Ingegneria informatica investigativa ovvero tecniche squalo della privacy

Ingegneria informatica investigativa ovvero tecniche squalo della privacy

 

Abstract

Per avere cognizione certa che un elemento informatico concepito ed utilizzato in malafede possa essere “rieducato” e riabilitato al bene comune, divenendo Digital Evidence e creare quella fonte di prova digitale, utilizzabile nel processo a fini di accertamento della verità, ad oggi è possibile tramite trojan legittimati.

Abstract

To have certain knowledge that an IT element conceived and used in bad faith can be re-educated and rehabilitated for the common good, becoming digital evidence and to create that source of digital evidence, usable in the process for the purpose of ascertaining the truth, today it is possible trough legitimate trojans.

 

Trojan come Digital Evidence

I virus trojan possono essere utilizzati per prendere il completo controllo del personale dispositivo, mobile o fisso, e svolgere quasi ogni tipologia di operazione tecnica, tra l’altro, per bloccare, modificare e cancellare dati.

Un trojan horse, conosciuto in modo colloquiale virus trojan, nella disciplina che si occupa di sicurezza informatica, è nient’altro che un file malevolo ossia malware che infetta il PC o qualsiasi altro dispositivo elettronico del soggetto-vittima di tale aggressione informatica, avente lo scopo di prendere possesso di ogni dato – come informazione – e di controllo gestionale per quanto concerne l’apparecchio. Parliamo, dunque, di un particolare tipo di malware che la criminalità usa per prendere il controllo pieno di dispositivi vantaggiosi per l’attività criminale.

Il malware trojan horse ha le sembianze apparentemente di un file utile, infatti potrebbe nascondersi in un programma gratuito, un allegato a una mail importante che si deve scaricare sul PC, videogames, applicazioni varie e film. Una volta installato il virus, esso agisce silente senza che il soggetto proprietario o utilizzatore del dispositivo “malato” noti la sua natura e le sue azioni.

Un trojan può essere programmato per svolgere qualsiasi ordine: può trasformare i computer in zombie per inserire il dispositivo all’interno di una botte, ossia, sistema/rete utilizzato da reti criminali per sferrare attacchi informatici a livello internazionale. Ma è anche una spia degna di nota, perché riesce a monitorare qualsiasi attività si svolge sul dispositivo in questione: da tutti i messaggi scritti sulle varie piattaforme, alla geolocalizzazione, passando per la cronologia internet e l’attivazione della videocamera per carpire foto e del microfono per registrare l’audio ambientale.

Non è un caso che essi vengano utilizzati dalle forze dell’ordine nel corso dell’attività investigativa – ne troviamo traccia nelle inchieste sulla P4, nell’omicidio di alcuni procuratori come il dott. Bruno Caccia – o ancora utilizzati come induzione a un certo comportamento ricordando il caso Luca Palamara, o i segreti dell’ex gip Giuseppe De Benedictis, finito in carcere con l’accusa di corruzione in atti giudiziari.

Differentemente da virus tradizionali più conosciuti a livello informatico, i trojan non hanno una diffusione autonoma, ma devono essere scaricati dallo stesso utente che ha un ruolo attivo nella emanazione del programma malevolo. Mantengono la forma di file eseguibili “exe”, “vbs”, “js” e occultano la loro vera origine con dei piccoli meccanismi trabocchetto, come, ad esempio, rinominare il file contenente il trojan con plurime estensioni.

Ad oggi, come spiega il Prof. Luca Marafioti (professore ordinario di diritto processuale penale, Università “Roma Tre”) sulle riviste di diritto specializzate consultate dai magistrati, è in atto un dibattito di confronti sulle modalità e sui limiti di utilizzo del Trojan Horse come mezzo tecnico di “captazione itinerante”, operante nella molteplicità dei luoghi considerati per legge privata dimora che rimangono indeterminabili ex ante. Mentre rimane acerbo il dibattito sulle concrete intercettazioni preventive su determinati reati come mafia e terrorismo.

Secondo Marafioti l’uso del malware come potenziale microspia 2.0 rappresenta una forma di sorveglianza occulta attuabile per mezzo di virus informatici. Sono oramai chiari, da un lato, il funzionamento tecnico-operativo del trojan-horse, e dall’altro, lo sdrucciolevole percorso normativo che ha “spiaggiato” l’odierna disciplina contenuta negli articoli 266 e seguenti del Codice Procedura Penale.

