Trojan super-arma per le indagini, il compromesso tra garantisti e giustizialisti - Agenda Digitale

decreto intercettazioni

Trojan super-arma per le indagini, il compromesso tra garantisti e giustizialisti

Il decreto sui costi sulle intercettazioni è stato campo di battaglia su temi fondamentali per i rapporti tra diritti di privacy e facoltà di indagine. Si è evitato rischio che il trojan con una normale intercettazione potesse anche perquisire a distanza i cellulari. Ma lo scontro continua

07 Apr 2021
Massimo Borgobello

Avvocato a Udine, co-founder dello Studio Legale Associato BCBLaw, PHD e DPO Certificato 11697:2017

La bozza di decreto interministeriale per razionalizzare i costi sulle intercettazioni presentata il 2 marzo 2021 al Senato e ieri alla Commissione Giustizia della Camera dei Deputati è stato campo di battaglia su temi fondamentali per i rapporti tra diritti di privacy e facoltà di indagine.

La discussione alla Camera, avvenuta ieri alle 18.30 del 6 aprile 2021, ha segnato un primo compromesso tra le due opposte istanze, intorno all’uso dei trojan per le intercettazioni. Ma siamo probabilmente all’inizio di una battaglia, anche perché le diverse parti si sono scontrate a lungo, con il M5S e il PD che volevano lasciare la bozza com’era, dove il trojan con un normale mandato di intercettazione assumeva il potere di acquisire l’intero contenuto residente sul cellulare, invece di limitarsi a intercettare il flusso di comunicazione. Gli altri partiti sono contro e più garantisti.

Alcuni passaggi del decreto erano effettivamente delle forzature del Codice di procedura penale, se addirittura non violazioni aperte. Tanto che alla fine l’attuale compromesso, cambiando la bozza, prevede che il trojan possa sì acquisire i contenuti del cellulare, oltre a intercettarli, ma serve un procedimento diverso, quello delle perquisizioni.

Il Decreto Interministeriale del 2 marzo 2021

Il decreto ha come scopo la razionalizzazione delle tariffe praticate dalle società esterne che effettuano le operazioni di intercettazione su mandato delle Procure della Repubblica che spesso non sono autonome nell’effettuazione delle operazioni suddette.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Questo perché, ai sensi dell’articolo 268 del Codice di procedura penale (comma 3) “Le operazioni possono essere compiute esclusivamente per mezzo degli impianti installati nella procura della Repubblica. Tuttavia, quando tali impianti risultano insufficienti o inidonei ed esistono eccezionali ragioni di urgenza, il pubblico ministero può disporre, con provvedimento motivato, il compimento delle operazioni mediante impianti di pubblico servizio o in dotazione alla polizia giudiziaria”.

Captatori informatici per intercettazioni: privacy e garanzie processuali a rischio

Ai sensi del successivo comma 3 bis, però, si dispone che “Quando si procede a intercettazione di comunicazioni informatiche o telematiche, il pubblico ministero può disporre che le operazioni siano compiute anche mediante impianti appartenenti a privati. Per le operazioni di avvio e di cessazione delle registrazioni con captatore informatico su dispositivo elettronico portatile, riguardanti comunicazioni e conversazioni tra presenti, l’ufficiale di polizia giudiziaria può avvalersi di persone idonee di cui all’articolo 348, comma 4”.

In altre parole, gli impianti dovrebbero essere tutti installati presso la Procura della Repubblica che ha ottenuto l’autorizzazione ad intercettare uno o più indagati ma, se necessario ed in particolare nei casi in cui serva l’installazione di un captatore informatico, il Pubblico Ministero può avvalersi di privati.

Nel caso dell’utilizzo del trojan horse, il captatore informatico che, ormai, ha soppiantato quasi completamente le intercettazioni “tradizionali”, l’impiego di strumentazione esterna alle Procure della Repubblica è la regola.

Da Codice è un’eccezione consentita, ma in via di prassi si è dimostrata la regola dominante in termini di numeri e di impiego concreto.

L’acquisizione di rubrica, galleria di foto e video e di password

Uno dei passaggi più controversi relativo al Decreto sui costi sono presenti tariffe per attività che non dovrebbero essere svolte con l’utilizzo del trojan horse.

