È stata presentata oggi la proposta di legge dal titolo “Disciplina dell’uso dei captatori legali nel rispetto delle garanzie individuali” che stabilisce limiti e condizioni con i quali le forze dell’ordine potranno utilizzare nel corso delle indagini veri e propri trojan a fini di intercettazioni .
Il testo è stato presentato dal Gruppo Civici e Innovatori e sarà disponibile online per un mese e mezzo, al fine di raccogliere commenti e suggerimenti: lo scopo è quello di fornire alle forze dell’ordine e alla magistratura uno strumento ulteriore nel corso delle indagini nei confronti di terrorismo e mafie, ed in particolare per cercare di contrastare quelle organizzazioni criminali dotate di strumenti tecnologici avanzati.
I cosiddetti “captatori informatici” oggetto della normativa sono dei software installabili nei dispositivi elettronici portatili (personal computer, tablet, smartphone e via elencando) a scopo di tecnocontrollo , in sostanza veri e propri malware, ma al servizio delle forze dell’ordine che con essi possono accedere e prendere il controllo dei dispositivi dell’intercettato. In quanto tali sono già in utilizzo da parte delle autorità: un esempio è il caso Luigi Bisignani nel corso dell’inchiesta sulla P4, nel quale un trojan ha trasformato il PC dell’uomo in una microspia.
Dal punto di vista legale si tratta di uno strumento di intercettazione atipico , in quanto non esplicitamente previsto dalla nostra normativa di settore: finora era stata pertanto la giurisprudenza ad intervenire piegando le leggi esistenti, come nella Sentenza n. 26889 all’interno della quale la Corte suprema di Cassazione dava sostanzialmente il via libera all’utilizzo di tale software spia quando si tratta di intercettare le comunicazioni di pericolosi criminali tecnologicamente aggiornati, “limitatamente ai procedimenti per delitti di criminalità organizzata”, autorizzando l’installazione dei captatori anche in abitazioni private senza alcuna “attività criminosa” in corso d’opera sul momento.
Si tratta tuttavia di una soluzione temporanea in attesa che sia il legislatore ad occuparsi della questione: non solo perché l’utilizzo di tale strumento è destinato a diventare sempre più pervasivo (basti pensare alla diffusione dei dispositivi connessi e al contempo al livello di cifratura delle comunicazioni via smartphone), ma anche perché la necessità da parte delle autorità di utilizzare nel corso di alcuni tipi di indagine i cosiddetti captatori informatici deve essere controbilanciata con adeguate salvaguardie che tengano conto della privacy degli utenti .
La nuova normativa, che rappresenta la conclusione di un confronto tra magistratura, forze dell’ordine, giuristi ed esperti tecnologici iniziato nel 2015, cerca di andare proprio in questa direzione, prevedendo tutele e garanzie per i soggetti che durante le indagini penali sono intercettate tramite trojan: innanzitutto si stabilisce che gli unici reati per cui è possibile sfruttarli sono “criminalità organizzata di stampo mafioso o con finalità di terrorismo”, quando “non è possibile distinguere un ambito di attività o di vita personale estraneo all’associazione criminale”. Inoltre l’uso del trojan non può essere disposto solo dal pubblico ministero, ma deve essere autorizzato dal giudice per le indagini preliminari “soltanto quando risultino indispensabili, essendo inadeguato ogni altro mezzo di ricerca della prova”.
Dal punto di vista tecnico è prescritto inoltre che gli strumenti informatici utilizzati assicurino che i dati presenti sul dispositivo non vengano alterati o modificati e che i dati acquisiti siano conformi a quelli presenti sul dispositivo in questione: per questo è previsto il rispetto di determinati requisiti tecnici che dovranno essere stabiliti “con regolamento del Ministro della Giustizia e su parere conforme del Garante per la Protezione dei dati personali”, l’ istituzione di un sistema di omologazione affidato all’Istituto superiore delle comunicazioni e delle tecnologie dell’informazione (ISCOM), l’obbligo di deposito dei codici sorgenti presso un ente ancora da stabilire, sistema che consenta alle parti di richiedere ed eseguire in modo indipendente la verifica del processo di omologazione dei dati raccolti e la catalogazione degli strumenti nel Registro nazionale dei captatori informatici .
Disposizione che rischia invece di creare polemiche è invece quella che prevede la possibilità da parte del giudice di autorizzare, sulla base di motivazioni, l’installazione su dispositivi di “soggetti non indagati”: in questo caso il monitoraggio va notificato agli utilizzatori del dispositivo bersaglio entro 40 giorni dall’inizio dell’attività, con la possibilità di prorogare tale scadenza fino ad un massimo di 12 mesi.
Claudio Tamburrino