Trojan sì o no?

Le intercettazioni telematiche sono essenziali, ma serve equilibrio: come trovarlo

Intercettare un dispositivo con un trojan è come (o di più) una perquisizione fatta nella nostra casa, da qualcuno entrato senza segni di forzature sulla porta di ingresso. Sono molto importanti in determinate circostanze. Ma occorre bilanciare le esigenze di contrasto alla criminalità con la tutela della privacy

Pubblicato il 26 Gen 2023

Paolo Reale

Presidente dell’Osservatorio Nazionale di Informatica Forense (ONIF)

trojan-header

Sempre più spesso, in un’esasperata semplificazione della complessità di qualunque aspetto della vita reale, si vede la tendenza a polarizzare ‘agli estremi’ qualunque questione, come la famosa canzonetta di Sanremo (“Italia si, Italia no”) di molti anni fa. Anche su temi delicati ed importanti come quello delle intercettazioni spesso si nota un approccio ispirato alla medesima esasperata dicotomia.

Chiariamo subito: le intercettazioni servono, sono strumenti di indagine fondamentali per gli investigatori, in molti casi anche essenziali. Le intercettazioni telematiche, ovvero quelle realizzate con il cosiddetto “captatore informatico”, o anche “trojan”, sono ancora più importanti, in quanto consentono -come vedremo- di conoscere quei contenuti che le intercettazioni tradizionali non possono acquisire.

Trojan super-arma per le indagini, il compromesso tra garantisti e giustizialisti

Il punto, evidentemente, non è il SI o il NO, ma quello di cercare il corretto equilibrio tra le esigenze di contrasto alla criminalità con la tutela della privacy delle persone, perché -come insegnano anche i fumetti- “da un grande potere deriva una grande responsabilità”.

Andiamo per ordine, innanzitutto partendo da una sintetica spiegazione di cosa sia un trojan.

Cos’è il captatore informatico, anche denominato Trojan

Il Trojan Horse è un programma maligno mascherato da qualcosa di benigno (il nome, infatti, deriva da Cavallo di Troia, in esplicito riferimento all’Iliade). La Corte di Cassazione, che ha più volte trattato l’argomento, l’ha definito “captatore informatico” ma in realtà questo applicativo racchiude in sé una moltitudine di funzioni che lo rendono uno strumento che va oltre la semplice operazione di captazione. Il captatore informatico rappresenta senza ombra di dubbio la nuova frontiera delle intercettazioni di comunicazioni essendo -in alcuni casi- in grado di assumere il controllo dell’apparato su cui viene installato e consentendo così all’operatore remoto di poter svolgere molteplici funzioni.

Generalmente questi sistemi possono essere distinti in due componenti principali:

  1. Un applicativo che viene installato sul dispositivo dell’utente, che si occupa di inviare dati e/o ricevere comandi;
  2. Un sistema composto da più componenti, che si occupa di offuscare il transito dei dati, di ricevere e memorizzare i dati inviati dal client e inviare comandi verso il quest’ultimo, al fine ultimo di depositare su un server presso la Procura di riferimento i dati intercettati, per la consultazione dell’Autorità Giudiziaria.

Le diverse tipologie di captatori

Esistono oggi diverse tipologie di captatori utilizzati dall’AG, con caratteristiche differenti e possibilità di accesso ai dati differenti: esistono trojan che sono in grado esclusivamente di attivare/disattivare il microfono per registrare quanto avviene come se il telefono cellulare fosse una ‘cimice mobile’, fino ad arrivare a trojan più invasivi che possono -in alcuni casi- acquisire i cosiddetti ‘privilegi di amministratore’ del dispositivo stesso, in tal modo potendo quindi accedere a qualsiasi risorsa anche con possibilità di modifica/cancellazione. In questo caso, ovviamente, si supera ampiamente il semplice “ascolto” come avviene nelle intercettazioni telefoniche tradizionali.

In tutti i casi, si tratta di un’applicazione che si “traveste” in modo tale da apparire come un’app nota, e che una volta installata esegue comandi e attività di cui l’utente è completamente ignaro e che non ha neppure modo di comprendere a posteriori in quanto “invisibili”.