 

Il cronologico temporale del dato normativo

Nonostante l’utilizzo del meccanismo captativo suddetto fosse conosciuto già nel 2007 quando la diffusione raggiunse l’apice massimo, la “dignità normativa” dei “spy-programs”, ovvero programmi di intercettazione intesi come strumento d’indagine, è avvenuta con il Decreto Legislativo 29 dicembre 2017, n. 216, nota come riforma Orlando.

Nell’articolo 13 del Decreto Legge n. 151/1991 si autorizzavano le attività captative anche – in aggiunta – nei luoghi considerati di privata dimora, senza la necessità di “fondato motivo di ritenere che ivi si stia svolgendo l’attività criminosa”.

Per giungere a tale conclusione, la Corte di Cassazione aveva fatto leva sul carattere decisamente itinerante dell’intercettazione di conversazioni eseguita tramite software spia, tale da rendere attuale e concreto il pericolo di autorizzazioni “alla cieca” da parte del giudice per le indagini preliminari.

Da ciò si evidenziava il rischio potenziale che nella rete inquirente entrassero comunicazioni non legittimamente intercettabili poiché avvenute in un contesto domiciliare dove nessun reato veniva consumato (vedi F. Caprioli, in: il “captatore informatico come strumento di ricerca della prova in Italia”, in: Rev. bras. dir. proc. pen., 2017, p. 497).

Nel dichiarato intento di ridare agli operatori del Pubblico Ministero estesi confini di utilizzo del mezzo di ricerca probatorio, la riforma de qua, sceglieva invece, la disciplina solo su scala codicistica, senza prestare attenzione ai moniti giurisprudenziali oltre a consentire senza soluzione di continuità. Il captatore informatico in dispositivi portatili quale mezzo per intercettare comunicazioni tra presenti nei procedimenti per i delitti di cui all’articolo 51, commi 3-bis e 3-quater Codice Procedura Penale, il legislatore introduceva la facoltà di utilizzare il trojan anche per gli altri reati di cui all’articolo 266, comma 1 Codice Procedura Penale. In tale evenienza, l’intercettazione era consentita anche nel luogo di privata dimora, soltanto qualora v’era il requisito della attualità del reato in quel dato luogo.

E ulteriormente – a maggior completezza – il decreto di autorizzazione del G.I.P., oltre al dovere di precisazione sulle “specifiche ragioni che remdono necessaria tale modalità” di indagine, è tenuto ad indicare “i luoghi e il tempo, anche indirettamente determinati, in relazione ai quali è consentita l’attivazione del microfono” come previsto dall’articolo 267 comma 1, Codice Procedura Penale. Il nuovo impianto fu recepito dalle successive reiterate modifiche legis che hanno avuto ad oggetto tale istituto, facendo intendere di avere la piena disponibilità all’amplificazione degli impieghi a titolo d’indagine del virus de quo.

Esempio massimo la Legge n. 3/2019 ossia la riforma Bonafede (Vedi estensione deroghe di cui all’articolo 266, comma 2bis, Codice Procedura Penale).

Su tale mosaico investigativo rimasto in ossidato dalla riforma Cartabia Decreto Legislativo 10 ottobre 2022, n. 150.

Su questo formale equilibrio normativo, attualmente esprime la volontà di cambiamento il Disegno di Legge Zanettin, che propone di elidere quel binario aggiuntivo semplificato con cui viene impiegato il trojan horse, quale mezzo di contrasto dei delitti contro la Pubblica Amministrazione così come da conio a partire dalle riforme del 2019.

Questo modo operativo, non fa si che sia impossibile azionare tout court il captatore informatico nel panorama dei procedimenti relativi a tali delitti, ma solamente l’applicazione del regime “ordinario” previso negli articoli 266 e seguenti. La suddetta disciplina in maniera del tutto concorde in dottrina prevede la possibilità di attivare il meccanismo di cui sopra anche nei luoghi di privata dimora, solo in caso in cui vi sia fondato motivo di ritenere che ivi si stia perpetrando attività criminosa. Tale riforma porta in sé il merito di eludere la parificazione attuata dalla riforma Bonafede, per quanto concerne le regole processuali che vanno a disciplinare l’accertamento, tra reati “distrettuali” – come reati di mafia – e reati commessi da pubblici ufficiali e incaricati di pubblico servizio ai danni della Pubblica Amministrazione.

