Il trojan nel d.l. Bonafede

Intercettazioni tramite la rete o una rete di intercettazioni?

Illustrazione del cavallo di Troia

Clicca QUI per scaricare Policlic n. 4 

Un tortuoso iter normativo

Lo scorso primo settembre, dopo tre anni di ripensamenti, modifiche e rinvii, è finalmente entrata in vigore la nuova disciplina dettata in tema d’intercettazioni. Non si tratta, come sarebbe auspicabile in una materia tanto delicata, di una riforma organica, bensì del prodotto di interventi frammentari e disarticolati, caldeggiati dai due ministri che nell’ultimo triennio hanno guidato il dicastero di via Arenula: gli onorevoli Andrea Orlando e Alfonso Bonafede.

Prima di vagliare nel merito i numerosi profili di novità introdotti dalle riforme, occorre osservare che la scelta di posticiparne l’efficacia al mese di settembre è stata adottata dal governo con un decreto legge del 30 aprile scorso[1]. Il ricorso alla decretazione d’urgenza per modificare una disciplina in stallo da oltre due anni, peraltro nel pieno del lockdown imposto dall’emergenza sanitaria, potrebbe sollevare dubbi di carattere politico, oltre che giuridico. Tralasciando volutamente qualsiasi considerazione sul punto, preme qui indagare i riflessi che queste modifiche normative potrebbero avere sui diritti fondamentali della persona.

Lo strumento investigativo delle intercettazioni opera infatti al confine tra il bisogno sociale di un’adeguata repressione dei reati e il diritto del singolo alla riservatezza. Quest’ultimo, con specifico riferimento alla libertà e alla segretezza delle comunicazioni, è tutelato dall’articolo 15 della Costituzione, che ne ammette la limitazione “soltanto per atto motivato dell’autorità giudiziaria”, nel rispetto “delle garanzie stabilite dalla legge”.


Più di un secolo d’intercettazioni: dal Ministro di Giolitti all’utilizzo dei trojan 

Prima di verificare se le nuove norme consegnino agli inquirenti degli strumenti in grado di ledere la privacy dei cittadini, occorre premettere qualche cenno sulla storia e la natura delle intercettazioni. Esse rappresentano uno dei più efficaci mezzi di ricerca della prova di cui l’autorità giudiziaria dispone e, come tali, servono per accertare i fatti oggetto del processo penale.

Le radici di questo mezzo investigativo sono molto remote, tanto che il primo caso italiano d’intercettazione risale al 1903. Vittima dell’intrusione fu addirittura un Ministro del Governo Giolitti II che, informando la moglie dell’imminente approvazione di un provvedimento finanziario, con una telefonata notturna le suggeriva d’investire su determinati titoli che di quel provvedimento avrebbero risentito positivamente. Allora le telefonate non erano dirette, bensì smistate da centralinisti. Uno di loro, ascoltata casualmente la conversazione, ne appuntò estremi e contenuto e andò a riferirne al Capo di Gabinetto del Presidente del Consiglio. Il risultato di questa prima, embrionale forma d’intercettazione fu duplice: la mancata approvazione del provvedimento finanziario e la nascita del “Servizio di Intercettazione”, un nuovo reparto della Polizia di Stato che fu poi utilizzato dal governo per controllare i personaggi di spicco della vita politica, economica e religiosa del Paese[2].

Dall’aneddoto appena riferito si capisce quanto ampia possa essere l’intrusione nella sfera di riservatezza del soggetto intercettato, specie considerando che negli ultimi decenni le tecniche investigative si sono moltiplicate e perfezionate. Alla classica intercettazione telefonica, oggi si affiancano infatti quella ambientale, che consente di captare le conversazioni intrattenute tra soggetti presenti nel medesimo ambiente (ad es., l’automobile o una stanza), e quella realizzata tramite il cosiddetto trojan. È opportuno soffermarsi proprio su quest’ultima modalità d’intercettazione poiché, oltre ad avere le più ampie attitudini intrusive, è quella maggiormente potenziata dagli interventi legislativi appena entrati in vigore.


