Al Senato sono in corso le audizoni sulle intercettazioni e l’ingegner Paolo Reale, che si è occupato anche del caso Palamara, ha spiegato il funzionamento dei captatori informatici e messo in luce la mancanza di regole. Giulia Bongiorno: «Serve una nuova disciplina specifica»
I captatori informatici, i cosiddetti Trojan, sono uno strumento d’indagine essenziale per il contrasto alla criminalità ma anche estremamente invasivi nella privacy dei cittadini e manca un vero controllo sul loro funzionamento.
A farlo emergere è stata l’audizione di Paolo Reale, ingegnere e consulente informatico in molti procedimenti penali, che ha curato anche il caso delle intercettazioni via trojan dal cellulare dell’ex magistrato, Luca Palamara.
Reale è stato ascoltato dalla commissione Giustizia del Senato, che sta approfondendo il tema, in attesa della riforma delle intercettazioni che il ministro della Giustizia, Carlo Nordio, ha più volte annunciato.
Cosa è e come funziona
Reale ha spiegato che il trojan è un applicativo che viene installato con l’inganno nel cellulare degli intercettati, nella maggior parte dei casi attraverso un link che gli viene inviato dalla sua compagnia telefonica e apparentemente innocuo.
Ne esistono di diversi tipi e, a seconda di quale viene installato, cambia l’invasività dello strumento. «Alcuni registrano, accedendo solo al microfono del cellulare che possono accendere o spegnere a comando degli inquirenti. Altri possono accedere anche alla fotocamera, scattando foto e creando video, poi si può accedere anche agli sms o alla messaggistica istantanea, infine al gps e poi anche ispezionare il contenuto del cellulare e i documenti e le immagini che contiene», ha spiegato Reale. A seconda del tipo di trojan scelto dalla procura, dunque, il prodotto multimediale ottenuto è diverso.
Addirittura, ha aggiunto Reale, esiste anche l’ipotesi di strumenti – mai usati in Italia – che possono acquisire i privilegi di amministratore e quindi sono in grado di creare o alterare il contenuto del cellulare.
Alla fine della captazione, il trojan viene rimosso da chi lo ha installato e diventa di fatto irrintracciabile sul cellulare intercettato, perchè l’applicazione non lascia tracce. Questo crea dei problemi, «perchè questo rende decisamente difficile ricostruire ex post cosa il captatore ha fatto», ha spiegato Reale.
Quanto al funzionamento: il trojan registra sul cellulare, crea dei file con le informazioni raccolte e poi le trasmette al server in cui confluiscono. Per questo, «per un tecnico informatico non è importante dove sta il server, che oggi deve fisicamente essere dentro una procura della repubblica, ma come si accede, così che solo chi ha diritto possa farlo».
La commissione mai sitituita
Inoltre, il servizio di installazione dei trojan, l’utilizzo della app e la conservazione dei dati viene affidata ad aziende private, che offrono questo tipo di prestazione alle procure.
Questo apre un enorme buco nero ancora mai colmato: il decreto del 2017 prevedeva l’istituzione di un tavolo tecnico per monitorare le prestazioni sia sotto il profilo tecnico che della funzionalità, ma non è mai stato istituito.
Inoltre, a fronte di un costo significativo per la prestazione del servizio, non esiste un tracciamento puntuale che fornisca dei numeri, ma solo i dati di qualche procura che ha disposto il monitoraggio. «Ad oggi in Italia è impossibile sapere quanti trojan sono attivi e per quanto tempo lo siano stati», a detto Reale.
Nessun controllo
Inoltre, non esiste nemmeno alcun controllo previsto per legge sulle società private fornitrici del servizio.
La normativa del dicembre 2022 prevede obblighi per fornitori di prestazioni, ma mancano le verifiche e si procede solo con autocertificazioni.
Tradotto: non esistono garanzie che il sistema acquistato da una procura sia conforme agli standard di legge.
Questo apre a molti potenziali problemi di sicurezza dei dati, con il rischio che possano essere acquisiti da soggetti che non potrebbero venirne a conoscenza, con rischi per la privacy.
«Le società di noleggio, potenzialmente, possono conoscere i contenuti delle intercettazioni che svolgono e la fuga di notizie è possibile», ha detto Reale, rispondendo alla domanda di un senatore. «Tecnicamente si può impedire che i contributi intercettati siano letti o ascoltati, basta utilizzare una chiave di criptazione. Tuttavia, attualmente questa criptazione non è prevista, dunque quando il materiale viene depositato sul server è “in chiaro” ed è ascoltabile a chiunque possa accedervi».
A mancare, poi, è anche un registro delle attività effettuate dal trojan, che permetta ex post di capire in modo certo che cosa è stato ascoltato, scaricato e registrato dal cellulare. «Il tracciamento di tutte le attività fatte del trojan aiuterebbe a capire, almeno a posteriori, dove ha funzionato» e in particolare se, per esempio, abbia registrato in luoghi in cui serviva autorizzazione ex ante, come il parlamento.
Le reazioni
La relazione tecnica ha provocato la reazione della presidente della commissione, la leghista Giulia Bongiorno, che ha detto che «l'indagine conoscitiva sulle intercettazioni ha fatto emergere alcuni elementi inquietanti in merito alla possibilità di manipolare i dati di un cellulare attraverso le captazioni con i trojan. Mi sembra evidente che, sebbene si tratti di una astratta possibilità, il legislatore debba prevedere una disciplina specifica per questi strumenti captativi ben più invasivi delle intercettazioni telefoniche».
Lo stesso ha detto anche il forzista Pierantonio Zanettin, che ha definito «molto grave» quanto emerso in audizione, in particolare la mancata attivazione del tavolo tecnico di monitoraggio. «Credo che a questa inaccettabile inerzia dei governi che si sono nel tempo succeduti dovrà a questo punto supplire la Commissione Giustizia per arrivare alle modifiche normative necessarie per garantire i cittadini da abusi di un mezzo di investigazione così delicato ed intrusivo».
© Riproduzione riservata