L’impianto normativo come in illo tempore previsto aveva oltretutto il difetto di arrivare a lambire l’irragionevolezza, ossia si parificavano condotte delittuose quali la criminalità organizzata ed i delitti contro la Pubblica Amministrazione appartenenti a categorie eterogenee messe sotto un minimo comun denominatore in modo semplicistico e fulminante se non scivoloso poiché si arroccava solo sull’“allarme sociale” che tali delitti provocano sull’opinione pubblica. Ed ancora senza dimenticare la circostanza che tale modo normativo rende assai plausibile e concreto il rischio di comportamenti di abuso in capo al soggetto titolato per l’azione penale: la facoltà di utilizzare uno strumento d’indagine onnivoro come le microspie informatiche, per la sola ed unica ragione della preliminare qualifica giuridica del fatto criminoso, in sostanza dava induzione all’accusa di ricorrere in forte tentazione di procedere mediante vertical overcharging, dichiarando addebiti gravissimi per attivare in maniera smodata la super-tecnica d’indagine.

La riforma oggi in discussione men che meno costituisce metodo condiviso ma sicuramente poco efficace o sufficiente ad arginare la debolezza insita nell’attuale disciplina del trojan horse.

Utile sarebbe ripensare e riscrivere un nuovo nucleo normativo dai contorni più estesi che tocchi sensibilmente più angoli della disciplina de qua:

a) l’utilizzo del malware come microspia “2.0”;

b) altre forme di sorveglianza e controllo non palesi attuabili per il tramite di virus.

Rimangono in piedi come supporto tecnico, comunque di supporto all’indagine attività alquanto intrusive nella vita privata e privacy soggettiva, tipiche le perquisizioni di interi archivi informatici, il sequestro consequenziale, l’acquisizione delle digitazioni sulla tastiera e contestuale visualizzazione plurima avvenuta nel video; tecniche queste ultime definite da una rigida giurisprudenza specializzata come attività “atipiche” di ricerca della prova rientranti nel paniere dell’articolo 189 Codice Procedura Penale.

Da ciò, risulta senz’altro evidente che non si richiede un ragionamento di lusso tecnico ma un mero ragionamento per capire come sia “adamantino” il bisogno di un impianto normante che bilanci, sul piano legislativo, le nuove esigenze di un accertamento completo e corposo con la garanzia massima dei diritti fondamentali.

Non è banale gettare l’occhio sulla foggia tedesca, ove attualmente è stata varata la disciplina tramite il par. 100 b della StPO, la Online-Durchsuchung. In tale normativa si prevede che, l’attività occulta all’interno dei sistemi tecnologici, deve essere svolta in termini ristretti atti cioè solo all’accertamentodi reati qualificati di “particolare gravità” al contrario in Italia i mezzi atipici di ricerca probatoria non consentono usi a tutto campo e nell’ambito di ogni procedimento penale. L’intervento più utile sarebbe ripartire dai pilastri portanti dell’articolo 267 comma 1, Codice Procedura Penale per il decreto di autorizzazione del Giudice per le Indagini Preliminari.

Ricordando che non è possibile evadere l’obbligo motivazionale dell’utilizzo del malware con semplice clausola di stile che rimanda all’indispensabilità per fini d’indagine, ma il tutto necessita comunque di una puntuale motivazione sulla scelta non opzionabile in altri termini.

Altra considerazione di non esiguo valore è che quanto captato e raccolto verba declarationis dall’indagato non è supportato dall’assoluta veridicità, pertanto necessita l’acclaramento della sua portata di valore e adeguata ponderazione in merito ai significata.

Il principio da tutelare con maggior rigore, indubbiamente è quello della proporzionalità quale parametro di legittimità dell’attività d’indagine integralmente svolta (vedi ex miltis prof. L. Marafioti, Trojan horse: spiragli di [---]).

La sfida più autentica è creare una disciplina ad hoc dove rientri tutta la normativa concernente il concetto di “hacking by law enforcement”, seguendo un po’ le linee guida tracciate già nel 2017 dalla Commissione LIBE del Parlamento Europro, che dichiara che l’uso di “hacking techniques” da parte delle “law enforcement agenzie” deve spingersi in avanti per vincere il c.d. “going dark” termine questo che fa esplicito riferimento alla crescente difficoltà delle Forze dell’ordine di avere legalmente accesso e di esaminare tanto le informazioni “a riposo” contenute sui dispositivi quanto le informazioni “mobili” ovvero, in movimento tra sistemi di comunicazione (Vedi: www.fbi.gov/services/operational-technology/going-dark).

L’intricato labirinto dove ondeggiano le sagome della procura e la stessa Autorità giudiziaria, deriva soprattutto dai sistemi di crittografia (encription) i numerosi protocolli di sicurezza delle Technology Companies deputate a garantire la protezione e la riservatezza delle comunicazioni tra individui, impedendo l’accesso a soggetti terzi.