Il trojan: uno strumento investigativo indispensabile…

Il captatore informatico[3] è un particolare tipo di software, appartenente alla categoria dei malware[4], che, una volta inoculato in un sistema informatico, “consente ad un centro remoto di comando di prenderne il controllo”[5], incidendo tanto sul download che sull’upload di dati e informazioni digitali[6]. A causa delle sue peculiari modalità operative, il software in discorso è detto anche trojan, con evidente riferimento al noto cavallo che, nella mitologia, servì ai greci per penetrare all’interno della città di Troia e conquistarla. La sua immensa potenzialità lesiva dell’altrui privacy ha reso il captatore informatico uno dei più controversi strumenti di intercettazione contemporanei, in quanto consente a chi se ne serve d’infiltrarsi nel cosiddetto “dispositivo bersaglio” onde ricavare dati e informazioni[7].

L’installazione del captatore, sebbene possa effettuarsi direttamente sul sistema informatico oggetto d’indagine, il più delle volte viene eseguita da remoto, avvalendosi della rete internet, in modo da evitare qualsiasi contatto con i luoghi e gli strumenti di pertinenza dell’indagato. In particolare, dando al malware le sembianze di un aggiornamento di sistema o di un qualsiasi altro software utile, è l’utente stesso a scaricarlo ed eseguirlo, così contribuendo all’infezione del proprio dispositivo[8]. Una volta installato, è possibile eseguire per mezzo del trojan un’indeterminata serie di operazioni, quali ad esempio l’acquisizione di dati e comunicazioni transitanti sulle applicazioni di messaggistica, l’attivazione del microfono e della webcam del dispositivo, la sua geolocalizzazione e persino la copia di file e informazioni salvate in memoria[9]. Il trojan diviene poi indispensabile laddove si renda necessario captare le conversazioni intrattenute sui social network, le quali, essendo crittografate, non sarebbero altrimenti monitorabili. In dettaglio, quasi tutte le piattaforme social ricorrono a una particolare forma di crittografia, cosiddetta end to end, in grado di rendere invulnerabili i dati in transito rispetto agli ordinari strumenti d’intercettazione[10]. Con questi ultimi è infatti possibile conoscere il solo invio del messaggio, ma non il suo contenuto. A tal scopo è dunque necessario sequestrare il dispositivo ed estrarre copia dei dati o, più comodamente, introdursi al suo interno col captatore.


…o il viatico per indebite intrusioni? La Cassazione fa il punto nel 2016

Chiarita l’indubbia utilità investigativa del captatore informatico, è bene portare alla luce quale sia il più consistente rischio d’intrusione nella sfera privata del soggetto controllato. Si tratta della possibilità di realizzare la cosiddetta “intercettazione ubiquitaria”, ossia di captare le conversazioni intrattenute in ogni dove da colui che utilizza il dispositivo informatico infetto. Se, come detto, il trojan consente all’operatore di polizia giudiziaria di attivare il microfono del device sul quale è stato installato, è evidente quanto ciò possa esser lesivo per la privacy non solo dell’utente, ma anche di tutti coloro che con questi entrino in contatto.

Per assicurare l’operatività delle garanzie previste dall’articolo 15 Cost., nel 2016 la Corte di cassazione ha fissato alcuni limiti all’utilizzo del captatore informatico[11]. In particolare, assimilandolo alle intercettazioni tradizionali, ha limitato la possibilità d’intercettazione ubiquitaria ai soli procedimenti pendenti per reati di criminalità organizzata. Prima delle ultime riforme, solo per tali reati era infatti consentito al giudice di non indicare in anticipo gli spazi in cui effettuare le captazioni, potendo le stesse svolgersi anche in luoghi di privata dimora a prescindere che quegli ambienti fossero o meno sede di attività criminosa. Per contro, per intercettare gli ambienti domestici in processi relativi a reati comuni, era necessario dimostrare che proprio quegli spazi fossero sede dell’attività criminosa. In altre parole, prima degli ultimi interventi del legislatore, i giudici potevano attivare il trojan e registrare le conversazioni casalinghe del soggetto controllato solo se questi era in odor di mafia. Diversamente, per tutti gli altri reati non era consentita una tanto incisiva invasione della sfera di riservatezza individuale.


