di Stefano Aterno
La criminalità utilizza strumenti informatici in grado di cifrare i contenuti delle comunicazioni. Le forze dell’ordine cercano di affinare le tecniche investigative avvalendosi anch’esse delle nuove tecnologie, come nel caso del trojan chiamato anche captatore informatico. Elenchiamo le norme nel codice di procedura penale che legittimano o potrebbero legittimare l’utilizzo di questa tecnologia, analizzando alcune pronunce giurisprudenziali di legittimità che hanno affrontato il problema.
Prima parte (nel precedente numero): 1. Prmessa, 2. I tecnicismi del Trojan e l’approccio non sempre corretto della Corte di Cassazione.
Seconda parte (in questo numero): 3. Critiche “vecchie” e “nuove” ad alcuni orientamenti.
3. Critiche “vecchie” e “nuove” ad alcuni orientamenti
Vale la pena pertanto di riprendere qui alcune critiche che vanno ad aggiungersi alle perplessità già espresse in precedenza:
Il trojan altera il computer “target” e appare in contrasto con quanto stabilito dalla legge n. 48/2008 e dalle modifiche al codice di procedura penale; sarebbe quindi opportuno, allo stato, utilizzarlo ad esempio solo quando la legge consente il ricorso al ritardato sequestro (reati di associazione a delinquere di stampo mafioso ecc. ); il software capta, monitorizza, registra anche comportamenti non comunicativi che non sono utilizzabili se tenuti all’interno di un domicilio (informatico); occorrerebbe pertanto porsi il problema se, nella prassi o de iure condendo, non sia il caso di differenziare l’attività di indagine su sistemi informatici “privati” e su quelli “pubblici”.
Ad avviso di chi scrive è necessario valutare se siamo di fronte ad un mezzo di ricerca atipico giustificato da esigenze reali e non altrimenti risolvibili. In altri termini, verificare se esiste la possibilità concreta di arrivare o meno all’acquisizione del contenuto del PC in altro modo, ad esempio attraverso una perquisizione e un sequestro del computer secondo il metodo classico (oppure, come si diceva sopra con il ritardato sequestro nei casi consentiti dalla legge). Soltanto in caso di assoluta impossibilità ad acquisire il contenuto in queste forme e con questi mezzi tipici di ricerca della prova, come sopra ricordato, si potrebbe giustificare il ricorso a mezzi atipici come il “captatore informatico”. È questo il caso di sistemi informatici (es. servers, proxy, sistemi Cloud) allocati all’estero, magari in paesi che non forniscono assistenza alle richieste di rogatoria, oppure a dati allocati magari su piattaforme di cloud computing protette da sistemi di cifratura inattaccabili o comunque per loro natura non accessibili se non on line e con l’utilizzo di segretissime e complesse parole chiavi. Ecco magari in tutti questi casi potrebbe spiegarsi meglio (in diritto e in fatto) l’utilizzo del “virus di Stato” come mezzo atipico di ricerca della prova.
Un altro punto di criticità all’utilizzo del “captatore” è l’assenza di qualsivoglia controllo diretto e ufficiale sull’attività che svolge l’operatore addetto alla captazione di tutto il contenuto del sistema “target”. Quale garanzia ha il pubblico ministero che ha emesso il decreto e autorizzato la captazione sull’attività svolta nel caso in cui decidesse di ricorrere ad ausiliari di polizia esperti o a veri e propri consulenti tecnici? Un ufficiale di polizia giudiziaria assiste sempre a tutte le operazioni che vede e fa il tecnico davanti al proprio sistema? Sono tutte domande alle quali non è possibile dare risposta perché la procedura non è disciplinata ed è lasciata alla sensibilità delle diverse squadre di polizia giudiziaria e delle Procure della Repubblica.
Ad esempio, ad avviso di chi scrive, la redazione di un verbale di polizia giudiziaria, con il dettaglio delle operazioni eseguite nomina di eventuali ausiliari, l’indicazione delle specifiche tecniche del software, l’indicazione di date e orari nonché il dettaglio sintetico del monitoraggio effettuato, risolverebbe alcuni problemi.
