giovedì, Maggio 30, 2024
Criminal & Compliance

Captatore informatico: i rischi di una mancata puntuale regolamentazione

a cura di Dott.ssa Maria Caterina Falchi

In un’epoca di costante e continua evoluzione tecnologica, è inevitabile lo scontro tra libertà fondamentali dell’individuo e necessità di salvaguardare la pubblica sicurezza. Ormai da anni le Forze dell’Ordine fanno ricorso a strumenti tecnologici che, se da un lato sono utilissimi ai fini della prevenzione e dell’accertamento dei reati, necessitano d’altra parte di una regolamentazione tesa ad evitare che i diritti dei singoli possano venir messi a rischio. È in questo travagliato e delicato contesto che si inserisce il captatore informatico.

 Cos’è e come funziona il captatore informatico?

Da un punto di vista tecnico il captatore informatico non è altro che un malware, cioè un maliciuos software del tipo trojan horse che viene inconsapevolmente installato dall’utente connesso alla rete e consente al soggetto che lo inocula, di assumere il pressoché completo controllo del device.

Il captatore una volta installato, apre infatti una backdoor cioè un programma o codice che consente di bypassare tutte le autenticazioni richieste per accedere al sistema, garantendo dunque il controllo del dispositivo e delle periferiche (attivazione del microfono e della fotocamera, del GPS, possibilità di scattare screenshot, etc.).

Non solo, lo stesso malware consente anche di superare le difficoltà dettate dall’adozione, da parte delle “technology companies” della c.d.  end-to-end encryption (E2EE) nelle app di messaggistica istantanea. Tramite un sistema di chiavi pubbliche e private, questo protocollo di crittografia riduce al minimo la probabilità che hackers così come Forze di polizia possano accedere al contenuto delle informazioni che si scambiano gli utenti. Essendo tuttavia il malware installato direttamente sul dispositivo, l’accesso ai dati non avviene “dall’esterno” ma “dall’interno”: infatti poiché non si intercetta il dato in transito ma il messaggio sul dispositivo mittente o destinatario, non è necessaria la decodifica [1] e l’informazione è quindi visibile “in chiaro”.

La fase indubbiamente più complicata ai fini dell’utilizzo del captatore è quella dell’inoculazione che può avvenire con due diverse modalità: per via diretta o da remoto.

L’inoculazione per via diretta presuppone la fisica disponibilità del dispositivo sul quale via unità USB o CD-Rom viene installato il software. È evidente che, nella prassi investigativa, tale modalità sia praticamente inattuabile.

L’inoculazione da remoto, la più utilizzata, può invece essere effettuata in diversi modi:

  • mediante posta elettronica: l’indagato apre un file apparentemente innocuo (ad esempio un PDF o un foglio Excel) che contiene il software;
  • mediante rete telefonica: il malware viene inviato tramite SMS;
  • mediante IMSI o Wi-Fi catcher;
  • via web ossia tramite l’installazione di una app o di un aggiornamento software

Come detto, quello dell’inoculazione è il momento più critico, in quanto il malware deve essere installato con la necessaria ancorché inconsapevole collaborazione del proprietario del device, il quale ignaro aggiorna il software, scarica una app, apre un file ricevuto via e-mail e di fatto spiana la strada per l’introduzione del captatore.

Una volta inoculato, il captatore può svolgere tantissime attività tra cui attivare webcam e microfono, attivare il GPS del dispositivo e quindi tracciare lo stesso, scattare screenshot, visualizzare scambi di messaggi, monitorare la pressione dei tasti digitati sulla tastiera (keylogger), così come accedere ai documenti “salvati” e archiviati sul device.

Sono essenzialmente due le modalità attraverso le quali può svolgersi l’attività investigativa mediante l’uso del captatore: la online search che consente la copia totale o parziale dei dati e delle informazioni contenute sul dispositivo, e la online surveillance che consente invece di “catturare” i dati dinamici, quindi di monitorare in presa diretta ed in tempo reale tutte le attività svolte dall’indagato.

Quanto finora premesso consente di avere un’idea della pervasività di questo pur utilissimo strumento, ma è inevitabile domandarsi: quali sono i limiti al suo utilizzo, e quali i rischi che si corrono in mancanza di una puntuale regolamentazione?

