I trojan di Stato: la nuova legge sulle intercettazioni

Il 28 febbraio 2020 con 246 voti favorevoli e 169 contrari la Camera ha approvato, apportando modificazioni, la conversione in legge del decreto del 30 dicembre 2019, n. 161, recante le modifiche urgenti alla disciplina delle intercettazioni di conversazioni o comunicazioni.

Uno tra i punti più discussi della legge entrata in vigore il 1º maggio è l’utilizzo dei trojan o captatori informatici da parte dello Stato per prevenire e combattere i reati terroristici, di mafia e contro la pubblica amministrazione. I trojan sono software malevoli che vengono installati in modo occulto, spesso durante un aggiornamento o lo scaricamento di un’applicazione, nei dispositivi tecnologici come ad esempio pc, telefoni, televisori. Esistono molte tipologie di trojan: per infettare il pc e trasformarlo in un proxy-server così da poter eseguire attacchi hacker in modo anonimo, oppure implementati per distruggere e cancellare i dati creando un collasso del sistema operativo, o ancora per bloccare i programmi antivirus o blackhall.

I trojan usati dallo Stato, invece, si caratterizzano per essere in grado di captare tutte le comunicazioni, i messaggi, le immagini, le videochiamate e la localizzazione dei target. La struttura e le funzionalità dei trojan è molto semplice, perché sono composti soltanto da due moduli: il server – ossia il programma destinato a infettare il dispositivo, e il client – la parte relativa al controllo di tutte le attività effettuate dal congegno elettronico. Mentre le funzioni di sorveglianza possono avvenire attraverso due strumenti investigativi: l’online search o l’online survaillance.¹

L’online search, detta anche one time copy, acquisisce i dati direttamente dal dispositivo centrale, in pratica cattura tutte le memorie contenute nel sistema informatico hackerato. A questa forma investigativa si alterna l’online survaillance, che a differenza della prima avviene tramite il monitoraggio delle periferiche, come tastiere, webcam, microfoni, passando dunque da un sistema informatico a un altro. Tramite questo metodo inoltre è anche possibile captare i flussi informativi generati dall’utilizzo di Internet, si pensi ad esempio alle conversazioni Skype o ai messaggi scambiati via mail.

L’online survaillance per essere efficace deve però riuscire ad aggirare, se presenti, gli antivirus e i vari sistemi di protezione. È risaputo infatti che qualsiasi device elettronico permette l’installazione di componenti di protezione, proprio per evitare di essere esposto a rischi di hackeraggio e/o controllo da parte di terzi. In commercio e nelle piattaforme online gratuite ve ne sono di svariati tipi, al momento gli antivirus consigliati dall’esperto di tecnologie e ingegnere di software Mike Williams sono: Bitdefender, Kaspersky, Norton e Avast.²

Ora, i contenuti che fanno più discutere della legge n. 7/2020 rispetto alla versione precedente proposta dalla riforma Orlando (legge n. 103/2017 e Decreto Legislativo n. 161/2017 bloccati da due anni e mai entrati in vigore) attengono alle modalità di applicazione dei trojan. Se nella legge Orlando l’utilizzo dei malware da parte dello Stato era circoscritto esclusivamente ai reati di mafia e terrorismo, con la legge voluta dal Ministro della Giustizia Bonafede le cose cambiano, in quanto le intercettazioni sono estese anche per i reati di pubblica amministrazione non inferiori ai 5 anni di reclusione commessi sia da pubblici ufficiali che dagli incaricati del servizio pubblico.

Ma nella legge c’è di più: se precedentemente i dispositivi di sorveglianza erano consentiti nelle dimore private soltanto se al loro interno si aveva la certezza che si stessero compiendo attività criminose, adesso, seppur a seguito di comprovate motivazioni, sarà possibile “infiltrarsi” negli ambienti famigliari dei soggetti attenzionati con una maggiore libertà, con il rischio di registrare conversazioni e raccogliere dati del tutto estranei ai fatti sotto inchiesta, oltre che incorrere nel pericolo di coinvolgere involontariamente soggetti terzi.

Inoltre con la nuova legge sarà possibile utilizzare, dopo ovviamente averne accertato l’utilità, le intercettazioni raccolte anche per indagini e processi diversi; anche su questo punto perciò c’è stato un ampliamento. Va comunque ricordato che l’installazione dei trojan deve tassativamente avvenire rispettando i requisiti tecnici di affidabilità e sicurezza stabiliti con decreto del Ministro della Giustizia, indicando nel verbale il tipo di programma usato e, ove constatabile, i luoghi in cui si svolgono le comunicazioni.