L’incompiuta Riforma Orlando del 2017

L’ex Ministro della Giustizia Andrea Orlando.

Alla fine del 2017, trascorso poco più di un anno dalla riferita pronuncia della Cassazione, la Riforma Orlando ha tentato d’innovare radicalmente la disciplina italiana delle intercettazioni[12]. Si è trattato, come detto, di un tentativo, poiché il corpus normativo non è mai entrato in vigore nella sua configurazione originaria a causa delle numerosissime proroghe e modifiche disposte dai governi successivi.

Con riferimento al trojan, il provvedimento in discorso voleva introdurre nel codice di procedura penale una disciplina coerente ai dicta resi dalla Corte di cassazione l’anno precedente. In particolare, il legislatore intendeva ammettere l’uso del captatore informatico per registrare le conversazioni tra presenti, consentendone tuttavia l’attivazione negli ambienti di privata dimora solo per l’accertamento dei reati di criminalità organizzata. In altre parole, soltanto nei procedimenti a carico di soggetti in odor di mafia il giudice era esonerato dal dover indicare, all’interno del decreto con cui autorizzava l’uso del trojan, i luoghi e il tempo di attivazione del microfono. 


La «Legge Spazzacorrotti» e il “d.l. Bonafede”

L’attuale ministro della Giustizia
Alfonso Bonafede.

Come già riferito, la riforma del 2017 non ha mai trovato applicazione nella forma in cui era stata concepita, poiché una serie di provvedimenti successivi ne hanno via via posticipato l’entrata in vigore[13]. Parallelamente, con due provvedimenti fortemente voluti dall’on. Alfonso Bonafede[14], nel frattempo subentrato al collega Andrea Orlando a capo del Ministero della Giustizia, si è scelto di incentivare l’uso del captatore informatico e di ampliare, in linea generale, le potenzialità investigative delle intercettazioni.

A partire dal primo settembre scorso, infatti, la disciplina derogatoria, che consentiva il ricorso alle intercettazioni ubiquitarie per i soli reati di criminalità organizzata, è stata estesa anche a molti dei delitti commessi dai pubblici ufficiali contro la pubblica amministrazione[15]. In altre parole, è oggi possibile intercettare nel salotto di casa propria non solo il soggetto supposto mafioso, ma pure il pubblico ufficiale sospettato di corruzione. È bene sottolineare che la novità riguarda le intercettazioni realizzate per mezzo del trojan, ossia quelle finalizzate a captare le conversazioni intrattenute da persone presenti, non quelle telefoniche che già da tempo sono utilizzabili per accertare i reati commessi dai pubblici funzionari. Come ha osservato il presidente emerito della Corte costituzionale Giovanni Maria Flick, l’intervento normativo promosso dal ministro Bonafede “ha realizzato la pretesa assimilabilità fra mafia e reati contro la pubblica amministrazione”, così dando luogo a “una correlazione sbagliata, perché la mafia si basa sulla violenza, la corruzione su un accordo illecito”[16].


Il diritto alla riservatezza e la “pesca a strascico dei reati”

Se l’equiparazione tra mafioso e corrotto, nei termini sopra riferiti, rischia di ledere esclusivamente la riservatezza dei pubblici ufficiali, vi è un altro profilo della Riforma Bonafede in grado di destare una preoccupazione più generale. Si tratta della cosiddetta utilizzabilità esoprocedimentale delle intercettazioni, ossia della possibilità di utilizzarne i risultati per scopi diversi da quelli per i quali esse sono state autorizzate. Il provvedimento legislativo appena entrato in vigore estende infatti l’utilizzabilità tanto del prodotto delle tradizionali captazioni telefoniche, quanto di quello derivante dall’inoculazione del trojan.

