E’ del 30 aprile scorso la pubblicazione da parte del Garante Privacy di una “Segnalazione al Parlamento e al Governo sulla disciplina delle intercettazioni mediante captatore informatico”.

L’Autorità Garante si è sentita in dovere di intervenire dopo le vicende finite, in tutte le cronache, riguardanti il software Exodus, un worm o trojan particolarmente insidioso, che è stato utilizzato anche dalle forze dell’ordine italiane.

L’Autorità Garante dei Dati Personali è costretta a ricordare l’ovvietà facendo presente (naturalmente lo fa con garbo, come è confacente a organi istituzionali) che un trojan o qualunque software del genere non è un registratore con la cassetta che ha il solo compito di registrare le conversazioni pur potendosi infilare in qualunque dispositivo smart, ma è ben di più, potenzialmente molto di più.

Il richiamo del Garante si riferisce alla recente legislazione sulle intercettazioni mediante captatori informatici (vedi La riforma delle intercettazioni telefoniche di cui al D. Lgs. 216/2017 - Parte III°") che, afferma, è stata costruita senza tenere in considerazione, se non in minima parte, i suggerimenti proposti dallo stesso Garante.

Purtroppo appare evidente come la preparazione del legislatore, come spesso anche della magistratura, non sia adeguata alla velocità con cui si creano le novità in ambito informatico.

 

Captatore come intercettatore di comunicazioni

Eh si, perché a ben considerare la legislazione sul captatore informatico, pare evidente che esso sia stato considerato come un registratore di conversazioni e, al più, di altre comunicazioni. L’art. 266 c.p.c. fa parte del Capo V titolato “Intercettazioni di conversazioni o comunicazioni” e detta i limiti di ammissibilità della intercettazione. Il successivo art. 266-bis “Intercettazioni di comunicazioni informatiche o telematiche” permette l’uso per alcuni reati di “tecnologie informatiche o telematiche”, con le quali intercettare “il flusso di comunicazioni relativo a sistemi informatici o telematici ovvero intercorrente tra più sistemi”.

Successivo decreto (Ministero della Giustizia Decreto 20/04/2018) ministeriale ha stabilito le modalità tecniche ed attuative dell’utilizzo di questi strumenti di indagine, sempre tenendo presente che lo scopo sia quello di “registrare comunicazioni”.

Le captazioni possono essere affidate anche a società esterne in outsourcing.

Ma siamo sicuri che una intercettazione sia legale se il trojan utilizzato all’interno di uno smartphone non solo registra le conversazioni telefoniche ma recupera tutta la messaggistica, legge le email, anche quelle precedenti all’installazione, recupera i file immagini, tutte le fotografie, volendo le scatta anche, registra video, prende nota della posizione geografica e degli impegni in calendario e chi più ne ha più ne metta.

 

Captatore informatico mette a rischio la sicurezza dell’apparecchio.

Non solo. Non è finita. I captatori informatici, o meglio, software di questo genere, possono prendere possesso del dispositivo, simulare attività e addirittura cancellare la sua attività o presenza all’interno di quel dispositivo.

Un potenziale utilizzo distorto di questa enorme potenzialità è evidente. Se male utilizzato arriva alla intercettazione di massa come alla raccolta dati in massa di fasce di popolazione. Niente di tutto ciò è regolato e normato (se non in negativo, nel senso che non si può fare).

Eppure la cronaca ci racconta che succede, che è successo.

Lo ricorda anche il Garante Privacy affermando: “Alcuni agenti intrusori sarebbero, infatti, in grado non solo di "concentrare", in un unico atto, una pluralità di strumenti investigativi (perquisizioni del contenuto del pc, pedinamenti con il sistema satellitare, intercettazioni di ogni tipo, acquisizioni di tabulati) ma anche, in talune ipotesi, di eliminare le tracce delle operazioni effettuate, a volte anche alterando i dati acquisiti”.

Si pone evidentemente un problema di autorizzazione per l'utilizzo di un tale mezzo di prova.