Exodus: un caso emblematico

È il 29 marzo 2019 quando la ONG Security Without Borders in collaborazione con la rivista Motherboard, pubblica sul proprio sito web i risultati di una ricerca che mostra come centinaia di dispositivi di altrettanti ignari utenti, tutti in Italia, sarebbero stati infettati da uno spyware il cui ormai noto nome è Exodus.

Il malware, progettato da una società calabrese di videosorveglianza e usato da diverse Procure, veniva installato sui dispositivi tramite il download di una delle tante applicazioni disponibili sullo store di Google [2]

Lo stesso software constava di due stage.

Exodus One aveva lo scopo raccogliere alcune informazioni di base di identificazione del dispositivo infetto, particolarmente codice IMEI (codice identificativo degli smartphone) e numero di telefono, le quali avrebbero dovuto essere “validate” per verificare che il dispositivo fosse effettivamente quello da attaccare.

Detta fase di matching avrebbe dovuto essere svolta grazie ad una funzione del malware stesso denominata “CheckValidTarget. Il controllo, tuttavia, non veniva effettuato sia perché il software era, come rilevato successivamente “mal direzionato”, sia perché gli operatori del Command & Control non applicavano, di fatto, una validazione del target.

A questo punto si arrivava al secondo stage, Exodus Two, che consentiva l’accesso ai dati più sensibili. A tal proposito e a scopo esemplificativo, si annoverano: contatti della rubrica, cronologia, contatti di Facebook, immagini della galleria, dati relativi a chiamate ed sms compresi file multimediali scambiati su WhatsApp, password delle reti Wi-Fi, coordinate GPS del telefono.

Il software consentiva anche l’attivazione del microfono e della fotocamera incorporati sul dispositivo, la registrazione delle telefonate, lo scatto di screenshot.

Evidentemente, mancando la validazione del dispositivo target, qualunque smartphone sul quale fosse stata installata la app “esca” veniva infettato.

Non solo persone sottoposte a indagini dunque, ma comuni cittadini, i cui dati sono stati illegittimamente raccolti per due anni, visto che la app non era stata ritirata dal Play Store di Google, e conservati peraltro in un server situato negli Stati Uniti [4].

Inoltre, stando a quanto rivelato dai ricercatori di Security Without Borders, il malware apriva una backdoor sul dispositivo stesso che avrebbe potuto consentire a qualunque attore malevolo connesso alla stessa rete Wi-Fi l’accesso al device e alle informazioni in esso contenute.[3]

Una serie di carenze insomma che, come dichiarato dal Presidente del Garante della Privacy Antonello Soro palesano “[…] la notevole pericolosità di strumenti, quali i captatori informatici, che per quanto utili a fini investigativi rischiano, se utilizzati in assenza delle necessarie garanzie anche soltanto sul piano tecnico, di determinare inaccettabili violazioni della libertà dei cittadini”.[4]

Cosa prevede la legge?

Il decreto legislativo 29 dicembre 2017 n. 216, c.d. Riforma Orlando aveva apportato alcune modifiche a quanto previsto dall’art. 266 del codice di procedura penale in materia di intercettazione di conversazioni o di comunicazioni.

Nello specifico il decreto contemplava l’utilizzo del captatore informatico in tutti i casi in cui erano già consentite le c.d. “intercettazioni ambientali” ergo le intercettazioni tra presenti. Si trattava dei reati elencati nel primo comma del medesimo articolo 266 c.p.p.

Quanto alle intercettazioni nei luoghi di privata dimora (ex art. 614 c.p.) queste venivano consentite, anche mediante l’uso del captatore, solo ove vi fosse fondato motivo di ritenere che nei medesimi luoghi venisse svolta l’attività criminosa.

Tutt’altra disciplina era prevista in via d’eccezione per i gravi reati di cui all’art. 51 co. 3-bis e 3-quater (associazione mafiosa, prostituzione minorile, terrorismo etc.) per i quali era contemplato l’utilizzo del captatore informatico in modo ubiquitario, quindi anche nei luoghi di cui all’art.614 c.p., indipendentemente dall’attualità dell’azione criminosa.