Per comprendere appieno la portata dirompente delle novità da ultimo introdotte, è bene ricostruire schematicamente la disciplina previgente. Prima della Riforma Bonafede, l’utilizzabilità esoprocedimentale delle intercettazioni, sia telefoniche che realizzate con captatore informatico, era consentita solo laddove indispensabile “per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza”[17]. A partire dal primo settembre, le maglie della legge sono diventate più larghe: i risultati acquisiti tramite intercettazioni telefoniche potranno infatti esser utilizzati, se indispensabili, in qualsiasi procedimento in cui sarebbe stato possibile autorizzare ab origine la captazione, mentre quelli ottenuti per mezzo del trojan anche per accertare delitti di criminalità organizzata o lato sensu di corruzione.

In sintesi, la Riforma Bonafede consente di utilizzare con maggior libertà i risultati delle intercettazioni autorizzate in un certo procedimento, pendente a carico di una certa persona, per provare reati commessi da soggetti a esso estranei. Il rischio, che il presidente Flick ha definito di “pesca a strascico dei reati tramite intercettazioni”, consiste nella possibilità che gli inquirenti “cali[no] la rete” per vedere poi “cosa ci resta impigliato”[18].

Proprio quest’ultimo profilo della riforma, estendendo l’utilizzabilità esoprocedimentale dei risultati delle intercettazioni, rischia di collidere più di ogni altro coi diritti fondamentali della persona. L’articolo 15 Cost., laddove consente di violare la libertà di comunicazione privata solo con atto motivato dell’autorità giudiziaria, che sia stato emesso nelle ipotesi previste dalla legge, esige che l’individuazione di tali ipotesi sia precisa e tassativa. Il diritto alla riservatezza consacrato nella norma costituzionale rappresenta un bene primario, complementare a quello della libera manifestazione del pensiero riconosciuto dal successivo articolo 21. La garanzia di segretezza delle comunicazioni consente infatti all’individuo di comunicare liberamente con chi vuole, potendo senza timore esprimere la propria diversità e identità di persona[19]. È bene ribadire che tale garanzia può essere soppressa solo in forza di una precisa previsione di legge, che dia spazio a un controllo giudiziario volto a contemperare il diritto individuale alla riservatezza con l’esigenza collettiva di repressione dei reati.

La disciplina appena entrata in vigore, nella misura in cui accresce la libertà di utilizzare i risultati delle intercettazioni in un procedimento diverso da quello in cui sono state disposte, rischia di annullare il predetto controllo giudiziario. Conseguentemente, con esso verrebbe pure meno il prescritto bilanciamento tra le contrapposte esigenze individuali e collettive. Esemplificando, la possibilità di utilizzare contro Tizio le intercettazioni che erano state autorizzate nel procedimento penale a carico di Caio, fa sì che la segretezza delle comunicazioni di Tizio possa esser violata senza alcun preventivo vaglio del giudice. La riservatezza di Tizio verrebbe così compromessa sol perché egli, per avventura, sia stato in qualche modo coinvolto in conversazioni altrui, in difetto di alcun bilanciamento tra la sua privacy e l’esigenza di prevenzione dei reati. In definitiva, per dirla ancora con le parole del presidente Flick, il bilanciamento prescritto dalla Costituzione diviene impossibile laddove la legge consente di utilizzare, nel silenzio del giudice, i risultati di un’intercettazione per provare reati diversi da quelli per i quali essa era stata inizialmente acconsentita[20].

Francesco Battista per Policlic.it


[1] Il riferimento è al d.l. 30 aprile 2020, n. 28.

[2] Per approfondire, v. U. Guspini, L’orecchio del regime: le intercettazioni telefoniche al tempo del fascismo, Brescia, 1973.

