Con una pronuncia di 2 giorni fa (sentenza n. 25401, Quarta sezione penale, depositata ieri, la Corte ha fatto chiarezza sulla utilizzabilità dei risultati di intercettazioni cosiddette ambientali o, meglio, tra presenti, mediante l’utilizzo dei captatori, in procedimenti diversi da quello per il quale ne è stato autorizzato l’impiego.
Ma per capire di cosa stiamo parlando, un passo indietro si rende indispensabile.
Di cosa parliamo quando parliamo di captatori informatici
Il captatore informatico è un software fortemente invasivo che, installato su dispositivi mobili (smartphone, computer, tablet) accomunati da una multicanalità e funzionalità, permettono di assumerne il controllo permettendo non solo l’intercettazione di chiamate vocali, chat e messaggi istantanei ma anche l’ascolto di conversazioni delle comunicazioni tra più persone che si trovano nelle vicinanze del dispositivo “infettato” e la visibilità dei suoi contenuti.
Non si tratta, dunque, di un mero strumento di intercettazione né di una supermicrospia, ma di un software dalle potenzialità sterminate che, eludendo le protezioni degli antivirus, si impossessa dell’apparato colpito assumendone il controllo. Con il trojan da remoto si può attivare la webcam, il microfono e di captare anche le conversazioni VoIp come Skype, Telegram, Messenger etc..
È in grado ovviamente di leggere qualsiasi dato sia archiviato all’interno dello smartphone (rubrica, messaggi sms, messaggi WhatsApp), di visualizzare le fotografie, di registrare la “tracciabilità” del possessore del cellulare attivando il GPS, risalire anche ad eventuali password o numeri di carte di credito.
Come funziona il malware
Il malware consente di superare le barriere derivanti dall’utilizzo da parte dei grandi “technology brand”, della cosiddetta end-to-end encryption a protezione della messaggistica istantanea, ossia quel protocollo di crittografia, costituito da un sistema di chiavi pubbliche e private, che abbatte il rischio che criminali cybernetici, possano accedere al contenuto delle informazioni scambiate. In questo caso, infatti, il captatore opera dall’interno del dispositivo. Non si intercetta cioè un dato in transito, ma il messaggio sul dispositivo mittente o destinatario che non necessita di decodifica. Un’informazione “in chiaro” insomma.
La “chiamata” al captatore, programmata ex ante, consente di scaricare i contenuti autorizzati.
Come avviene l’inoculazione del captatore
Il momento più complesso di un’indagine con l’uso di un captatore è quello dell’inoculazione, che può avvenire in via diretta o da remoto. Nel primo caso è necessaria la fisica disponibilità del dispositivo sul quale viene scaricato il software. È evidente che, nella prassi investigativa, tale modalità non venga mai attuata.
L’inoculazione da remoto è, invece, una sorta di attacco di phishing che può avvenire mediante l’invio di mail, sms, whatsapp, IMSI, ricevitore Wi-Fi, installazione di un’app o con richiesta simulata di aggiornamento di una già presente sullo smartphone da attaccare.
Ovviamente sarà necessaria un’azione inconsapevole dell’indagato, come avviene per un qualunque attacco di phishing o di hacker. È evidente, dunque, come a volte siano necessari molteplici e ben congegnati tentativi, prima di conseguire questo risultato.
Perché i paletti normativi non bastano
Quanto finora premesso consente di avere un’idea della pervasività di questo pur utilissimo strumento, ma è inevitabile domandarsi: quali sono i limiti al suo utilizzo, e quali i rischi che si corrono in mancanza di una puntuale regolamentazione?
Un “virus di Stato”, come molti lo hanno definito, il cui utilizzo ha comportato e comporta infinite implicazioni legali e di sicurezza per i dati personali, soprattutto dei terzi inconsapevoli.
Nonostante le prime tracce di utilizzo di captatori risalissero al 2004, solo nel 2017, con la legge delega del 23 giugno 2017, n. 103, che apportava una serie di significativi interventi alla materia delle intercettazioni, si pose per la prima volta il problema del loro utilizzo specifico nelle indagini.
Come conciliare esigenze investigative e processuali con la tutela dei dati sensibili
Con meticolose indicazioni (delega) al Governo si era cercato di conciliare esigenze investigative e processuali con la tutela dei dati sensibili (art.1, co. 84 lett. a) numero 1), soprattutto dei terzi, ponendo in capo al Pubblico Ministero gli obblighi di assicurare la riservatezza necessaria.
Infatti, nel primo provvedimento di recepimento della legge (d.lgs 216/17), pur con eccessiva sintesi il tema specifico dei captatori, trovava una prima regolamentazione nel codice con una modifica del co. 2 dell’art. 266 in tema di intercettazione tra presenti.