Sarebbe altresì auspicabile una contemporanea attività di intercettazione telematica dei flussi informatici del sistema “attaccante” (una vera e propria auto-intercettazione telematica o al limite l’utilizzo di un keylogger con firma digitale applicato al sistema che controlla il trojan) e quindi dell’utenza della polizia giudiziaria o/consulente tecnico al fine di monitorare e garantire l’indagato da upload anche involontari che altererebbero la scena criminis.
Altra forma di garanzia delle operazioni potrebbe essere anche un’attività di logging di tutta l’attività che giornalmente svolge il client (Personal Computer) “attaccante”, con apposizione di firma digitale e marcatura temporale ai file prodotti dal sistema nonché ai file relativi all’acquisizione.
A ben vedere, concretamente il programma consente di captare in tempo reale tutto ciò che appare sul desktop o sul video del personal computer o dello smartphone e quindi anche la navigazione in internet oppure le comunicazioni via chat (di ogni genere e social network). Riesce a fare ciò attraverso gli screen shot (delle vere e proprie foto dello schermo). Pertanto non è vero quando affermato in alcune pronunce o da qualche Gip – ad oggi pochi a dire il vero – che è necessario soltanto il decreto per l’eventuale intercettazione “ambientale”. Quindi è vero il contrario, il trojan può fare anche altro. Pertanto, tralasciando per un attimo gli screen shot di cui ci occuperemo tra poco, si può sostenere che tutta l’attività di documentazione e repertamento dei flussi telematici (esempio la modalità keylogger relativa alla captazione delle password digitate) necessita, ad avviso di chi scrive, di decreti di intercettazione telematica ex art. 266 bis c.p.p. e quindi del vaglio del giudice per le indagini preliminari.
Ciò racchiude in sé un altro problema di fondo: in uno stato di diritto con garanzie processuali codificate la corsa al risultato a tutti i costi non può comprimere le garanzie processuali, le garanzie difensive e il dovuto controllo del giudice per le indagini preliminari sugli strumenti investigativi che mettono in pericolo il contenuto delle comunicazioni e la riservatezza del domicilio (anche informatico).
Dopo anni di silenzio e di convinzione della giurisprudenza che la soluzione della “prova atipica” fosse la cura di tutti i mali, in epoca recente la Suprema Corte torna sul captatore con un paio di sentenze che hanno portato ad una pronuncia delle Sezioni Unite che però ha risolto il problema solo in parte.
Le Sezioni Unite della Cassazione hanno fatto luce sul problema dell’utilizzo del virus Trojan a fine di indagini giudiziarie limitatamente ad una sola delle molteplici funzionalità operative dello strumento informatico in esame, ossia alla cd. intercettazione ambientale itinerante ovvero all’intercettazione di comunicazioni tra presenti ex art. 266 comma 2 c.p.p. potendo seguire il soggetto in una pluralità di luoghi (domiciliari e non).
Le vicende legate all’utilizzo dello strumento informatico sono emerse a livello giudiziario con la sentenza Virruso (Sez. 5, n. 16556 del 14/10/2009, dep. 2010, Rv. 246954) e a livello mediatico, con la vicenda delle indagini sulla cd “P4” e dell’arresto di Luigi Bisignani. Nel giugno 2011, il trojan e il suo utilizzo diventano informazioni di pubblico dominio, dopo che per anni gli investigatori italiani avevano cercato di mantenere riservato il suo utilizzo a fini di indagini penali assicurando alla giustizia anche importanti appartenenti ad organizzazioni mafiose.
Dopo tale episodio, il trojan come strumento investigativo scompare come un fiume carsico per riapparire nel caldo luglio del 2015, quando le conseguenze generate dall’attacco informatico effettuato ai danni della società milanese Hacking Team, con la conseguente compromissione del codice sorgente del software creato da quella società e la diffusione sul web di numerose email tra investigatori e dirigenti della società, mettono in serio pericolo anni di indagini giudiziarie.
…continua su EDICOLeA
Altri articoli di Stefano Aterno
-
-
-
-
-
