C’era un tempo in cui i temi della privacy in ambito giudiziario e la regolamentazione dei cosiddetti captatori informatici erano ancora lontani dai pensieri del legislatore, eppure il rispetto dei dati delle persone estranee alle indagini era garantito da un codice deontologico che valeva più delle norme.
Oggi, le tecnologie hanno fatto passi da gigante e le leggi non sono ancora in grado di superare le preoccupazioni espresse dal Garante Privacy riguardo i possibili abusi legati all’utilizzo dei captatori nelle intercettazioni – neanche il recente decreto-legge n. 161/2019 il cui testo di conversione è stato appena approvato al Senato e di cui parleremo di seguito.
Giovanni Falcone e il rigoroso rispetto delle regole
Per dare un’idea di come siano cambiate le cose negli ultimi tre decenni, voglio partire da un aneddoto: era il 1990 quando il 23 dicembre installammo nello studio di un noto commercialista palermitano, sospettato (come poi la sentenza di condanna accertò) di essere “uomo di Riina”, una microspia telefonica. Il decreto di intercettazioni ambientali lo aveva sottoscritto Giovanni Falcone. Uno dei primi emessi in Italia su richiesta della compagnia carabinieri di Corleone, all’epoca da me diretta. Ma ovviamente lo studio da quel giorno avrebbe chiuso per una pausa natalizia.
Alla riapertura, l’8 gennaio, informai il Giudice simbolo della lotta a Cosa Nostra, di aver avviato le operazioni d’ascolto. Ne seguì una dura quanto inaspettata reprimenda del Magistrato: a suo avviso il decreto (all’epoca anche per reati di mafia durava 15 giorni) era scaduto. Era una finezza interpretativa sul concetto di “data di inizio delle operazioni”: il momento della collocazione della microspia o l’inizio concreto delle operazioni di ascolto?
Falcone era un giudice d’altri tempi che aveva un solo credo: il rigoroso rispetto delle regole. Anche se in quel caso alla fine ci diede ragione e le intercettazioni andarono avanti.
Le “operazioni di ascolto” dovevano essere rigorosamente documentate con un verbale. Ma per la prima volta, con le intercettazioni ambientali cominciò a porsi un problema. Erano gli investigatori a decidere cosa registrare e cosa no, cosa fosse di interesse investigativo e cosa no. Ed in un sistema processuale come il nostro, in cui le conversazioni costituiscono fonte di prova che si trasforma in prova piene dopo le trascrizioni peritali (e non come nel sistema anglosassone, meri spunti per conquistare la prova con altri mezzi, come i sequestri o le confessioni) si può ben comprendere quale potrebbe essere l’impatto sul piano delle garanzie.
A differenza delle ambientali, infatti, le intercettazioni telefoniche a cui si era abituati sino ad allora, avevano un numero progressivo certificato dai sistemi. Conversazioni utili o inutili finivano comunque sui nastri. E magari in qualche conversazione inutile, la difesa avrebbe trovato qualcosa di interessante per scagionare il suo assistito.
Privacy e rispetto dei dati, come sono cambiati in 30 anni
E la privacy? La legge 675 del ’96 era ancora lontana dai pensieri del legislatore italiano. Ma il rispetto per i dati soprattutto dei terzi, inconsapevoli intercettati, non pertinenti le indagini, era assicurato da un tacito codice deontologico che accumunava investigatori, magistrati e giornalisti, molto più efficace di una qualunque norma. I verbali giornalieri di intercettazione, chiamati brogliacci, erano pieni di “M chiama R: telefonata non pertinente”
Insomma, a fronte di norme meno tutelanti, tecnologie poco invasive, rigore deontologico e connaturato rispetto per i diritti altrui, assicuravano uno sviluppo serio dei processi e riducevano il rischio di abusi.
Sono trascorsi circa 30 anni da allora. Molta acqua è passata sotto i ponti. Ma soprattutto la tecnologia ha fatto passi da giganti. E le norme fanno strada alle nuove tecnologie.
È il caso della legge 23 giugno 2017, n. 103 che apportava una serie di significativi interventi alla materia delle intercettazioni, soprattutto nelle meticolose indicazioni (delega) al Governo.
