Abbiamo conosciuto la pandemia causata dal Covid-19.
C’è però un’altra pandemia, meno nota ma anch’essa piuttosto diffusa e in grado di causare effetti di non poco conto.
Ne fanno parte a pieno titolo i Trojan horse. Vediamo di che si tratta.
Lo sviluppo della tecnologia informatica ha portato con sé anche la creazione di malware (dall’inglese malicious software), cioè programmi informatici utilizzati per scopi malevoli o addirittura criminali.
Il Trojan è tra i malware più diffusi e, analogamente al cavallo di Troia escogitato dall’astuto Odisseo, è occultato all’interno di programmi di per se stessi innocui che l’artefice dell’inganno induce le sue vittime ad installare nei loro dispositivi elettronici.
Tra i più noti e pericolosi Trojan si ricorda ILOVEYOU, contenuto (da qui il suo nome) in un’email che aveva l’aspetto di una lettera d’amore.
Se il destinatario ci cascava e apriva il file di testo allegato alla mail, attivava inconsapevolmente un trojan che immediatamente sovrascriveva i file, rubava dati ultrasensibili come nomi utente, password, indirizzi IP e poi finiva l’opera auto-inviandosi tutti i contatti presenti nella rubrica di posta elettronica ed impedendo l’accesso all’indirizzo email.
ILOVEYOU riuscì ad infettare circa 45 milioni di personal computer in tutto il mondo.
Il suo impatto catastrofico ebbe comunque il merito di evidenziare le vulnerabilità della sicurezza informatica e la necessità di dotarsi di strumenti difensivi come gli antivirus, considerati fino ad allora quasi superflui perfino dalle aziende.
Il Trojan, sebbene sia descritto comunemente come un virus informatico, non ha la capacità, propria dei virus naturali, di autoreplicarsi. Gli è quindi indispensabile la collaborazione dell’utente bersaglio e può ottenerla soltanto se riesce a incuriosirlo e sedurlo.
Questo scopo richiede una tecnica chiamata phishing. Una delle sue più diffuse modalità è l’invio di email con logo contraffatto (in genere sono usati quelli di banche, assicurazioni o grandi aziende di servizi) in cui si chiede al destinatario di fornire suoi dati riservati col pretesto che servono per compiere operazioni nel suo interesse. Se la vittima fa quanto le è stato richiesto e dunque apre in lettura la mail e clicca sul link proposto o visiona l’allegato, ha per ciò stesso attivato il Trojan.
Da questo momento chi controlla il malware è in grado di registrare ogni attività compiuta nel dispositivo infettato e di inviarla ad un server che immagazzina i dati carpiti: tra i più appetibili vi sono naturalmente i numeri identificativi delle carte di credito, le credenziali di accesso a servizi di home-banking, quelli che consentono di intercettare i comandi o gli SMS per l’autenticazione a due fattori.
Di più: chi lancia con successo un Trojan, avendo il controllo totale del dispositivo bersaglio, può trasformarlo in una sorta di zombie e magari inserirlo in una botnet (cioè un gruppo di computer controllati in remoto e coordinati per eseguire attività dannose) per sferrare attacchi informatici ovunque senza che il legittimo proprietario ne abbia alcuna consapevolezza.
È peraltro possibile che l’hacker di turno, una volta completata la codifica dei file proprietari, si manifesti alla vittima e le chieda un riscatto (da pagare solitamente in bitcoin, cioè moneta virtuale) per ottenere la chiave di decodificazione.
In genere, tuttavia, chi ha il controllo occulto di un dispositivo altrui preferisce rimanere sottotraccia e continuare indisturbato ad appropriarsi dei dati della vittima.
Accade talvolta che la presenza del Trojan rallenti visibilmente le attività del dispositivo o ne causi addirittura il blocco o provochi eventi insoliti come potrebbe essere l’attivazione della ventola a macchina spenta.
Chi notasse uno di questi segnali o si accorgesse di un significativo aumento del traffico web in uscita, soprattutto in fasce orarie in cui non ha compiuto attività on-line, dovrebbe considerarli come indizio della possibile inoculazione di un Trojan, fare gli opportuni controlli, rimuovere il malware (cosa assai difficile sicché nella maggior parte dei casi l’unico rimedio è la formattazione che però comporta la perdita irreversibile dei dati) e dotarsi per il futuro di un buon programma antivirus.
Fin qui si è parlato di uso illegale del Trojan.