Di seguito si sintetizzano le funzionalità a cui è possibile avere accesso tramite i captatori informatici:

  • Ascolto da remoto delle conversazioni ambientali captate dal microfono del telefono infettato;
  • Attivazione della fotocamera integrata nell’apparato infettato;
  • Lettura di messaggi SMS e MMS;
  • Lettura del contenuto delle chat relative a sistemi di messaggistica istantanea multimediale, anche acquisendo gli allegati digitali come immagini, video o audio;
  • Geolocalizzazione del dispositivo;
  • Ispezione e scaricamento delle immagini, dei filmati, e in generale dei file memorizzati nel dispositivo;
  • Ispezione dei contenuti di navigazione Internet;
  • Disinstallazione da remoto del trojan senza lasciare traccia, a volte anche non più rilevabile neppure con un’analisi forense del dispositivo.

È palese che, se consideriamo come oggi vengano utilizzati i cellulari, al loro interno sono racchiuse sostanzialmente le nostre vite: i contatti lavorativi e sociali, le comunicazioni personali e non, le immagini e i video privati e non, le ricerche su internet, gli acquisti, gli spostamenti, le confidenze, i segreti, e molto altro ancora, a volte neppure appartenente a noi, ma a coloro con i quali siamo in contatto.

Un’ispezione fatta in tale contesto con un trojan è come (in realtà molto di più di) una perquisizione fatta all’interno della nostra casa, da qualcuno che è entrato senza che noi lo sapessimo, senza che abbia lasciato segni di forzature sulla porta di ingresso, e che poi è andato via senza lasciare tracce, e senza che si possa sapere cosa abbia effettivamente visto, rovistato, preso…

I sistemi ‘black box’

In generale un sistema informatico di cui non si hanno a disposizione dettagli, specifiche o altro, è assimilabile ad una “scatola nera”, nell’accezione utilizzata in ambito scientifico per indicare un oggetto i cui meccanismi interni sono inaccessibili o volutamente omessi. Per contro, i sistemi a Scatola Bianca o a Scatola Chiara sono trasparenti, nel senso che il loro funzionamento interno è visibile, accessibile e comprensibile.

È inevitabile che sistemi trojan non possano essere trasparenti, in quanto se così fosse sarebbero facilmente riconoscibili, identificabili, e neutralizzabili, con buona pace della funzione a cui dovrebbero assolvere.

Tuttavia, è possibile immaginare che sistemi così invasivi -come i trojan- possano essere completamente secretati nel loro funzionamento di dettaglio e che nessuno, al momento, eccetto ovviamente il produttore, possa accedere al reale funzionamento di questi strumenti?

Per sopperire a questa lacuna, l’attuale normativa[1] prevede un insieme dei cosiddetti “obblighi” in capo a chi fornisce le prestazioni di intercettazione. Si tratta di numerose disposizioni che devono appunto essere assicurate dai fornitori, anche relative alle garanzie di sicurezza nella conservazione e gestione dei dati.

Al di là dello specifico contenuto, che per alcuni passaggi sarebbe meritevole di essere meglio approfondito sotto il profilo tecnico, in funzione di ambiguità da risolvere, o di aspetti che non tengono adeguatamente conto della natura informatica delle prestazioni richieste, la criticità maggiore legata a queste disposizioni è che la normativa non prevede né verifiche né controlli sull’effettiva adesione o conformità, e in generale il loro puntuale rispetto.

Un approccio di questo tipo, come è evidente, consente di agire solo ex post, ovvero quando si verifica o viene riscontrato un problema, con gli effetti deflagranti e forieri di sfiducia in un contesto in cui dovrebbe essere applicata la massima attenzione e diligenza.

Richiamandosi a contesti differenti, si vuole qui ricordare come la manutenzione dell’auto deve essere certificata da un’ispezione (“revisione”) ogni due anni, come analogamente la caldaia a gas di un’abitazione deve essere corredata di apposito libretto compilato dal personale specializzato che opera le necessarie verifiche nei tempi previsti, anche con il controllo dei fumi e il rilascio di un bollino, o ancora un autovelox, che deve essere sottoposto a tarature puntuali di legge, pena la decadenza del rilievo prodotto dallo strumento.

I modelli internazionali di valutazione della sicurezza informatica

Come suggerisce l’ex Procuratore Nazionale Antimafia Giovanni Russo in un articolo recente, basterebbe guardare ai modelli internazionali di valutazione della sicurezza informatica: esaminare i sistemi nel loro complesso, valutandoli rispetto ad altri fattori come, ad esempio, la tipologia di dato, la sua importanza sotto il profilo della sicurezza, il luogo di conservazione, la natura e le prerogative dei suoi fruitori.