Da un lato – va detto – la legge per la prima volta ha cercato di conciliare esigenze investigative e processuali con la tutela dei dati sensibili (art.1, co. 84 lett. a) numero 1) , soprattutto in quella fase di snodo critica costituita dalla trasmissione degli atti al Giudice per le indagini preliminari, ai fini della successiva emissione dei misure cautelari : “il pubblico ministero, assicuri la riservatezza anche degli atti contenenti registrazioni di conversazioni o comunicazioni informatiche o telematiche inutilizzabili a qualunque titolo – ad esempio le comunicazioni con i difensori – ovvero contenenti dati sensibili …..che non siano pertinenti all’accertamento delle responsabilità per i reati per cui si procede o per altri reati emersi nello stesso procedimento o nel corso delle indagini, ovvero irrilevanti ai fini delle indagini in quanto riguardanti esclusivamente fatti o circostanze ad esse estranei. È già un passo significativo, ma non sufficiente dal momento in cui non si comprende ad esempio, la limitazione ai soli dati sensibili, quando ad esempio si dovesse trattare di dati di terzi estranei e non pertinenti che puntualmente rischiano di finire sui giornali.
Le sterminate potenzialità dei captatori informatici
Dall’altra, per la prima volta menziona espressamente, anche qui con una delega di dettaglio al Governo, l’uso di cosiddetti captatori informatici meglio conosciuti come Trojan, di cui l’Organizzazione Security Without Borders denunciò la presenza all’interno del Play Store di Google
Non si tratta di un mero strumento di intercettazione, di una supermicrospia, ma di un software dalle potenzialità sterminate che, bypassando la vulnerabilità degli antivirus, si impossessa dell’apparato colpito, smartphone o laptop, diventandone padrone. Così da remoto e possibile attivare la webcam, il microfono e di captare anche le conversazioni VoIp come Skype, Telegram, Messenger etc.. È in grado ovviamente di leggere qualsiasi dato sia archiviato all’interno dello smartphone (rubrica, messaggi sms, messaggi WhatsApp), di visualizzare le fotografie, di registrare la “tracciabilità” del possessore del cellulare attivando il GPS, risalire anche ad eventuali password o numeri di carte di credito. La polizia giudiziaria può riversare sui propri dispositivi l’intero contenuto del device.
Insomma, un “virus di Stato”, come molti lo hanno definito, con infinite implicazioni legali e di sicurezza.
Nel primo provvedimento di recepimento – il Decreto legislativo 29 dicembre 2017, n. 216 – tuttavia, il tema specifico dei captatori, veniva affrontato con eccessiva “sintesi” intervenendo solo sulla modifica dell’art.266 co.2 del codice di procedura penale:
“Negli stessi casi è consentita l’intercettazione di comunicazioni tra presenti, che può essere eseguita anche mediante l’inserimento di un captatore informatico su un dispositivo elettronico portatile”. Inoltre si prevedeva con l’inserimento di un co.2bis che l’utilizzo di captatori fosse sempre consentito nel caso di indagini per i delitti di cui all’articolo 51, commi 3-bis e 3-quater, ossia – per dirla in sintesi – i delitti di criminalità organizzata e terrorismo di competenza delle Procure Distrettuali.
Va detto che con l’introduzione del reato di “Diffusione di riprese e registrazioni fraudolente” (Art. 617-septies c.p.), il decreto del 2017 risolveva un altro dei punti cardini indicati dalla delega.
Il caso Exodus
Ma sul tema dei captatori, venuti alla ribalta con il caso dell’inchiesta di Perugia che ha visto coinvolti alcuni magistrati ai vertici dell’associazione nazionale – tra cui il suo Presidente Palamara – per i punti irrisolti sono stati gli stessi magistrati, oltre al Garante Soro, a segnalarne rischi e pericolosità. Quali?
Di recente il Garante ha voluto ricordare il caso Exodus, il software spia prodotto da E.Surv, una società catanzarese controllata da STM.
Un software nato per essere destinato alle sole indagini di polizia giudiziaria, ma che in realtà, secondo le indagini della Procura di Napoli, era stato venduto ad almeno 5 società private per evidenti utilizzi illeciti e ben oltre 250 erano risultate le inoculazioni priva di autorizzazione del Giudice.
Ma fin qui, storia di ordinari quanto pericolosi abusi che da sempre hanno riguardato i sistemi intercettativi prodotti da società private.
Il punto più preoccupante è che gli investigatori avevano accertato che i file multimediali oggetto di intercettazione erano in un server di Amazon – che in vero è all’avanguardia in quanto a misure di sicurezza – ma al quale si accedeva digitandone l’indirizzo IP e delle banali credenziali d’accesso.