 

Il caso Exodus, un vero e proprio malware

Exodus pare sia stato sviluppato da un’azienda calabrese ed asceso agli onori della cronaca perché avrebbe infettato centinaia (pochi, per fortuna) di apparecchi Android, che avevano scaricato dal play store di Google alcune specifiche app infette.

Dalle analisi eseguite da Security Without Borders il malware Exodus aveva queste caratteristiche: una volta insediatosi su un dispositivo mobile Android, poteva collegarsi con un server remoto in attesa di ricevere istruzioni, poteva recuperare la lista delle applicazioni installate, registrare audio ambientale, recuperare la cronologia di navigazione e leggere altri dati dal browser, leggere il registro delle chiamate, estrarre gli eventi dal calendario, registrare le chiamate telefoniche, scattare foto, individuare la posizione, leggere la rubrica, registrare i contatti dall'applicazione Facebook, leggere le conversazioni di Facebook Messenger, acquisire uno screenshot in qualsiasi momento, estrarre informazioni sulle immagini dalla galleria, leggere la posta gmail, estrarre registri di chiamate, i contatti e messaggi dall'app Skype, recuperare tutti i messaggi SMS, ottenere non solo i messaggi ma anche la chiave di crittografia di Telegram, scaricare i dati dall'app Viber, leggere tutti i dati WhatsApp, ottenere la password della rete WiFi, e altro.

Prendeva tutti questi dati e li scaricava in un server cloud, pare Amazon.

Non è questo il problema. Molti virus e malware esistono in circolazione.

 

Se Exodus viene usato per indagini penali

Il problema sorge se, come si apprende da organi di stampa, del suddetto sotfware si sono serviti Guardia di Finanza, Carabinieri e Polizia di Stato.

Qui interviene il Garante Privacy.

Dati delicatissimi depositati in un server cloud tanto che il Garante scrive: “estremamente pericoloso è l’utilizzo - che, pure, parrebbe essere stato fatto nei casi all’esame degli inquirenti - di sistemi cloud per l’archiviazione, addirittura in Stati extraeuropei, dei dati captati. La delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale costituisce, infatti, un evidente vulnus non soltanto per la tutela dei diritti degli interessati, ma anche per la stessa efficacia e segretezza dell’azione investigativa”.

Con le caratteristiche su evidenziate, inoltre, l’apparecchio infettato diventava non sicuro, creando danno, quindi, all’intercettato.

Il Garante ricorda che aveva espresso in un proprio parere la necessità del rispetto di tutta una serie di indicazioni come, ad esempio, limiti di tempo e luogo della intercettazione, uso di captatori che non abbassessero la sicurezza del dispositivo, e altro (si rimanda alla lettura del provvedimento).

Alcune ulteriori considerazioni.

Il software, in genere, viene ancora gestito come fosse un gran gioco, un divertimento da ragazzi smanettoni in grado di fare meraviglie, addirittura spiare o entrarti dentro casa. Si dimentica che un software può far cadere un aereo, spegnere una sala operatoria, disattivare un sistema di allarme.

Il software è l’arma della nuova tattica di guerra e qualcuno va chiedendo che i trojan vengano considerati armi a tutti gli effetti, dotati della medesima regolamentazione.

Qualcuno forse ancora ignora che esiste una cosa chiamata cyberwar (vedi Guerra cibernetica in wikipedia) che è già oggetto di interventi normativi specifici e studi e il Pentagono tempo fa ha dichiarato che un attacco informatico è da considerarsi un atto di guerra al quale si può rispondere anche con mezzi più convenzionali (un bombardamento aereo, per dire).

Una delle basi dell’utilizzo di un software è sapere cosa fa. Quindi avere i codici sorgenti ed analizzarne attentamente il comportamento. Sono sempre più sofisticati e, se vogliamo, intelligenti. Superato il momento del “sono ragazzi, suvvia”, è il caso che qualunque software in uso della PA sia certificato in una qualche maniera e che il codice sorgente sia depositato da qualche parte a fare da garanzia per eventuali manomissioni. L’outsoucing, infine, mette nelle mani di esterni strumenti potenzialmente offensivi e non solo di indagine.

Il Garante Privacy non lo dice espressamente, ma la ratio è che è necessario riprendere il controllo.