L’aggregazione di tali standard internazionali, sulla base delle finalità da perseguire e del settore di pertinenza, è alla base dei c.d. accreditamenti o certificazioni condotte da enti terzi (in quanto diversi sia dall’utilizzatore che dal produttore), valorizzando di conseguenza l’intera filiera sotto i profili della qualità e dell’affidabilità.

Per contro, deve essere evidente che le società che operano in questo settore, estremamente innovativo e dinamico, hanno l’assoluta necessità di tutelare il proprio segreto industriale, per il quale vengono investiti capitali economici ed umani, in termini di competenze di alto livello. In quest’ottica va quindi inquadrata l’esigenza di mantenere il massimo segreto e riserbo sul funzionamento di dettaglio di questi stessi sistemi. Questo è quindi un altro fattore che deve essere comunque tenuto in considerazione nella valutazione delle possibili soluzioni.

Il principale vantaggio di una certificazione anche nel settore delle intercettazioni sarebbe quello di fornire una preventiva garanzia circa la legalità (intesa come rispondenza alle regole tecniche più avanzate) dell’intero sistema delle intercettazioni, evitando di dover ricostruire ogni volta l’intera filiera di gestione del dato intercettato, con benefici anche sotto il profilo della riduzione dei tempi processuali.

In Italia, peraltro, esiste già una prima certificazione indipendente degli apparati per le intercettazioni, la “LIA Certification”, che opera secondo lo standard 17020:2021, che specifica i requisiti per la competenza degli organismi che effettuano l’ispezione nonché i requisiti per l’imparzialità e la coerenza delle loro attività di ispezione.

Il tracciamento delle operazioni eseguite dal captatore

Se, da un lato, lo strumento deve offrire le dovute garanzie nei confronti dello Stato e dei suoi cittadini, dall’altro deve essere utilizzato nel rispetto dei diritti dell’intercettato.

Ma, considerato che il trojan può essere cancellato da remoto senza lasciare tracce, e che non esistono strumenti di tracciamento previsti per questi strumenti, che possibilità esistono ex post per ricostruire esattamente come sia stato usato, quando il microfono è stato acceso e dove, quali informazioni sono state visionate ed eventualmente esfiltrate etc.?

Alcune situazioni reali, in cui è stato possibile affrontare questi aspetti, hanno consentito di verificare come vi siano enormi difficoltà, se non in alcuni casi l’impossibilità, di ricostruire a posteriori le attività svolte, anche semplicemente il calendario di attivazione e disattivazione del microfono.

In altri casi non è stato neppure possibile ricostruire puntualmente il percorso dei file dal terminale al server.

E’ necessario quindi che questi strumenti abbiano anche un relativo registro ‘sicuro’ in cui vengano tracciate tutte le attività: ‘sicuro’ nel senso che deve essere tracciata ogni attività, quando e da chi, senza omissioni, e proteggendo tale registro in modo che il suo contenuto sia reso immodificabile e la sua integrità certificata e sempre verificabile.

Il tavolo tecnico istituito dal decreto ministeriale

Il decreto ministeriale del 28.12.2017, disposizione di riordino delle spese per le prestazioni obbligatorie di cui all’art. 96 del d.lgs. n. 259 del 2003, all’art 7, prevedeva uno specifico tavolo tecnico per il monitoraggio del sistema delle prestazioni obbligatorie.

Il Tavolo tecnico permanente, ferme restando le competenze delle singole amministrazioni, dell’Autorità giudiziaria e delle Autorità indipendenti:

  • monitora il sistema delle prestazioni obbligatorie in relazione alla qualità, all’efficienza e alla sicurezza dei servizi forniti, affinché sia garantita un’esecuzione ottimale, uniforme e razionale;
  • monitora le modalità di trasmissione e gestione delle comunicazioni amministrative relative alle prestazioni obbligatorie, promuovendo, ove necessario, la diffusione di prassi operative omogenee da parte di tutti gli operatori coinvolti nel circuito amministrativo;
  • valuta l’opportunità di un aggiornamento del listino;
  • valuta l’introduzione di meccanismi di tipo forfettario nella determinazione dei costi complessivi delle prestazioni obbligatorie.