Ma è proprio questo ultimo punto inerente alla “sicurezza” che ha sollevato generali dubbi e malumori. Il complicato meccanismo delle intercettazioni non vede coinvolti esclusivamente gli organismi statali, perché per quanto riguarda lo sviluppo, il funzionamento dei malware e la gestione dei dati raccolti, sono chiamati in causa nientemeno che servizi esterni, come agenzie investigative o sviluppatori di software. E secondo Antonello Soro, Presidente dell’autorità garante per la protezione dei dati personali fino al luglio 2020, esternalizzare tali pratiche significa che lo Stato non detiene più il controllo totale e continuativo delle informazioni.³

Concordi sul medesimo punto sono anche numerosi altri esperti, per i quali affidare il raccoglimento delle intercettazioni e la gestione dei trojan ad aziende private, che peraltro non si capisce bene se siano italiane o anche straniere, potrebbe ledere quella componente di sicurezza tanto auspicata. Perché non solo potrebbe esserci una fuga di notizie (come tra l’altro è già avvenuto e che analizzeremo più avanti), ma anche perché i due criteri fondamentali di immodificabilità e cancellazione dei dati rischierebbero di essere messi a repentaglio.

L’immodificabilità delle informazioni infatti sarà possibile soltanto una volta raggiunti i server statali, mentre ciò che avviene precedentemente nelle aziende sarà “regolato” da atti di fiducia del rispetto delle leggi e, di conseguenza, questa formula priva di controllo non garantisce a prescindere il loro rispetto.

Medesimo discorso per quanto concerne la cancellazione dei dati che si basa sullo stesso criterio, e questo punto apre chiaramente un dibattito sulla tutela della privacy che soprattutto in questo ultimo periodo sta popolando il web.

In correlazione a questo tema si è anche espresso Fabio Pietrosanti, membro del Centro Hermes per la Trasparenza e i Diritti Umani Digitali, che ha invitato il governo italiano a rivedere la propria legge, in quanto l’affidare i dati sensibili e personali dei cittadini a delle strutture private praticamente prive di regolamentazione, potrebbe scatenare dinamiche di controllo e uso/sfruttamento dei dati a sfavore dei cittadini stessi, rendendoli soggetti vulnerabili.

Preoccupazione più che lecita, visto che negli ultimi anni si sono registrati fuoriuscite di informazioni e hackeraggi legati all’uso di malware e ai danni di aziende informatiche. Noto è il caso della società milanese Hacking Team che nel 2015 subì essa stessa un attacco hacker in cui fu reso disponibile un file da oltre 400 Giga contenente email e documenti riservati, mentre nel profilo Twitter fu condiviso un file scaricabile via BitTorrent, anch’esso contenente i dati privati dell’azienda.

La società molto conosciuta in ambito internazionale per la vendita e la gestione di servizi di intrusione offensiva e sorveglianza a governi, organi di polizia e servizi segreti, è stata fortemente criticata dalle organizzazioni no profit e dagli attivisti, per aver concesso strumenti di intercettazione ai governi repressivi. Da ricerche condotte e dai documenti pubblicati⁴, ad esempio da Report senza frontiere e Wikileaks, è emerso che nel 2015 la Hacking Team ha concesso il software a 46 paesi, tra cui: Kazakistan, Arabia Saudita, Oman, Libano, Mongolia, Sudan, Russia, Tunisia, Turchia, Nigeria, Emirati Arabi Uniti. Paesi che con alte probabilità non hanno certo utilizzato il software per prevenire i crimini, ma per sorvegliare in modo ancora più invasivo la popolazione, mettendo letteralmente a rischio la vita privata e la libertà individuale dei loro cittadini.

Purtroppo nel 2019 si ripresenta un fatto simile a quello dell’Hacking team. Lo spyware Exodus, ideato dalla società calabrese E-surv sviluppatrice del software, e che in quel periodo era stato adottato come malware dalla procura di Benevento, a causa di un errore di codificazione presente al suo interno, riuscì a captare in modo indiscriminato le informazioni di chiunque, per sbaglio o intenzionalmente, scaricasse l’applicazione presente in Google-store. App che si presentava come uno strumento per potenziare le prestazioni dei propri apparecchi o per ricevere annunci commerciali.

Non è raro infatti che Microsoft, Apple o la stessa Google, invitino o consiglino agli utenti di installare aggiornamenti o applicazioni che vengono definiti come utili e necessari per migliorare le capacità dello strumento informatico, rendendolo ad esempio più veloce o per avere una risoluzione maggiore; in questo caso però l’applicazione fu intaccata dagli hacker che misero a rischio la privacy di tutti i fruitori coinvolti.

