Il 28 marzo scorso la Procura di Milano ha divulgato gli esiti di un'indagine condotta nei confronti di un'organizzazione criminale che attraverso false fatturazioni ha evaso il fisco per milioni di euro.
Secondo gli inquirenti, lo strumento che ha reso possibile far emergere il gioco delle fatture inesistenti, che convogliavano denaro da consorzi di cooperative a finte società cinesi, è stato il captatore informatico: "senza il captatore informatico", ha affermato il PM titolare dell'inchiesta, "non avremmo potuto intercettare le comunicazioni tra persone, saremmo rimasti al livello dei lavoratori e dei prestanome, senza mai raggiungere i reali beneficiari, gli organizzatori di questi fenomeni. Il trojan è uno strumento importantissimo. In un momento in cui è in discussione la possibilità di utilizzarlo, bisogna evidenziare quanto sia efficace questo strumento".
Eh, sì, la possibilità di utilizzare il captatore informatico è proprio oggetto di discussione ed infatti, il 15 marzo scorso, la camera dei deputati ha approvato la mozione presentata il 30 gennaio dall'On. M. Lupi che, tra le altre cose, ha impegnato il Governo "ad adottare iniziative normative per disciplinare ulteriormente la materia delle intercettazioni onde evitarne l'abuso".
La criticità evidenziata nel corso della discussione, relativamente alle intercettazioni, ha riguardato l'uso improprio dei captatori informatici (c.d. trojan horse).
Il trojan horse a scopi investigativi è un vero e proprio virus informatico che, solitamente, viene installato da remoto inviando una e-mail o un SMS al bersaglio prescelto (uno smartphone, un pc, un tablet). Una volta completata l'operazione, il dispositivo è alla mercé dell'operatore che potrà controllarlo a distanza, visualizzare tutte le operazioni compiute dal detentore, estrarre tutti i dati contenuti nel dispositivo, attivarne microfono e webcam, e finanche metterlo fuori uso.
Nel corso della discussione conclusasi con l'approvazione dell'emendamento, è stato fatto notare che "se, da un lato, l'utilizzo dei captatori rappresenta lo strumento più penetrante ed efficace nel contrasto alla commissione di reati ritenuti di particolare gravità di tipo associativo e di terrorismo, dall'altro, è anche lo strumento che più di ogni altro viola la sfera d'intimità dell'intercettato, con l'evidente rischio di una diversa destinazione d'uso atto a violare la privacy degli individui".
Negli Stati Uniti il Presidente Biden ha firmato un ordine esecutivo per vietare l'uso di spyware commerciali da parte di agenzie federali degli Stati Uniti.
Anche gli spyware commerciali sono software che vengono installati all'insaputa dell'utente sul dispositivo portatile e che consentono di raccogliere informazioni sulle sue attività.
Secondo il governo degli Stati Uniti, però, l'utilizzo di tali software andrebbe oltre la profilazione commerciale e costituirebbe un serio rischio per i sistemi di informazione perché utilizzato impropriamente da attori stranieri per consentire violazioni dei diritti umani.
La diffidenza del governo statunitense per gli spyware commerciali molto probabilmente è scaturita dal caso Pegasus, lo spyware con il quale è stata spiata persino l'attività del Presidente Francese Emmnuel Macron.
Secondo un'inchiesta condotta dal quotidiano israeliano Haaretz, la stessa azienda produttrice del software Pegasus, ha recentemente immesso nel mercato un altro spyware in grado non solo di intercettare dispositivi mobili, ma altresì di modificare le immagini riprese dalle videocamere in tempo reale e, addirittura, alterare le registrazioni del passato contenute negli archivi digitali dei dispositivi mobili. Tali funzioni, sempre secondo Haaretz, potrebbero ad esempio occultare attività degli 007 oppure costruire false prove giudiziarie.
Insomma, con l'uso di un software simile, potrebbero essere alterati i risultati di qualunque captazione.
Nel nostro ordinamento, la legge prevede che i captatori utilizzati abbiano determinati standard di sicurezza, tuttavia il pericolo di una contaminazione o alterazione dei dati non appare inverosimile e ciò non solo per l'eventualità (in realtà assai remota) che i sistemi di intercettazione siano infettati da trojan horse che possono alterare i risultati delle captazioni.
Sebbene il D.Lgs. 216/2017 sia chiaro nel prevedere che il flusso di dati proveniente dal captatore informatico attivo sul dispositivo bersaglio, debba essere instradato unicamente e direttamente verso le strutture informatiche server della procura che ne ha autorizzato l'utilizzo, tale obiettivo (come evidenziato da alcune verifiche condotte in ambito forense) si scontra con il funzionamento intrinseco del captatore, il quale necessita di essere eseguito e controllato per il tramite del centro di controllo a cui solo gli sviluppatori del trojan possono avere pienamente accesso, ciò anche per esigenze di segreto aziendale. Solo in seconda battuta, cioè nella fase di scelta della destinazione di memorizzazione, la piattaforma operante può veicolare la registrazione sul server della procura.
Durante e dopo le captazioni, i files vengono dunque spostati da un server ad un altro, anche per impedire che un utente esperto identifichi l'autorità giudiziaria procedente intercettando la destinazione dei dati estratti dal dispositivo.
In molti si sono perciò chiesti se tali continui passaggi di dati influiscano sulla loro genuinità ed, inoltre, se le società che forniscono i servizi intercettazione a mezzo di captatore in qualche modo riescano ad avere accesso alle informazioni captate.
L'uso dei captatori informatici per finalità investigative presenta, dunque, molteplici punti di criticità e va, pertanto, rivisto sia sotto l'aspetto giuridico che tecnico-operativo, per tale motivo, evidentemente, il legislatore, lo scorso 15 marzo ha impegnato il Governo "ad adottare iniziative normative per disciplinare ulteriormente la materia delle intercettazioni onde evitarne l'abuso".