Anche se in via di prassi, una volta inserito il malware, quest’ultimo può essere utilizzato tanto per captare le conversazioni (telefoniche o tra presenti) che per copiare la rubrica dei contatti, la galleria di foto o video e le password memorizzate, non è affatto scontato che l’operazione sia lecita.

Le intercettazioni di conversazioni e flussi informatici sono uno specifico mezzo di ricerca della prova, regolato dal Codice di procedura penale e non assimilabile agli altri mezzi.

Lo scopo dello strumento è, quindi, recuperare conversazioni, messaggi o email.

A rigor di Codice, quando è necessario recuperare altri tipi di materiale ritenuto necessario ai fini delle indagini, lo strumento sarebbe la perquisizione, con l’eventuale sequestro del materiale.

In via di prassi, quando è necessario verificare il contenuto di un device, viene emesso decreto di perquisizione finalizzato al sequestro del device stesso che, viene, successivamente, analizzato nei suoi contenuti senza alterarne la funzionalità.

Che la stessa operazione possa essere effettuata per mezzo di un virus informatico senza la presenza di un Ufficiale di Polizia Giudiziaria e per di più da soggetti privati esterni alla Procura della Repubblica, equivale a dire che si possono far effettuare perquisizioni locali e personali e sequestri da aziende di vigilanza privata.

Per altro, la presenza nel listino costi anche della voce acquisizione rubrica, foto e video via trojan potrebbe essere rivelatore di qualcosa che viene già fatto abitualmente, sebbene “sotto banco”. La rivelazione di un illecito, diffuso, insomma.

Il compromesso raggiunto sul decreto

Non è un caso se su questo punto la discussione alla Commissione Giustizia si sia accesa su questo punto: da notizie di stampa pare, quindi, che l’acquisizione di dati diversi da flussi di conversazione possa essere effettuata con malware ma non da società esterne e secondo la procedura prevista dall’articolo 247 del Codice di Procedura penale, ossia come normale perquisizione (che prevede la consapevolezza dell’utente).

Con le intercettazioni si possono acquisire foto e video solo se nel flusso di quella conversazione intercettata.

Tuttavia secondo il M5S, come dice la sottosegretaria Anna Macina, “si tratta di modiche che hanno un effetto placebo, ma la chiusura della trattativa dimostra che è fallito l’ennesimo blitz per depotenziare l’utilizzo del Trojan”.

Garanzie e ricerca della verità

Chi scrive si è trovato a leggere, in più di un’occasione, nei fascicoli del proprio studio professionale, conversazioni telefoniche intercettate tra il cliente e il sottoscritto.

Da avvocato, quindi, posso dire che la questione è vecchia di almeno vent’anni e che fino al 1988 in Italia vigeva un Codice di procedura penale di natura manifestamente inquisitoria; che la cultura giustizialista sia quindi difficile da estirpare, nel nostro ordinamento, è un dato di fatto, così come è un dato di fatto che ogni conquista, in proposito di diritti nel processo penale, è molto recente.

Se i Governi vogliono rompere la crittografia per spiarci meglio

Che vi sia uno scontro molto forte sul punto, quindi, è evidente.

Certo è che, allo stato, non vi è una regolamentazione specifica sugli standard minimi di conservazione dei dati captati con il trojan horse: se anche da Codice fosse ammissibile acquisire rubriche, gallerie e password con le discutibili modalità previste dalla bozza (il riferimento all’articolo 247 del Codice di Procedura penale è meglio di nulla, ma non risolve le questioni di fondo) certamente le ispezioni del Garante per la Protezione dei dati Personali ai soggetti incaricati non andrebbero a vuoto.

Il nodo conservazione e divulgazione delle conversazioni intercettate, infatti, è inscindibilmente legato la rapporto tra Procure della Repubblica e testate giornalistiche che, in Italia, non è sano.

Un dato di fatto rimane evidente: per il MoVimento 5 Stelle le garanzie difensive e la privacy dei cittadini non sono una priorità, come si capisce chiaramente dalle posizioni espresse, anche a mezzo stampa, dagli esponenti di quella parte politica sul decreto in discussione ieri.

Qui sotto la proposta Quintarelli di limitazione dei captatori informatici, ancora degna di nota.

La nuova cyber minaccia per la privacy: tutto ciò che sappiamo sui captatori informatici

WHITEPAPER
Come realizzare una strategia di SICUREZZA per la RESILIENZA integrata
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3