La Corte di Cassazione si è espressa sulle intercettazioni via trojan
I trojan sono classificati notoriamente come virus informatici. Ma sempre più spesso sono utilizzati consapevolmente come veicoli per inoculare dei codici, o dei software malevoli, nei dispositivi informatici delle “vittime” al fine di ottenerne il controllo nascosto, per portare a termine delle indagini o delle intercettazioni.
I trojan, o spyware, quando hanno questi scopi, sono anche definiti “captatori informatici”, “agenti incursori”, o anche più genericamente “virus autoinstallanti”. Per la prima volta, dopo tanti anni di utilizzo silenzioso, la Germania, la Gran Bretagna e l’Italia hanno aperto un dibattito sull’utilizzo da parte dei loro governi e delle loro forze dell’ordine di questi strumenti informatici, come codici malevoli in grado di accedere a tutta la attività fatte su un qualsiasi dispositivo informatico: computer, smartphone, tablet ecc.
I captatori informatici, una volta inseriti nel sistema operativo della vittima, sono in grado infatti di prenderne il pieno controllo. Ad esempio se installati su un cellulare consentono di controllare di nascosto comunicazioni telefoniche, e-mail, chat, foto, Skype, navigazione Web, e tutti i file contenuti nella memoria del dispositivo, o anche attivare microfono e fotocamera anche col telefono in stand-by per utilizzarli come intercettatori ambientali.
Sono pertanto degli strumenti potentissimi ma utilizzati sotto silenzio. Nessuno parla. Difficilmente sono menzionati nei processi in cui l’uso viene comunque autorizzato.
Il primo uso documentato in Italia è del 2004, ma ufficialmente se ne parlerà nel 2010 in una prima sentenza ufficiale.
Nel 2011 ne viene identificato l’utilizzo da parte della polizia federale tedesca ad opera di un gruppo di hacker che ne scopre l’utilizzo.
Nel 2015, la società italiana Hacking Team, che produce spyware e software di intercettazioni per clienti in Italia e all’estero, dicihara di aver subito un attacco informatico attuato da ignoti pirati informatici, che hanno rubato codici sorgenti dei loro software di spionaggio.
La notizia ha destato non poco clamore, anche perchè gli hacker hanno poi reso disponibili sulla rete internet i sorgenti trafugati, con il rischio che chiunque ne sia entrato in possesso li utilizzi, o li modifichi a proprio piacimento.
Fino a ieri esistevano la sentenza nr. 27100 del maggio 2015, della Corte di Cassazione, che equipara l’utilizzo dei trojan per attivare da remoto il microfono di un dispositivo ad una intercettazione ambientale vera e propria, pertanto autorizzabile con maggiori restrizioni, prevedendo anche l’obbligo di dichiarare i luoghi, i tempi ed i modi in cui essa avviene. Di contro un’altra sentenza del marzo 2016 dava maggiori libertà per tale tipo di intercettazioni, perchè legate, nel caso di specie a reati di criminalità organizzata.
Sull’utilizzo dei trojan, a carattere investigativo (anche per casi di mafia ed antiterrorismo), si sono pronunciate ieri le Sezioni Unite della Corte di Cassazione, che hanno sviluppato una decisione che poi sarà vincolante per le casistiche successive, non appena verrà depositata la nuova Sentenza, che da comunque il via libera all’utilizzo per reati di criminalità organizzata.
Le leggi in materie sono alquanto contradditorie, o comunque ancora carenti di una vera e propria regolamentazione per l’utilizzo di questi sistemi, temuti da chi li ritiene inaccettabili, per la libertà dei cittadini, soprattutto se la legge ne autorizzasse l’uso per reati minori.
Già nel 2015 il decreto antiterrorismo, in una sua prima stesura, includeva la possibilità di usare i trojan per “tutti” i reati, parte poi stralciata dallo stesso Renzi.
Altri disegni di legge, sotto altra forma, ne hanno poi riproposto l’utilizzo chiarendo l’obbligo di dichiararne l’uso nei decreti di autorizzazione alle intercettazioni ambientali ed informatiche, in modo che anche l’indagato possa esserne a conoscenza in caso di processo, così che anche la sua difesa, a tutela dei diritti costituzionali, possa fare controdeduzioni. Tutto ciò presume che anche gli stessi trojan siano classificabili, omologabili, certificabili, verificabili e documentabili, durante qualsiasi fase di utilizzo.
In Germania sono stati già adottate norme e software spyware, da utilizzarsi solo nei casi di reati che minaccino la vita o le libertà di terzi, soltanto per accedere a chat, email e telefonate. Di contro in Gran Bretagna avanza la proposta, nota come Ip Bill, che autorizzerebbe l’uso degli incursori digitali anche per spiare persone non direttamente indagate, ma utili per raccogliere informazioni su altri.