Con la legge 3/2019 c.d. “Spazzacorrotti” nuove modifiche sono state apportate alla disciplina delle intercettazioni e dunque all’art. 266 c.p.p.

Nello specifico l’uso del captatore informatico anche nei luoghi di privata dimora, viene esteso anche ai reati contro la pubblica amministrazione commessi da pubblici ufficiali, purché puniti con la pena della reclusione non inferiore nel massimo a cinque anni.

Il decreto-legge 161/2019 ha esteso poi la portata del comma 2-bis art. 266 ai delitti commessi contro la pubblica amministrazione da parte degli incaricati di pubblico servizio, con riferimento anche in questo caso, a quelli puniti con la reclusione non inferiore nel massimo ai 5 anni.

Con la Legge 28 febbraio 2020, n. 7 di conversione del decreto-legge 161/2019 vengono apportate ulteriori modifiche alla disciplina delle intercettazioni. Si richiede infatti, al fine dello svolgimento delle stesse nei luoghi di privata dimora e per reati commessi contro la pubblica amministrazione da pubblici ufficiali e da incaricati di pubblico servizio, che vi sia nel decreto autorizzativo la previa indicazione delle ragioni che ne giustificano l’utilizzo.

Altre novità concernono poi l’utilizzabilità dei risultati delle intercettazioni.

Nello specifico e per quanto qui interessa in materia di captatore informatico, i risultati delle intercettazioni effettuate mediante lo stesso sono utilizzabili anche per la prova dei reati diversi da quelli per i quali è stato emesso il decreto di autorizzazione a condizione che, si tratti di reati commessi contro la pubblica amministrazione e puniti con la pena della reclusione non inferiore ai 5 anni, o dei reati di cui all’art. 51 co. 3-bis e 3-quater del codice penale.

In conclusione, il captatore informatico per le intercettazioni tra presenti ex art. 266 c.p.p. può essere utilizzato nei luoghi di privata dimora:

  • in generale, per tutti i reati di cui al co. 1 quando vi sia fondato motivo che ivi si stia svolgendo l’attività criminosa; (art. 266 c.p.p. co. 2)
  • quando si procede per i gravi reati contemplati all’art. 51 co. 3-bis e 3-quater; (art. 266 c.p.p. co.2-bis “L’intercettazione di comunicazioni tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile è sempre consentita nei procedimenti per i delitti di cui all’articolo 51 commi 3-bis e 3-quater”)
  • nei casi di delitti commessi da pubblici ufficiali o da incaricati di pubblico servizio contro la p.a., previa indicazione delle ragioni che ne giustificano l’utilizzo e solo per i reati puniti con la pena della reclusione non inferiore nel massimo ai 5 anni; (art. 266 c.p.p. co.2-bis “…previa indicazione delle ragioni che ne giustificano l’utilizzo anche nei luoghi indicati all’art. 614 del codice penale, per i delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione, per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell’articolo 4”).

Ciò premesso vale la pena di sottolineare alcuni aspetti critici della disciplina attualmente in vigore in materia di captatore informatico.

Innanzitutto, la nuova legge sulle intercettazioni contempla e disciplina in modo puntuale l’utilizzo del trojan horse solo in relazione alle intercettazioni ambientali (cioè la registrazione di conversazioni tra presenti), ma come fa notare il Prof. Stefano Aterno “Il trojan è un po’ come i coltellini multiuso, ha molteplici applicazioni e tante modalità di funzionamento. Non è possibile ricondurre tutto dentro l’alveo delle intercettazioni ambientali e/o telematiche”. [5]

Si pensi ad esempio alla possibilità di scattare screenshot sullo schermo del dispositivo del soggetto, e dunque di raccogliere e conservare qualsiasi tipo di informazione che appaia nel display comprese intere conversazioni tra due o più soggetti nelle chat di messaggistica istantanea.

Detta funzionalità pure molto utilizzata in ambito investigativo, attualmente risulta priva di regolazione.