[3] Sul captatore informatico, v. S. Marcolini, Le cosiddette perquisizioni on line (o perquisizioni elettroniche), in Cass. pen., luglio-agosto 2010, p. 2855 ss.; S. Marcolini, Le indagini atipiche a contenuto tecnologico nel processo penale: una proposta, in Cass. pen., 2015, n. 2. Cfr., inoltre, S. Aterno, Mezzi atipici di ricerca della prova e nuovi strumenti investigativi informatici: l’acquisizione occulta da remoto e la soluzione per la lotta contro l’utilizzo del cloud criminal, in G. Costabile, A. Attanasio (a cura di), IISFA Memberbook 2012 Digital Forensics. Condivisione della conoscenza tra i membri dell’IISFA Italian Chapter, Forlì, 2013, p. 1 ss.; S. Colaiocco, Nuovi mezzi di ricerca della prova: l’utilizzo dei programmi spia, in Arch. Pen., 1, 2014; M. Trogu, Sorveglianza e “perquisizioni” on-line su materiale informatico, in A. Scalfati (a cura di), Le indagini atipiche, Torino, 2014, p. 431; E. Aprile, voce Captazioni atipiche (voci, immagini, segnali), in A. Scalfati (diretto da), Dig. proc. pen. on line, Torino, 2012. Sul piano comparatistico, con riferimento all’esperienza tedesca, cfr. R. Flor, Brevi riflessioni a margine della sentenza del Bundesverfassungsgericht sulla c.d. online durchsuchung, in Riv. trim. dir. pen. eco., 2009, 3, pp. 679 ss.; guardando, invece, all’esperienza americana, v. F. Cerqua, Le investigazioni informatiche e la protezione dei dati personali negli Stati Uniti ed in Italia: due modelli a confronto, P. Corso, E. Zanetti, (a cura di), Studi in onore di Mario Pisani, II, Diritto processuale penale e profili internazionali: diritto straniero e diritto comparato, Piacenza, 2010, pp. 775 e ss.

[4] Riferisce M. Torre, Indagini Informatiche e processo penale, cit., p. 91, che il termine malware discende dall’accostamento delle parole malicious e software, sicché può rendersi in italiano come “programma malvagio”. Si tratta, in via di prima approssimazione, di un particolare codice appositamente elaborato per danneggiare il sistema informatico sul quale viene eseguito. Più precisamente, la categoria dei malware è idonea a ricomprendere tutte le varie tipologie di virus informatici conosciuti, inclusi worms, trojan e backdoors.

[5] Così M. Torre, Indagini Informatiche e processo penale, cit., p. 91.

[6] Ibidem, precisa ulteriormente che il software in discorso è costituito da due moduli principali: un programma server, da cui parte l’infezione, e uno client, utilizzato dal pirata per controllare il sistema informatico infetto.

[7] Cfr. R. Barone, Le indagini informatiche nella lotta al crimine, cit., par. 4.2.

[8] Cfr. ibidem.

[9] Cfr. R. Palmieri, La nuova disciplina del captatore informatico tra esigenze investigative e salvaguardia dei diritti fondamentali. Dalla sentenza “Scurato” alla riforma sulle intercettazioni, in Diritto Penale Contemporaneo, fasc. 1/2018, p. 60.

[10] Le principali applicazioni di messaggistica istantanea che utilizzano la crittografia end to end sono Whatsapp, Telegram, Skype, Snapchat, Messenger, Instagram, Twitter, Wechat, WebPhone, Gmail, My-B-Line, PowerVoip, uVOIPit, Lingo, VoiPax, Wor(l)d softSim, Viber, vBuzzer, VoipBuster, MOBIVOX, Line2, Skebby, MyCallingBox, InTouchApp, Miglu, Voxtopia, Poketalk, Fring, EvaPhone, PC-Telephone, Rebtel, VoxOx, Vyke, Yahoo Voice, FriendCaller, FaceTime, MagicJack, Vonage, Google Voice, Tru, Vopium, Call, ooVoo, JAJAH. Sul punto cfr. M. Torre, Il captatore informatico. Nuove tecnologie investigative e rispetto delle regole processuali, Giuffrè, Milano, 2017, p. 22; M. Di stefano, B. Fiammella, Intercettazioni: remotizzazione e diritto di difesa nell’attività investigativa (profili di intelligence), Altalex, Milano, 2015.

[11] V. Cass. pen., SS.UU., sent. 1 luglio 2016, n. 26889, Scurato, in CED n. 266905.

[12] La c.d. Riforma Orlando è contenuta nel d.lgs. 29 dicembre 2017, n. 216.

