attività svolte con quanto richiesto dal decreto di autorizzazione.

Con le modifiche alle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, introdotte dall’art. 5 del Decreto in esame, si provvede ad integrare le ulteriori attività di natura tecnica direttamente operative.

Per quanto, invece, attiene all’individuazione dei requisiti tecnici dei programmi informatici, nonché alle modalità di esecuzione, in dettaglio, delle operazioni, l’art. 7 del Decreto, in attuazione del n.5) della lettera e) del comma 84 dell’art. 81 della legge di delega, demanda la definizione, in dettaglio, ad un decreto ministeriale. Il regolamento tecnico di cui all’art.7 del Decreto, da emanarsi entro trenta giorni dalla data di entrata in vigore, si presenta, allo stato, come un documento estremamente rilevante: dovrà fornire maggiori dettagli ed occuparsi, in particolare, degli aspetti operativi.

Da esso ci si attende chiarezza circa installazione, disattivazione, sicurezza del sistema e del dispositivo, affidabilità e corretta utilizzazione. Ciò a vantaggio non solo della difesa, ma a beneficio del buon uso del sistema investigativo nazionale.

[1]Pubblicato in Gazzetta Ufficiale n. 8 del 11/01/2018.
[2]Le principali novità riguardano sinteticamente: 1- l’introduzione del reato di “diffusione di riprese e registrazioni di comunicazioni fraudolente”; 2- maggiore tutela della riservatezza nelle comunicazioni tra avvocato difensore ed assistito; 3- introduzione del divieto di trascrizione, anche sommaria, delle comunicazioni ritenute irrilevanti per le indagini; 4- una nuova disciplina del deposito degli atti riguardanti le intercettazioni e la selezione del materiale raccolto; 5- la nuova disciplina delle intercettazioni di comunicazioni o conversazioni mediante immissione di captatori informatici in dispositivi elettronici portatili; 6- la semplificazione delle condizioni per l’impiego delle intercettazioni delle conversazioni e delle comunicazioni telefoniche e telematiche nei procedimenti per i più gravi reati dei pubblici ufficiali contro la pubblica amministrazione, attraverso la previsione di presupposti meno restrittivi per le relative autorizzazioni.
[3]Consiglio dei Ministri, comunicato stampa del 29 dicembre 2017 pubblicato sul sito web www.infoparlamento.it.
[4]Sembra doveroso precisare che la disciplina non è stata concepita per essere applicata in maniera indiscriminata a qualsiasi indagine bensì limitata ai casi in cui si proceda per gravi delitti quali, ad esempio, il terrorismo, l’associazione a delinquere, la riduzione in schiavitù, la prostituzione, la pornografia minorile, la violenza sessuale nei confronti di minorenni o il sequestro a scopo di estorsione.
[5]Sentenza Sezioni Unite n. 26889/2016. Trattasi di intervento giurisprudenziale in materia determinante e che ha profondamente ispirato lo stesso provvedimento legislativo in esame.
[6]Sono proprio le Sezioni Unite a fornire una prima definizione di captatore informatico nei seguenti termini:” un programma informatico (che) viene installato in un dispositivo del tipo target (un computer, un tablet o uno smartphone), di norma a distanza ed in modo occulto, per mezzo del suo invio con una mail, un sms o un’applicazione di aggiornamento. Il software è costituito da due moduli principali: il primo (server) è un programma di piccole dimensioni che infetta il dispositivo bersaglio; il secondo (client) è l’applicativo che il virus usa per controllare detto dispositivo”.

Articolo 1 di 4