Il dibattito si fa sempre più acceso a livello internazionale e vede contrapposte le due principali posizioni: da una parte, quella dei Governi nazionali, preoccupati del rischio che le principali organizzazioni criminali e terroristiche beneficino della generale impenetrabilità delle comunicazioni; dall’altro lato, quella delle tech compagnie che, non vogliono rinunciare alla garanzia di riservatezza e tutela da qualsiasi ingerenza esterna promessa ai propri utenti.

Si discute quindi sulla backdoor proposta sempre dalle law e. agenzie, come misura accettabile di compromesso ossia: la sicurezza delle comunicazioni è si garantita a tutti gli utenti, eccezion fatta per un’unica “entrata sul retro” di cui possiede la chiave solamente l’Autorità pubblica, che potrà utilizzarla nei casi di necessità per garantire la sicurezza di utenti ed al contempo tutti i cittadini.

Il dubbio logico-funzionale e di diritto per far sì che rimanga intaccata la pienezza della sovranità nazionale nelle scelte da intraprendere, riguarda il chi deve stabilire quando, come e in quali casi e motivi possa essere di necessità e di conseguenza legittimo a pieno titolo l’uso della backdoor; appare tortuoso infatti contemperare la necessità di utilizzare un mezzo molto invasivo come quello indicato, con i principi che debbono trovare largo consenso, ed invece a contrariis rimangono incatenati al mero bilanciamento tra poteri dello Stato e diritti umani e del cittadino.

E i dubbi si estendono a macchia d’olio quando le perplessità sono espresse da periti scientifici e tecnologici che esprimono l’impossibilità di garantire a pieno un accesso limitato ed esclusivo alle comunicazioni criptate senza indebolire la funzionalità degli strumenti e la privacy dei fruitori. Con l’inoculazione di un malware – da remoto in speciale modo – all’interno di un dispositivo bersaglio, permette di impossessarsi del device reso infetto – da parte di chi ha lanciato l’attacco – e in tal modo l’accesso ai dati viene chiuso ovvero sbarrato a chi è all’esterno dell’utilizzatore del dispositivo, ma dunque all’interno di esso: non si intercetta la comunicazione in transito bensì quanto è sul dispositivo mittente o su quello destinatario senza necessità di decodificazione.

Lo strumento di intercettazione informatica altro non è che un software o meglio un malware, che in modo clandestino da remoto entra in ogni dispositivo informatico a condizione vi sia connessione in atto.  I molteplici usi “giudiziari” di tale intercettatore non sono i soli ma è per lo più l’intelligence a servirsene poiché consente una attività preventiva e certamente effettiva. Indicare i limiti e le esigenze certe delle intercettazioni telematiche in luogo di quelle ordinarie, e, le modalità di captazione, di trasmissione dati e conservazione degli stessi come ad esempio creare delle banche dati o data protection tutelerebbe più i soggetti terzi estranei alle conversazioni oggetto di registrazione e utilizzo pre-processuale.

Il Pubblico Ministero deve avere il munus-obbligo di vigilanza, controllando tecnicamente le trascrizioni potenziali di manifestazioni sensibili ovvero dannose per la reputazione altrui, una sorta di intercettatore onesto.

Chiaro  appare che, il rispetto formale e sostanziale della legalità e dei principi internazionali sul tema delle nuove forme o formule di intercettazione, quand’anche può, in alcuni momenti, sembrare un limite alle forti potenzialità delle captazioni svolte in favor dell’intelligence, consente di: valorizzare le fatiche con teoremi strutturati in solidarietà e tutela giuridica, tali da poter essere prodotti dentro il procedimento penale – sino alla fine del processo – interno o internazionale; garantire l’attività da rischi o espedienti per aggirare il normale utilizzo avendo di mira altri scopi, mostrare il valore di uno strumento utile sul piano internazionale agevolando Paesi ove è maggiormente sentita la presenza ed il coordinamento operativo con le nostre forze dell’ordine; poter interagire in tempo reale con altre attività d’indagine collaterali o suppletive condotte nel proprio Stato coordinando le Autorità Giudiziarie coinvolte.

Le suddette realizzazioni, certamente trovano delle difficoltà ma le conseguenze positive sono di maggiore rilevanza ed anche questo aspetto dovrebbe essere conosciuto a monte dagli imputati che si sentono solo sovvertiti nei loro diritti dalle evoluzioni investigative.