“Negli stessi casi è consentita l’intercettazione di comunicazioni tra presenti, che può essere eseguita anche mediante l’inserimento di un captatore informatico su un dispositivo elettronico portatile”.
Mentre con l’inserimento del co. 2 bis si prevedeva che l’utilizzo di captatori fosse sempre consentito nel caso di indagini per i delitti di cui all’articolo 51, commi 3-bis e 3-quater, ossia – per dirla in sintesi – i delitti di criminalità organizzata e terrorismo di competenza delle Procure Distrettuali.
Questo comma veniva tuttavia introdotto con una riserva di utilizzo che dapprima avrebbe riguardato solo le operazioni di intercettazione relative a provvedimenti autorizzativi emessi dopo il 31 marzo 2019 e successivamente, con le modifiche ulteriori introdotte dalla l.7/2020 e le estensioni ai delitti di natura corruttiva commessi da pubblici ufficiali, ai procedimenti iscritti successivamente al 30 aprile 2020.
Quindi un primo paletto posto dal legislatore all’utilizzo del captatore riguardava la possibilità di ricorrervi solo per accedere alle conversazioni tra presenti e non anche all’intero possibile contenuto dinamico o statico dell’apparato attaccato.
Le norme citate avevano avuto un parto difficile, in quanto molteplici erano e, diremmo, permangono, le preoccupazioni circa l’utilizzo dei captatori, proprio per le peculiarità tecniche che li contraddistinguono rispetto ad altri mezzi di intercettazione a cui si sono cercati dei rimedi anche sul piano delle norme ma, diciamolo, non risolutivi.
Le misure di sicurezza per arginare gli abusi
Sul piano tecnico già con DM 20 aprile 2018 – Disposizioni di attuazione per le intercettazioni mediante inserimento di captatore informatico e per l’accesso all’archivio informatico – all’art. 4 prevedeva che i programmi funzionali all’esecuzione delle intercettazioni mediante captatore dovessero assicurare integrità, sicurezza e autenticità dei dati captati e che le misure di sicurezza dovessero consentire l’accesso agli strumenti di comando del captatore ai soli operatori autorizzati.
Inoltre, i sistemi di sicurezza devono contemplare misure di oscuramento per impedire l’identificazione del captatore e dei dati captati da parte di terzi o di altri software, oltre a misure idonee ad assicurare la permanenza e l’efficacia del captatore sul dispositivo durante tutto il periodo di attività autorizzata e con i limiti previsti dal provvedimento autorizzativo, in modo da garantire il completo controllo da remoto.
La norma di garanzia
Sul piano generale, invece con la modifica all’art.269 c.p.p. operata dalle l.7/2020 si è previsto, che tutta la documentazione relativa alle intercettazioni, sia custodita in apposito archivio gestito e tenuto sotto la direzione e la sorveglianza del Procuratore della Repubblica. (art.2 co.1 lett.f).
Vi è da chiedersi se questo possa riguardare qualunque download o solo quanto espressamente previsto dalle norme, ossia le conversazioni intercettate, dal momento in cui nessuna norma, come si è già precisato, autorizza il controllo totale, pur se tecnicamente consentito dal captatore.
La norma di garanzia sopra citata, si ritiene rappresenti in ogni caso un mero palliativo, in quanto solo astrattamente Procuratore della Repubblica potrà vigilare archivi che sono inevitabilmente gestiti anche in cloud, nonostante una replica possa essere tenuta in un server locale.
I casi Exodus e Palamara
Il caso Exodus è stato emblematico: non solo i dati di persone sottoposte a indagini ma anche di comuni cittadini, erano stati illegittimamente raccolti per due anni, visto che la app non era mai stata ritirata dal Play Store di Google, e conservati peraltro in cloud in un server situato negli Stati Uniti
Se ricordate, nel caso Palamara, si era poi scoperta l’esistenza di un server di transito, dislocato presso la Procura di Napoli che, astrattamente, avrebbe potuto consentire di filtrare i contenuti da rendere disponibili alle indagini della Procura di Perugia titolare del procedimento. Rimandiamo alla lettura delle cronache quanto accaduto.
Un importante intervento è stato operato dal D.L. 10 agosto 2023, n. 105, che modificando il co. 1 dell’art. 267 ha previsto che “Il decreto che autorizza l’intercettazione tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile espone con autonoma valutazione le ragioni che rendono necessaria, in concreto, tale modalità per lo svolgimento delle indagini; nonché, se si procede per delitti diversi da quelli di cui all’articolo 51, commi 3-bis e 3-quater, e dai delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell’articolo 4, i luoghi e il tempo, anche indirettamente determinati, in relazione ai quali è consentita l’attivazione del microfono”
In altri termini, il ricorso a tale strumento di ricerca della prova, in alternativa ad altri, deve essere autonomamente valutato dal Giudice per le indagini preliminari e, qualora si tratti di un delitto grave diverso dai reati di mafia e terrorismo e dai delitti dei pubblici ufficiali e incaricati di pubblico servizio, luoghi e tempi in cui attivare il trojan.
Infrastrutture digitali interdistrettuali
La stessa legge 105/23, all’art.2 co.3, ha previsto una vera rivoluzione dell’infrastruttura digitale delle Procure in tema di intercettazioni, verso una centralizzazione che assicuri una maggior tutela dei dati.
La relazione illustrativa osservava che, pur senza incidere sull’autonomia nelle attività di intercettazione del singolo ufficio del pubblico ministero, l’intervento assicurerà livelli di sicurezza più elevati ed uniformi, un aggiornamento tecnologico adeguato alla delicatezza della materia, ma anche una maggiore efficienza, economicità e capacità di risparmio energetico.
La legge aveva previsto che per rendere operative queste nuove infrastrutture, il Ministero della Giustizia dovrà approvare tre decreti ministeriali, uno sui requisiti tecnici della struttura degli archivi digitali, il secondo sui requisiti tecnici specifici per la gestione dei dati in modo che venga assicurata l’autenticità, l’integrità e la riservatezza, ed i requisiti del collegamento telematico tra le infrastrutture digitali interdistrettuali e i luoghi di ascolto presso le procure della Repubblica; il terzo con cui viene dato il via all’attivazione, dell’archivio digitale il cui utilizzo varrà nei procedimenti iscritti successivamente alla data del 28 febbraio 2025.
L’ultimo dei DM è stato adottato con il parere del Garante per la protezione dei dati personali pubblicato con la Newsletter del 28/03/2024.
La pronuncia della Cassazione
La pronuncia dei giorni scorsi della Suprema Corte, lungi da rappresentare un freno al ricorso di questo pervasivo strumento, come da alcuni primi commentatori sostenuto, si limita a ricordare che per ammettere, o negare, la possibilità di utilizzo di prove acquisite mediante il ricordo ai trojan, in procedimenti differenti da quello in cui sono state inizialmente autorizzate, bisogna riferirsi esclusivamente alle disposizioni del Codice di procedura penale.
In primo luogo, la Corte ricorda quanto già abbiamo sottolineato: sia l’articolo 266, sia l’articolo 270 comma 1 bis fanno riferimento ai soli risultati delle intercettazioni tra presenti. Nessun altro dato captato (es. messaggistica) o contenuto nell’apparato target, dunque, potrebbe essere utilizzato. E diciamo potrebbe in quanto, stranamente, la Suprema Corte salva la possibilità di utilizzo di generici risultati diversi dalle intercettazioni tra presenti, richiamando l’art.270 co.1, che consente l’utilizzo del (generico nda) risultato delle intercettazioni in procedimenti diversi da quelli nei quali sono stati disposti, quando risultino rilevanti e indispensabili per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza.
Un richiamo questo che potrà sicuramente far discutere, in quanto apre la strada all’utilizzo di qualunque dato, diverso dalle conversazioni tra presenti. Mentre sul piano generale, la Sentenza ricorda che secondo un’interpretazione letterale della norma, «ove attraverso il captatore informatico si registrino conversazioni tra presenti, l’utilizzo di dette intercettazioni sarà consentito al di là dei limiti di autorizzazione del decreto che ha disposto l’intercettazione solo per l’accertamento dei più gravi delitti indicati dall’articolo 266 comma 2 bis del Codice di procedura penale». In altri termini anche se l’intercettazione è stata disposta per altro grave delitto previsto dal comma 1 dell’art.266 c.p.p. (es. abuso di informazioni privilegiate), se ne possono utilizzare i risultati se sono emerse prove riguardanti reati di mafia o terrorismo, o reati di pubblici ufficiali o incaricati di pubblico servizio che prevedano pene superiori a 5 anni. La limitazione nell’utilizzo in altri procedimenti solo a reati di particolare gravità si giustifica, secondo la Cassazione, alla luce della particolare invasività del trojan «che consente, nel caso di conversazioni tra presenti, intercettazioni in incertam personam».
Un bilanciamento tra il diritto costituzionalmente garantito alla riservatezza delle comunicazioni ed il dovere dello Stato alla repressione dei reati e all’individuazione dei colpevoli.
Un bilanciamento della norma che la Cassazione evidentemente ha condiviso, tanto da respingere la richiesta di sollevare questione di legittimità costituzionale, avanzata dalla Procura generale.