Detto tavolo, che avrebbe dovuto e potuto coinvolgere i cosiddetti stakeholder del complessivo processo, non risulta ad oggi essere mai stato avviato, privando quindi di un fondamentale feedback, in primis, proprio il legislatore.

L’indagine conoscitiva della seconda Commissione Giustizia del Senato

L’importanza di questi temi è stata perfettamente identificata in ambito politico, e a dicembre 2022 è stata avviata dalla seconda Commissione Giustizia del Senato un’indagine conoscitiva sul tema delle intercettazioni, tramite una serie di audizioni presso la Commissione stessa, di soggetti che, a diverso titolo e portando competenze differenti, possono offrire un contributo sulle variegate tematiche correlate all’uso di questi strumenti, dagli aspetti più tecnici a quelli giuridici, agli aspetti relativi all’utilizzabilità, ai rischi per la riservatezza e la tutela della privacy.

Al momento della pubblicazione di questo articolo le attività della Commissione ancora non sono terminate, ma sono stati già raccolti molti pareri, indicazioni e suggerimenti da diversi soggetti, come dal Presidente dell’ANM, da quello dell’Unione delle camere penali italiane, del Consiglio nazionale dell’Ordine dei giornalisti, della Sezione GIP del Tribunale di Roma, e da tecnici di informatica forense, come lo scrivente e il Dott. Dal Checco, rispettivamente Presidente e socio fondatore dell’Osservatorio Nazionale di Informatica Forense (ONIF), sottolineando la disponibilità delle competenze presenti nell’associazione per l’approfondimento dei temi tecnici.

Conclusioni

Si ritiene doveroso evidenziare che, sebbene siano noti sia alla cronaca che all’Autorità Giudiziaria (che ha aperto le relative indagini) alcuni casi di gestione difforme di questi sistemi di captazione informatica, o di problematiche di sicurezza nell’accesso e ancora alla disponibilità di dati intercettati su sistemi esteri, al momento non esistono indicazioni in merito ad un eventuale dolo o abuso.

Ciò, tuttavia, non diminuisce, ma semmai deve far aumentare l’attenzione su questi strumenti, proprio per la loro peculiare invasività, perché non può essere lasciato spazio agli errori, anche generati in assoluta buona fede. La fiducia delegata dai cittadini e dalle istituzioni all’utilizzo di questi strumenti è sempre in discussione, e non può essere minata, anche solo da un’operazione effettuata con superficialità.

Richiamando quando analizzato in questo articolo, si vogliono qui sintetizzare i punti relativi ai captatori informatici che sono probabilmente meritevoli di essere presi in carico dal legislatore al fine di risolvere le problematiche esistenti ed indirizzare quelle potenziali:

  1. In funzione della peculiarità di questo strumento, definire una disciplina ad hoc, diversa da quella prevista per le intercettazioni telefoniche;
  2. Definire una forma di garanzia terza per questi strumenti, sotto forma di certificazione o altro, al fine di avere la certezza che effettivamente il loro funzionamento sia puntualmente conforme agli obblighi previsti dalla normativa;
  3. Prevedere che il sistema a cui esso si collega sia dotato di uno strumento di registrazione delle operazioni compiute non modificabile né cancellabile; ogni singolo comando inviato al captatore deve essere rintracciabile, così come la risposta che esso produce deve essere registrata e resa immodificabile, adottando quindi opportune misure tecniche;
  4. Attivare il tavolo tecnico previsto dal decreto ministeriale, al fine di monitorare in modo costante ed efficace l’utilizzo di questo strumento.

Tornando quindi all’incipit di questo articolo, non sarà mai un sì o un no: le intercettazioni telematiche sono essenziali. Occorre però entrare nella complessità dei sistemi reali, con le relative implicazioni, e -tramite le opportune competenze- perfezionare un percorso già iniziato da tempo, che individui un equilibrio migliore di quello attuale, mediando la necessità di adottare strumenti così efficaci in ambito investigativo con le irrinunciabili garanzie di tutela della privacy e dei diritti del cittadino.

Note

  1. artt. 3 e 4 del decreto ministeriale del 6.10.2022, pubblicato sul n 23 del Bollettino Ufficiale del Ministero della Giustizia, del 15.12.2022

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati