L’uso del captatore informatico, il c.d. “Trojan di Stato”, suscita molti interrogativi in merito alla tutela dei diritti e delle libertà personali e deve essere bilanciato con le esigenze degli inquirenti per le indagini sui “gravi reati”. Come ha dimostrato il “Caso Exodus”, non va sempre tutto bene: basta infatti un errore nella gestione del captatore che l’integrità morale dei cittadini viene lesa.
Premessa
L’utilizzo del captatore informatico suscita molteplici e contrastanti reazioni nel dibattito politico e giuridico – oltre ad una nutrita gamma di “fake news” – soprattutto perché ritenuto lesivo delle libertà personali e del diritto alla privacy delle persone non indagate che possono essere “captate”.
La questione, in realtà, è più complessa: se da un lato occorre evitare la lesione morale dell’indagato, dall’altro lato vi sono esigenze procedurali per delitti ritenuti particolarmente gravi.
Il bilanciamento non è semplice, anche a causa di un quadro normativo complesso e, forse, non esaustivo.
L’articolo propone un’analisi sul tema, partendo dagli aspetti meramente informatici sino alla giurisprudenza recente ed al “Caso Exodus”.
Cosa si intende per “captatore informatico”
La denominazione tecnica del captatore informatico è “Trojan horse” ed è un malware che viene inoculato in un device(ad esempio: smartphone, computer, tablet) della persona sottoposta alle indagini.
Tale strumento permette il controllo da remoto di tutte le attività esplicate mediante il dispositivo target, violando eventuali difese ed introducendosi nello stesso. Una volta installato, il captatore informatico assumerà la gestione dell’intero sistema, superando i privilegi necessari al dialogo con l’hardware e diventando – de facto – l’amministratore del sistema in questione.
Con l’acquisizione dei “poteri di amministrazione” il captatore accederà ad una gamma pressoché illimitata di informazioni, presenti e future, effettuando – ad esempio – screenshot dello schermo, registrando ogni attività della tastiera, copiando i dati contenuti nella memoria[1].
Il materiale intercettato è successivamente trasferito, con procedure che ne assicurano l’integrità, in un archivio digitale. Inoltre al termine delle operazioni il captatore è disattivato.
Come chiarisce un esperto di informatica forense: «I captatori non sono altro che dei software – dei programmi, in sostanza – più simili concettualmente a un malware che a normali App, benché talvolta possano usare normali App come vettori o mascherarsi dietro esse. Come qualunque programma, per PC/Mac o smartphone, i captatori assumono nell’immaginario comune spesso il ruolo di “virus” o “trojan” e per poter infettare un dispositivo e rimanere attivi devono sottostare ai vincoli imposti dal Sistema Operativo, che tende a essere sempre più restrittivo in quanto a permessi e potenzialità d’accesso delle applicazioni a tutela dell’utente»[2].
Brevi cenni normativi
L’art. 267 comma 2 bis del codice di rito sancisce che: «Nei casi di cui al comma 2, il pubblico ministero può disporre, con decreto motivato, l’intercettazione tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile soltanto nei procedimenti per i delitti di cui all’articolo 51, commi 3-bis e 3-quater e per i delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell’articolo 4 (…)».
I casi di cui al citato comma 2 del medesimo articolo sono quelli caratterizzati da urgenza, dal fondato motivo di ritenere che il ritardo possa arrecare un grave pregiudizio alle indagini.
Con il D.lgs. n. 216/2017 il Legislatore prevede in modo inequivocabile il ricorso al captatore informatico, per le indagini condotte sui gravi reati, modificando così il comma 2 dell’art. 266 c.p.p.: «Negli stessi casi è consentita l’intercettazione di comunicazioni tra presenti che può essere eseguita anche mediante l’inserimento di un captatore informatico su un dispositivo elettronico portatile (…)».
L’intercettazione a mezzo del captatore è consentita, per le comunicazioni tra presenti in un domicilio privato, solo se sussiste il fondato motivo di ritenere che sia in corso lo svolgimento di un’attività criminosa. A tale principio fannoeccezione le indagini per i reati “di grave allarme sociale” (art. 51 commi ter e quater c.p.p.), per i quali è possibile “captare” – nel privato domicilio – anche se non si ravvisano indizi di suddette attività criminose[3].
La legge c.d. “Spazza corrotti” integra l’elenco dei reati per i quali si consente l’uso del “Trojan horse” con i delitti dei pubblici ufficiali contro la P.A., se puniti con la pena della reclusione non inferiore nel massimo a cinque anni.
A completezza di questa previsione normativa il decreto legge n. 161/2019 (convertito con modifiche con la L. n. 7/2020) aggiunge, coi i medesimi requisiti di pena edittale, i delitti degli incaricati di pubblico servizio[4].
La giurisprudenza recente sul captatore informatico
A partire dal 2016 la Corte di Cassazione si è pronunciata sul captatore informatico per delineare i confini del suo impiego, sia in termini di fattispecie di reato cui è applicabile sia in rapporto alle libertà personali.
Il rischio di abusi, infatti, è concreto in quanto: «È noto che i Trojan sono software “malevoli” perché, all’insaputa del target, sono “iniettati” su pc o dispositivi mobili per captare conversazioni, immagini, messaggi, e anche spostamenti e incontri potendo registrare con videocamera»[5].
In merito all’impiego del “Trojan di Stato” si enucleano, ex multis, le seguenti pronunce giurisprudenziali della Corte di Cassazione.
Sentenza Cassazione SS.UU. n. 26889 del 28/04/2016
La sentenza n. 26889 del 28/04/2016 (la c.s. “Sentenza Scurato”) con la quale le Sezioni Unite penali stabiliscono che l’uso del captatore informatico, al fine di intercettare le conversazioni tra presenti, è consentito esclusivamente per i reati di criminalità organizzata. È così chiarita la spinosa questione delle intercettazioni telematiche, mediante il “Trojan horse”, limitata ai procedimenti citati.
L’installazione in dispositivi portatili, come smartphone o tablet, suscitava dubbi di legittimità per le intercettazioni che venivano “captate”. Si presentava, infatti, il problema della mobilità di tali device, che potevano trovarsi anche fuori dai luoghi di privata dimora mentre il captatore era in funzione. Ne derivava l’ovvia probabilità di coinvolgimento di soggetti terzi nell’intercettazione. I profili da tutelare erano molteplici: da un lato l’integrità delle indagini e dall’altro i diritti – come la privacy – delle persone coinvolte.
Le Sezioni Unite precisano che tale utilizzo del captatore informatico è possibile per i reati di criminalità organizzata, intesi come: «Non solo quelli elencati nell’art. 51, commi 3 bis e 3 quater, c.p.p., ma anche quelli comunque facenti capo a un’associazione per delinquere ex art. 416 c.p., correlata alle attività più diverse, con esclusione del mero concorso di persone»[6].
Sentenza Cassazione V sezione n. 31064 del 23/09/2020
La sentenza n. 31064 del 30 settembre 2020 della Quinta Sezione, che ribadisce quanto già espresso nelle sopracitate Sezioni Unite, legittimando le intercettazioni tra presenti condotte a mezzo del trojan installato in un dispositivo portatile. Le situazioni ove il captatore informatico intercetti conversazioni di cui è vietata la captazione (ad esempio quelle con il difensore), oppure origini atti lesivi della dignità umana, non incideranno sul decreto bensì sulle risultanze delle specifiche intercettazioni lesive di tali principi.
Il trojan è un mero strumento moderno, impiegato per la realizzazione delle intercettazioni, pertanto: «va escluso che il captatore informatico possa inquadrarsi tra “i metodi o le tecniche” idonei ad influire sulla libertà di determinazione del soggetto, come tali vietati dall’art. 188 cod. proc. pen.”dal momento che lo stesso «non esercita alcuna pressione sulla libertà fisica e morale della persona, non mira a manipolare o forzare un apporto dichiarativo, ma, nei rigorosi limiti in cui sono consentite le intercettazioni, capta le comunicazioni tra terze persone, nella loro genuinità e spontaneità»[7].
Si tratta di una sentenza importante anche perché classifica il captatore come una modalità tecnica con cui effettuare le intercettazioni e non un autonomo mezzo di ricerca della prova, pertanto non rileva la disciplina delle “prove atipiche”[8].Nel decisum il Supremo consesso precisa inoltre che l’intercettazione con il trojan si fonda su due criteri: le indagini devono riguardare il crimine organizzato e l’impossibilità di rivolgersi ad altri strumenti.
Sentenza Cassazione V sezione n. 10981 del 30/09/2020
La sentenza n. 10981 emessa sempre il 30 settembre 2020 dalla Quinta Sezione Penale legittima l’intercettazione tra presenti, tramite il captatore informatico, installato in un dispositivo portatile, nell’ambito di indagini per delitti di criminalità organizzata, senza che vi sia stata la necessaria preventiva individuazione dei luoghi in cui la captazione deve essere espletata.
Sentenza Cassazione IV sezione n. 10080 del 01/01/2020
La sentenza n. 10080 del 1 gennaio 2020 con la quale la Quarta Sezione conferma l’ampliamento dell’utilizzo del captatore – deciso con la c.d. legge “Spazza corrotti” – anche nel caso in cui si debba procedere contro il privato corruttore nei delitto dei pubblici ufficiali contro la P.A[9].
Il “Caso Exodus” e l’intervento del Garante della Privacy
L’utilizzo del captatore informatico può sconfinare in una vera e propria “cattiva gestione”, capace di arrecare danni e pregiudizi ai soggetti coinvolti. Un esempio lampante è il c.d. “Cado Exodus” del 2019, che ha leso la privacy di numerosi cittadini a causa di un malfunzionamento del captatore.
Exodus è un malware utilizzato come captatore dal Ministero degli Interni e dai servizi segreti, noto alla cronaca a seguito di un’inchiesta del programma televisivo Report del 18 novembre 2019.
I giornalisti hanno scoperto che: «Tale software non solo era in grado di controllare moltissime funzionalità del device infettato, ma, una volta installata l’applicazione contenente il malware, il sistema non verificava se il dispositivo potesse essere legittimamente intercettato o no (…). Si ipotizza che quasi quattrocento utenti siano stati intercettati illegalmente»[10].
Come ha specificato il Garante della Privacy, si tratta di un caso grave che evidenzia la pericolosità di questi strumenti informatici – che nonostante la loro indiscussa utilità ai fini delle indagini per gravi reati – rischiano di avere una contropartita elevata in termini di diritti e libertà personali.
Nel commentare la vicenda in esame lo stesso Garante ha ribadito la necessità di introdurre adeguate garanzie nella scelta dei software, al fine di evitare nuove violazioni[11].
Questo articolo è stato scritto da un’articolista di DirittoConsenso, partner di LegalTech Italia.
Bibliografia
Giorli R., Le intercettazioni: il loro impiego quale mezzo di ricerca della prova, www.dirittoconsenso.it, 2001.
Marchi A., Paolo Dal Checco: come funziona il captatore, www.forensicnews.it, 2021.
Morelli C., Trojan di stato, le novità della legge di conversione sul DL intercettazioni, www.altalex.it, 2020.
Palmiotto F., Captatori informatici e diritto alla difesa. Il caso Exodus, www.lalegilazionepenale.eu, 2020.
Redazione L’Eurispes, Trojan e Spyware: ecco come funzionano e quali sono i rischi, www.leurispes.it, 2019.
Stampanoni Bassi G., Il captatore informatico (cd. trojan horse) non rientra tra i metodi o le tecniche idonei ad influire sulla libertà di autodeterminazione del soggetto, www.giurisprudenzapenale.com, 2020.
www.brocardi.it.
Fonte: “Caso Exodus” – Software spia: Soro, fatto gravissimo, www.garanteprivacy.it, 2019.
www.dejure.it
[1] Redazione L’Eurispes, Trojan e Spyware: ecco come funzionano e quali sono i rischi, www.leurispes.it, 18/11/2019.
[2] A. Marchi, Paolo Dal Checco: come funziona il captatore, www.forensicnews.it, 27/04/2021.
[3] R. Giorli, Le intercettazioni: il loro impiego quale mezzo di ricerca della prova, www.dirittoconsenso.it, 15/09/2021; C. Morelli, Trojan di stato, le novità della legge di conversione sul DL intercettazioni, www.altalex.it, 28/02/2020.
[4] C. Morelli, cit.
[5] Ibidem.
[6] Fonte: www.dejure.it.
[7] G. Stampanoni Bassi, Il captatore informatico (cd. trojan horse) non rientra tra i metodi o le tecniche idonei ad influire sulla libertà di autodeterminazione del soggetto, www.giurisprudenzapenale.com, 15/11/2020.
[8] Si tratta delle prove previste all’art. 189 c.p.p., rubricato “Prove non disciplinate dalla legge”, assunte dal giudice -e sentite le parti – se risultano idonee ad assicurare l’accertamento dei fatti e non pregiudicano la libertà morale della persona.
[9] Fonte: www.dejure.it.
[10] F. Palmiotto, Captatori informatici e diritto alla difesa. Il caso Exodus, www.lalegilazionepenale.eu, 16/10/2020.
[11] Fonte: “Caso Exodus” – Software spia: Soro, fatto gravissimo, www.garanteprivacy.it, 30/03/2019.