Non a caso gli avvocati R. De Vita e A. Laudisa ritengono che “In assenza di una valutazione globale sulle potenzialità tecniche dello strumento, si sta di fatto realizzando una “atomizzazione” delle funzionalità del captatore […], cercando di incasellare ognuna di esse in tradizionali categorie processuali e mezzi di ricerca della prova di carattere “analogico”” laddove, è evidente, sarebbe necessaria una regolazione che prenda in esame e disciplini ogni aspetto relativo all’utilizzo di uno strumento così pervasivo e potenzialmente ubiquitario.

Altra questione riguarda la conservazione dei dati.

Come sottolinea Roberto de Vita infatti “è improprio parlare di trojan di Stato poiché di fatto, il nostro paese non è dotato di una tecnologia proprietaria, o di diretta ed esclusiva gestione, dovendosi invece servire di software sviluppati, e spesso gestiti da privati, anche stranieri”.[6]

Il caso Exodus è evidentemente in tal senso un caso di scuola al punto che lo stesso garante Privacy, Antonello Soro, proprio in relazione al succitato caso, ha dichiarato che “pericoloso è l’utilizzo di sistemi cloud per l’archiviazione dei dati captati, addirittura in Stati extraeuropei. La delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale costituisce, infatti, un evidente vulnus non soltanto per la tutela dei diritti degli interessati, ma anche per la stessa efficacia e segretezza dell’azione investigativa.”. [7]

Conclusioni

Malgrado il captatore informatico sia oramai uno strumento ampiamente utilizzato dalle Forze di Polizia, ancora troppe sono le lacune e le zone d’ombra che investono la disciplina dello stesso a livello legislativo.

Il trojan, questo tipo di malware ormai divenuto co-protagonista nelle inchieste giudiziarie di questi ultimi anni che hanno riempito e coperto le pagine dei quotidiani nazionali, sembra volutamente e costantemente associato a strumenti di intercettazione che costituiscono oramai quasi solo un lontano ricordo, laddove le funzionalità che lo stesso è in grado di offrire, aprono la strada alla realizzazione di scenari che neanche i più arguti scrittori di romanzi distopici avrebbero forse potuto immaginare.

In conclusione, può affermarsi con assoluta certezza la necessità di una maggiore e puntuale regolazione circa l’uso dei captatori al fine di evitare, come ha sottolineato Soro, che questi “da preziosi ausiliari degli inquirenti, degenerino invece in mezzi di sorveglianza massiva”.

 

[1] R. De Vita, A. Laudisa “Vita digitale a rischio: I captatori informatici tra pericoli per i diritti umani e riduzionismo giuridico” 18 novembre 2019, disponibile qui: https://eurispes.eu/wp-content/uploads/2016/04/vita-digitale-a-rischio.pdf.

[2] L. Franceschi-Bicchierai, R.Coluccini “Centinaia di italiani sono stati infettati da un malware nascosto da anni sul Play Store”, 29 marzo 2019, disponibile qui:  https://www.vice.com/it/article/7xnyy9/malware-exodus-infettati-1000-italiani-app-nascosta-google-play-store

[3] Security Without Borders ”Exodus: Nuovo Spyware per Android Made in Italy”, 29 marzo 2019, disponibile qui https://securitywithoutborders.org/blog/2019/03/29/exodus-ita.html

[4] A. Soro intervistato da Ansa, “Caso Exodus – Software Spia:Soro, fatto gravissimo”, 30 marzo 2019, disponibile qui https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9100800

[5] S. Aterno “Captatore informatico e regolamento tecnico: quid juris per la modalità screen shot?”, dicembre 2017, disponibile qui http://www.dirittopenaleinformatica.it/wp-content/uploads/2018/03/S.-ATERNO_Captatore-informatico_quid-iuris-per-modalit%C3%A0-screen-shot-1.pdf

[6] L’Eurispes, “Trojan e Spyware: ecco come funzionano e quali sono i rischi”, 18 novembre 2019, disponibile qui https://www.leurispes.it/trojan-e-spyware-ecco-come-funzionano-e-quali-sono-i-rischi/

[7] A. Soro intervistato da Ansa, “Intercettazioni: Soro, colmare lacune su uso captatori. Vietare ricorso a app-spia e archiviazione con sistemi cloud”, 4 febbraio 2020, disponibile qui https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9260293

Lascia un commento