[13] L’art. 9 d.lgs. n. 216 del 2017 prevedeva originariamente l’entrata in vigore della nuova disciplina trascorsi 180 giorni dall’entrata in vigore del decreto. Successivamente l’art. 2 d.l. 25 luglio 2018, n. 91 ha prorogato il termine al 31 marzo 2019; l’art. 1, comma 1139, lett. a), n.1, L. 30 dicembre 2018, n. 145 ha prorogato il termine al 31 luglio 2019; l’art. 9, comma 2, lett. a), d.l. 14 giugno 2019, n. 53 ha prorogato il termine al 31 dicembre 2019; l’art. 1, comma 1, n. 1 ha inizialmente prorogato il termina al 29 febbraio 2020, mentre in sede di conversione l’art. 1, comma 1, L. n. 7 del 2020 ha ulteriormente prorogato il termine al 30 aprile 2020. Da ultimo, il d.l. 30 aprile 2020, n. 28 ha ulteriormente differito l’entrata in vigore della nuova disciplina all’1 settembre 2020.

[14] Il riferimento è alla L. 9 gennaio 2019, n. 3, c.d. “Legge Spazzacorrotti” e al d.l. 30 dicembre 2019, n. 161, conv. con modif. in L. 28 febbraio 2020, n. 7, c.d. “d.l. intercettazioni Bonafede”.

[15] L’estensione opera, in particolare, “per i delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell’articolo 4” del codice di procedura penale.

[16] Così G. M. Flick, Intercettazioni, qui si colpisce la base della nostra civiltà. Guai a giocare sui diritti, in Cass. pen., fasc. 5, 1 maggio 2020, pp. 1804 ss. Il Presidente aggiunge tuttavia che “nel decreto intercettazioni appena convertito in legge si colgono anche aspetti condivisibili. Innanzitutto il ripristino del controllo del p.m. sulla selezione delle intercettazioni rilevanti, che invece il decreto Orlando aveva affidato in maniera quasi esclusiva alla polizia giudiziaria. Viene restituito al difensore il diritto a estrarre copia del materiale intercettato, viene restituita la necessaria centralità all’udienza stralcio”.

[17] Al riguardo, Cass., SS.UU. 28 novembre 2019, n. 51, Cavallo, aveva precisato che “il divieto di cui all’art. 270 c.p.p. di utilizzazione dei risultati di intercettazioni di conversazioni in procedimenti diversi da quelli per i quali siano state autorizzate le intercettazioni – salvo che risultino indispensabili per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza – non opera con riferimento ai risultati relativi a reati che risultino connessi ex art. 12 c.p.p., a quelli in relazione ai quali l’autorizzazione era stata ab origine disposta, sempreché rientrino nei limiti di ammissibilità previsti dalla legge”.

[18] Le espressioni sono ancora di G. M. Flick, op. cit.

[19] Per approfondimenti sull’art. 15 Cost. v., ex multis, S. Ruscica, I diritti della personalità, Padova, CEDAM, 2013.

[20] Cfr. G. M. Flick, op. cit.

CONDIVIDI
Articolo precedenteL’intellettuale, la violenza e questo mondo in bilico
Articolo successivo20 maggio 1970: i diritti entrano in fabbrica
Francesco Battista
Dopo la Laurea magistrale in Giurisprudenza, conseguita con lode nel 2016 presso l’Università del Salento, ha sostenuto il tirocinio di diciotto mesi previsto dell’art. 73 del d.l. 69/2013 presso l’Ufficio del Giudice per le indagini preliminari del Tribunale di Lecce. Successivamente, ha frequentato per un anno il corso di approfondimento giuridico “Lexfor”, tenuto dai Presidenti di Sezione del Consiglio di Stato F. Caringella e R. Garofoli e dal Consigliere della Corte dei Conti M. Fratini. Ha sostenuto, nel giugno 2019, le prove scritte del Concorso per magistrato ordinario, indetto con decreto ministeriale 10 ottobre 2018, di cui attende tuttora i risultati. È un amante della politica, del cinema d’autore e della buona birra.

LASCIA UN COMMENTO

Inserire commento
Inserire nome qui