Il caso Exodus fu denunciato pubblicamente dai giornalisti di Motherboard e dalla società no- profit Security without borders, rilevando che chi era venuto in contatto con l’applicazione era stato vittima inconsapevole di un controllo illegittimo in grado di rilevare le password, le conversazioni e gli spostamenti. Per questo caso fu fatta causa alla società calabrese E-surv, sviluppatrice del software, e arrestati l’amministratore e il direttore tecnico, perché all’esito delle indagini condotte dal procuratore di Napoli Giovanni Melillo si appurò che la falla dell’applicazione era ben nota all’azienda.

Si scoprì che fu proprio la E-surv a nascondere Exodus fra le applicazioni di Google, rilevando che l’azienda aveva creato due cartelle: demo e volontari, in cui proprio in quest’ultima si raccoglievano i dati dei soggetti che avevano installato il trojan casualmente, e ciò serviva per provare la funzionalità dei nuovi programmi.

Famosa è anche l’inchiesta Eye Piramid che ha visto coinvolti i fratelli Giulio e Francesca Maria Occhionero per aver introdotto, tramite mail, il trojan Eye Piramid (nome da cui prende la medesima operazione investigativa) in circa 18.000 computer di personalità note e rilevanti della politica e dell’economia italiana. Figure che, stando ai risultati delle investigazioni del Centro nazionale anticrimine informatico – Cnaipic, coordinate dalla Procura della Repubblica di Roma, talvolta venivano ricattati.

Gli elementi raccolti dall’indagine (come si può leggere nella relazione finale redatta dalla Polizia Postale), hanno comprovato, per quanto gli Occhionero abbiano sempre negato un loro coinvolgimento, l’attività illecita e criminale tenuta dai due fratelli, in quanto nei loro dispositivi è stata rivenuta una rete botnet (insieme di computer infettati da un unico malware) ben strutturata e risultato di un attacco informatico avanzato in grado di sottrarre la maggior parte dei contenuti presenti nei pc colpiti.

Queste vicende hanno aperto un aspro dibattito su quanto la sicurezza digitale e la custodia della privacy necessiti di una maggiore regolamentazione e di strumenti di garanzia più efficaci, perché nonostante la nuova legge, su questo fronte bisogna fare ancora progressi.

Chi ha espresso un’opinione lucida sul fenomeno è, ancora una volta, Antonello Soro che in un audizione informale del 4 febbraio 2020, ha sottolineato quanto senza le adeguate precauzioni tali strumentazioni intrusive rischino di diventare mezzi di sorveglianza massiva e non più di tutela. Non a caso, risulta come sia sufficiente un errore tecnico all’interno del software o un’azione di hackeraggio per tracciare le informazioni o le conversazioni contenute nei dispositivi dei comuni cittadini, e non soltanto dei sospettati.

Come specifica Soro, sarebbe perciò utile monitorare in modo deciso che non avvengano abusi che violino la privacy: facendo dei controlli serrati sulle attività delle aziende, vietando il ricorso a captatori in grado cancellare le tracce delle operazioni svolte sul dispositivo ospite, oltre che disporre di software adeguati a ricostruire nel dettaglio ogni attività svolta sul sistema ospite e sui dati presenti, senza alterarne il contenuto.

Soltanto, quindi, monitorando i sistemi e l’utilizzo dei malware si riuscirà a raggiungere una maggiore trasparenza e sicurezza dei dati, senza per questo rinunciare un’attività investigativa approfondita.

1. Per un maggior approfondimento in materia si veda: E. Turco, La ricerca della prova ad alta efficacia intrusiva: il captatore elettronico, in La riforma della giustizia penale, Commento alla legge 23 giugno 2017 n. 103, a cura di A. Scalfati, Giappichelli, Torino 2017.

2. Per un’analisi ulteriore si rimanda all’articolo: M. Williams, The best antivirus software for 2020, «Techradar», settembre 2020. 

3. In: A. Soro, Intercettazioni e tecnologia, i pericoli da evitare, «Il Messaggero», 24 maggio 2019.

4. Alcuni documenti inerenti la vicenda Hacking Team sono raccolti e citati in: H. Järvinen, Surveillance technology company Hacking Team hacked, «European Digital Rights», 25 luglio 2015.

Scritto da

Silvia Cegalin

Classe 1985, articolista freelance. I suoi articoli sono apparsi in Alfabeta2, Menelique, Philosophy kitchen, Kasparhauser - rivista di cultura filosofica e recentemente anche in Kabul magazine. Tra le sue pubblicazioni creative invece vi sono il racconto “ge-Word-en” sulla rivista Rapsodia (2015) e la flash fiction “Mater(ial)” sul magazine californiano Rabid Oak - Issue 16/otttobre 2019.