Trojan di Stato inserito nel codice di procedura penale

pexels-photo-90837 Lo scorso 14 giugno con 267 sì e 136 contrari la Camera dei Deputati ha approvato in via definitiva la legge di riforma del codice penale, del codice di procedura penale e dell’ordinamento penitenziario. Poco però si sa della legalizzazione del “Trojan di Stato” – comma 84 lettera e) – ovvero di captatori informatici che possono essere inseriti in smartphone, computer, apparecchi tv, perfino automobili e in tutti gli altri strumenti connessi a internet e che consentono di assumere il totale controllo da remoto dell’apparecchio infettato con conseguente possibilità di accedere a tutto il suo contenuto (contatti, email, dati di navigazione, comunicazioni telefoniche, chat, file, foto ecc.) e di attivare, sempre da remoto, il microfono o la telecamera, trasformando il cellulare o la playstation in uno strumento di intercettazione.

Il Governo con questa norma intende disciplinare le intercettazioni di comunicazioni o conversazioni tra presenti mediante immissione di captatori informatici (cd. Trojan di Stato) in dispositivi elettronici portatili (pc, device, in teoria anche elettrodomestici). Di seguito i criteri:

  • l’attivazione del microfono deve avvenire solo in conseguenza di apposito comando inviato da remoto e non con il solo inserimento del captatore informatico, nel rispetto dei limiti stabiliti nel decreto autorizzato del giudice;
  • la registrazione audio deve essere avviata dalla polizia giudiziaria (o dal personale incaricato su indicazione della polizia giudiziaria), tenuta a indicare l’ora di inizio e fine della registrazione, secondo circostanze da attestare nel verbale descrittivo delle modalità di effettuazione delle operazioni (ex art. 268 c.p.p.);
  • l’attivazione del dispositivo è sempre ammessa nel caso in cui si proceda per i gravi delitti di cui all’art. 51, commi 3-bis e 3-quater c.p.p.
    fuori da questi casi, l’attivazione del dispositivo è disposta nel domicilio soltanto in caso di svolgimento in corso di attività criminosa, nel rispetto dei requisiti previsti per le intercettazioni telefoniche (art. 266, co.1, c.p.p.);
  • in ogni caso il decreto autorizzativo del giudice deve indicare le ragioni per le quali tale specifica modalità di intercettazione sia necessaria per lo svolgimento delle indagini;
  • il trasferimento delle registrazioni è effettuato soltanto verso il server della Procura, così da garantire originalità ed integrità delle registrazioni; al termine della registrazione il captatore informatico è disattivato e reso definitivamente inutilizzabile su indicazione del personale di polizia giudiziaria operante;
  • siano utilizzati soltanto programmi informatici conformi a requisiti tecnici stabiliti con decreto ministeriale da emanarsi entro 30 giorni dalla data di entrata in vigore dei decreti legislativi di attuazione, che tenga costantemente conto dell’evoluzione tecnica al fine di garantire che tale programma si limiti ad effettuare le operazioni espressamente disposte secondo standard idonei di affidabilità tecnica, di sicurezza e di efficacia;
  • in caso di urgenza, il PM possa disporre l’intercettazione con queste specifiche modalità, limitatamente ai gravi delitti di cui all’art. 51, co. 3-bis e 3- quater c.p.p., con successiva convalida del giudice entro 48 ore, sempre che il decreto d’urgenza dia conto delle specifiche situazioni di fatto che rendano impossibile la richiesta al giudice e delle ragioni per le quali tale specifica modalità di intercettazione sia necessaria per lo svolgimento delle indagini; i risultati intercettativi così ottenuti possano essere utilizzati a fini di prova soltanto dei reati oggetto del provvedimento autorizzativo e possano essere utilizzati in procedimenti diversi a condizione che siano indispensabili per l’accertamento dei delitti per i quali è previsto l’arresto obbligatorio in flagranza (ex art. 380 c.p.p.); non possano essere in alcun modo conoscibili, divulgabili e pubblicabili i risultati di intercettazioni che abbiano coinvolto occasionalmente soggetti estranei ai fatti per cui si procede.

In un mondo sempre più tecnologico e connesso la minaccia criminale informatica è sempre più in aumento, tanto che il costo del cybercrimine nell’economia globale si aggira tra i 375 e i 575 miliardi di dollari. E non fa che crescere, quindi ben venga l’attivazione di captatori informatici ma con prudenza. Secondo la Convenzione di Budapest sulla criminalità informatica – recepita nel codice di procedura penale con la legge 48/2008 – le attività di indagine (pensiamo l’analisi di un hard disk in sequestro o a una perquisizione informatica) devono assicurare la conservazione dei dati originali e impedirne l’alterazione. Tuttavia il trojan  manomette immediatamente, sin dal momento della sua installazione nel device target, e alterandolo irrimediabilmente rende carente (dal punto di vista della “genuinità”) qualsiasi operazione successiva. Una possibile soluzione che il Governo dovrebbe prendere seriamente in considerazione, per non violare la Convenzione di Budapest, è la progettazione del trojan in modo che non fosse possibile “uscire dal seminato” al fine di assicurare la genuinità dei dati  presenti sul dispositivo, impedendo in questo modo ogni possibile alterazione.

Di fatto con questa norma si finisce per dare una copertura giuridica molto ampia a una prassi già da tempo adottata dai tribunali e legittimata finora, ma in modo parziale e incompleto, da poche sentenze della Corte di cassazione. La più importante è la Sezioni unite n. 26889/16, con cui la Corte ha sancito la legittimità, limitatamente ai procedimenti di criminalità organizzata, dell’uso di Trojan di Stato al fine di effettuare intercettazioni di conversazioni tra presenti in luoghi di privata dimora.