L’indagine conoscitiva sul tema delle intercettazioni, deliberata dalla Commissione Giustizia del Senato della Repubblica il 20 dicembre 2022 e conclusa il 20 settembre 2023 (9 mesi), è stata diretta ad acquisire elementi conoscitivi sul fenomeno generale delle intercettazioni, anche alla luce delle modifiche normative in materia entrate in vigore nel 2020.
Le intercettazioni tramite captatore informatico
È stata evidenziata l’attuale impossibilità di svolgere un effettivo controllo successivo sulle operazioni compiute, benché questo strumento consenta non solo di ispezionare il contenuto di un dispositivo ma anche di alterarne i dati.
È emerso che allo stato non è previsto l’impiego di uno strumento di tracciamento che consenta di ricostruire l’uso del captatore (ad esempio, il calendario di attivazione e disattivazione del microfono, il percorso dei file dal terminale al server).
Allo scopo di assicurare la completezza della “catena di custodia della prova informatica”, è necessario cioè prevedere legislativamente il tracciamento obbligatorio di tutte le operazioni effettuate con riferimento al captatore informatico in modo da registrare eventuali manipolazioni. Si tratta, nello specifico, di istituire una specifica blockchain per i captatori informatici.
Una centralizzazione a livello nazionale nella gestione dei server, in luogo di una gestione autonoma delle singole Procure, potrebbe garantire maggiormente l’inalterabilità e la genuinità delle evidenze intercettate ed eliminare eventuali dubbi sul malfunzionamento della singola struttura o sulla possibilità di manipolazione delle intercettazioni. Il contenuto delle singole conversazioni potrebbe essere sempre memorizzato nei server della Procura inquirente, ma un codice di controllo delle caratteristiche intrinseche degli eventi in riferimento alle conversazioni captate sarebbe disponibile nei server nazionali al fine di garantire la non alterazione di ciò che verrebbe di seguito trasmesso nell’Archivio digitale presente in ogni singola Procura.
Andrebbe considerata anche l’esigenza di garantire l’effettività delle prescrizioni dell’articolo 89 delle disp. att. c.p.p. anche sul piano delle conseguenze processuali connesse all’impiego di programmi informatici non conformi ai requisiti di sicurezza e affidabilità individuati dalla normativa secondaria.
La Commissione ritiene debba essere considerato il rilievo del Garante per la protezione dei dati personali che, anche alla luce di recenti vicende giudiziarie, ha messo in guardia dai pericoli connessi all’utilizzo di sistemi cloud per l’archiviazione, addirittura in Stati extraeuropei, dei dati captati. La delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale costituisce, infatti, un evidente vulnus non soltanto per la tutela dei diritti degli interessati, ma anche per la stessa efficacia e segretezza dell’azione investigativa. Pertanto, l’archiviazione mediante sistemi cloud in server posti fuori dal territorio nazionale potrebbe essere oggetto di un apposito divieto.
Occorrerebbe eliminare i rischi per la riservatezza connessi al caso in cui l’inoculazione del captatore informatico non sia diretta, ma avvenga scaricando applicazioni da piattaforme liberamente accessibili a qualunque utente, consentendo solo l’impiego di applicazioni che impediscano l’acquisizione da parte di terzi o prevedendo che l’attività di captazione abbia inizio solo dopo aver verificato che il software sia univocamente associato al dispositivo corrispondente a quello oggetto del decreto autorizzativo.
Tra il dispositivo bersaglio e il server vi sono canali di comunicazione dati attraverso la rete internet. Il server di prima memorizzazione deve, salvo deroghe, essere collocato in Procura. Numerosi rilievi critici sono stati sollevati sulle estese zone d’ombra circa l’affidabilità dello strumento e la regolamentazione dell’utilizzo pratico, con le connesse garanzie da apprestare: si tratta, ad esempio, della mancanza di regole uniformi per la realizzazione delle operazioni di intercettazione, l’incertezza sulle modalità di apprensione e custodia dei dati
acquisiti, le rassicurazioni sulle tecniche e sulla trasparenza in merito alla fase di rimozione del virus.
Un approfondimento merita infine anche la coerenza dell’attuale perimetro normativo del captatore informatico (trojan) nel nostro ordinamento. Come noto nella prima fase di applicazione, questo istituto era stato introdotto solo con riferimento ai più gravi reati di criminalità organizzata e terrorismo. Soltanto nella scorsa legislatura, con la legge c.d. Spazzacorrotti n. 3 /2019, l’utilizzo del captatore informatico è stato esteso anche ai reati contro la pubblica amministrazione. Tale impostazione è stata oggetto di diverse critiche, sotto il profilo del principio di necessaria proporzionalità, con riferimento ai diversi valori di rango costituzionale che si vengono a
contrapporre.