Senza considerare che quando la connessione avviene attraverso un app scaricabile dagli store come Google Play – e questo accade anche per le app di gestione commista di posta elettronica – il passaggio per il cloud prescelto dal fornitore del captatore è scontato.
Quindi al rischio di abusi si aggiungono quelli ulteriori della custodia presso cloud situati in paesi esteri in cui gli abusi di dati per finalità di intelligence e manipolazione informativa governativa o per finalità di intelligence e manipolazione economico/commerciale, non sono certo una novità.
Ecco perché il Garante della Privacy auspicava che il ricorso a software-spia non inoculati direttamente sul dispositivo-ospite e l’archiviazione mediante sistemi cloud fossero oggetto di esplicito divieto.
Il decreto legge 161/2019
Ma neanche il recente decreto-legge n. 161/2019 (i cui contenuti in un primo tempo dovevano entrare in vigore il 1° marzo 2020 ma con gli emendamenti in fase di conversione si sposta al 1 luglio prossimo) che darebbe piena attuazione alla legge delega del 2017, consente di superare tali preoccupazioni. Tanto che è acceso il dibattito in fase di conversione (ieri il testo di conversione è stato approvato al Senato) ed il punto critico riguarda proprio i captatori.
In sostanza le norme del decreto si limitano a recepire pedissequamente il contenuto della legge delega.
Sul piano generale è previsto con la modifica all’art.269 c.p.p. che tutta la documentazione relativa alle intercettazioni – nel caso di specie quanto di digitale è stato oggetto di download – sia custodita in apposito archivio gestito e tenuto sotto la direzione e la sorveglianza del Procuratore della Repubblica. (art.2 co.1 lett.f). Si tratta di una norma palliativo in quando solo astrattamente il Procuratore della Repubblica potrà vigilare archivi gestiti nel cloud.
Intervenendo poi sulle norme di attuazione al Codice dell’89, il DL dispone che:
- i captatori informatici siano solo quelli rispondenti ai requisiti tecnici fissati da Ministero della Giustizia (che saranno evidentemente elaborati nei prossimi mesi), requisiti tesi non solo ad assicurare la conformità all’originale del dato intercettato ma anche ad evitare alcune pericolose potenzialità dei trojan – come sono anche conosciuti i captatori – tra cui la possibilità di uploadare ossia inserire file nello smartphone intercettato, che significherebbe l’altissimo rischio di falsificazione di prove;
- tutti i dati captati siano trasferiti previ controlli costanti di integrità che assicurino l’integrale corrispondenza tra quanto intercettato, registrato e trasmesso e dopo l’acquisizione delle necessarie informazioni in merito alle condizioni tecniche di sicurezza e di affidabilità della rete di trasmissione, nell’archivio di cui all’art.269 co.1 cp.p., ossia quello sorvegliato dal Procuratore Capo;
- tale archivio dovrebbe assicurare la segretezza della documentazione relativa alle intercettazioni non necessarie per il procedimento, ed a quelle irrilevanti o di cui e’ vietata l’utilizzazione ovvero riguardanti categorie particolari di dati personali che, ricordiamo, comprendono oltre ai vecchi dati sensibili (salute, orientamenti sessuali etc…) anche i dati biometrici (ad esempio un file di log relativo all’accesso biometrico allo smartphone) o genetici (es. una pdf relativo ad analisi su DNA).
In sintesi, non pare proprio che il decreto abbia risolto le molteplici problematiche e fronteggiato efficacemente i rischi derivanti dall’uso dei captatori. Se ad esempio si sarebbe potuto stabilire chiaramente l’obbligo di custodia di quanto intercettato presso server delle Procure. Ma ciò, pur evitando la totale dipendenza da sistemi cloud collegati ai produttori dei software e delle app, avrebbe inibito la possibilità di avvalersi di tecnologie evolute. Quindi una limitazione alle potenzialità di indagine.
La speranza è che i requisiti tecnici che il Ministero dovrà fissare, siano in grado di porre un effettivo limite all’utilizzo smodato dei captatori di Stato, mediante ad esempio:
- la previsione di una validazione digitale con il codice del Decreto autorizzativo in assenza della quale il malware non si attiva;
- la possibilità di impostare la durata del suo funzionamento in relazione alle eventuali proroghe autorizzative;
- il trasferimento diretto dei dati ad un IP predefinito che identifichi un server della procura.
Dopodiché non ci resterebbe che dover fare i conti con le intercettazioni fai da te, per le quali solo un deterrente serio con innalzamento dei limiti edittali delle sanzioni penali potrà funzionare.