C’è però un uso legale ed è quello consentito dagli artt. 266 e ss. cod. proc. pen.
Ci si riferisce ovviamente alla disciplina normativa delle intercettazioni che il codice di rito classifica come mezzi di ricerca della prova.
Non esiste una definizione normativa di tale istituto ed è quindi venuta in soccorso la giurisprudenza, anche a Sezioni unite.
Si è precisato dunque che l’intercettazione consiste nella captazione occulta e contestuale del contenuto di una conversazione o comunicazione tra soggetti, mediante modalità idonee, con intromissioni operate da soggetti terzi rispetto ai conversanti, con apparecchiature in grado di fissarne l’evento e tali da vanificare le cautele ordinariamente poste a protezione del carattere riservato dello scambio comunicativo.
C’è pertanto un’intercettazione nel senso indicato dall’art. 266 quando:
si captino conversazioni o comunicazioni tra due o più persone; non è pertanto classificabile come intercettazione l’acquisizione dei tabulati telefonici, proprio perché non riguarda forme comunicative;
si captino conversazioni o comunicazioni che i partecipanti intendono mantenere riservate; non è quindi intercettazione, ad esempio, l’ascolto di una conversazione tenuta ad alta voce in un luogo pubblico;
chi capta sia estraneo alla conversazione o comunicazione; la captazione e la registrazione fatte da uno dei partecipanti non sono equiparabili a un’intercettazione ma sono comunque attività legittime e il supporto su cui è impressa la registrazione è equiparabile a un documento ai sensi dell’art. 234 c.p.p. che può essere acquisito nel giudizio penale e utilizzato come fonte di prova; sono invece illecite (e si traducono nel reato previsto dall’art. 615-bis c.p.) le stesse attività quando siano compiute da un privato estraneo alla conversazione o comunicazione;
si utilizzino strumenti di captazione sofisticati quanto basta per impedirne la rilevazione attraverso normali cautele;
lo si faccia in modo occulto, cioè all’insaputa di almeno uno dei soggetti impegnati nella conversazione o comunicazione;
lo si faccia in tempo reale, mentre la conversazione o la comunicazione sono in corso;
non si impedisca la prosecuzione della conversazione o comunicazione.
In questa cornice di fondo vanno inseriti i captatori informatici (è questa la denominazione scelta dal legislatore per identificare i programmi informatici del tipo Trojan).
Il decreto che consente l’uso dei Trojan di Stato deve osservare regole differenti secondo i reati per i quali si procede, nei seguenti termini:
per i reati comuni deve indicare sia il fondato motivo di ritenere che nel domicilio si stia svolgendo l’attività criminosa (art. 266, comma 2, secondo periodo, c.p.p.), sia le ragioni che rendono necessaria tale modalità per lo svolgimento delle indagini (art. 267, comma 1, terzo periodo, c.p.p.), sia la previa determinazione dei luoghi e del tempo, anche indirettamente determinati, in relazione ai quali è consentita l’attivazione del microfono” (art. 267, comma 1, ult. periodo, c.p.p.);
per i delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell’art. 4 c.p.p., deve indicare sia le ragioni che rendono necessario il ricorso al captatore per lo svolgimento delle indagini (art. 267, comma 1, terzo periodo, c.p.p.), sia le ragioni che ne giustificano l’utilizzo anche nel domicilio (art. 266, comma 2-bis, c.p.p.); per i delitti di cui all’art. 51, commi 3-bis e 3-quater, c.p.p., il decreto deve indicare soltanto le ragioni che rendono necessario per le indagini l’utilizzo del captatore informatico, a prescindere che sia impiegato all’interno o all’esterno del domicilio (art. 267, comma 1, c.p.p.).
Nei casi di urgenza, coincidente col fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il PM può disporre, con decreto motivato, l’intercettazione tra presenti (anche nel domicilio) mediante inserimento di captatore informatico su dispositivo elettronico portatile, ma soltanto nei procedimenti per i delitti di cui all’art. 51, commi 3-bis e 3-quater, c.p.p. e per i delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell’art. 4 c.p.p. Il decreto in questione indica, oltre ai sufficienti indizi di reato ed alla necessità dell’intercettazione per lo svolgimento delle indagini, anche le ragioni di urgenza che rendono impossibile attendere il provvedimento del giudice. Il decreto è trasmesso al giudice, che decide sulla convalida nei termini, con le modalità e gli effetti indicati al comma 2 dello stesso art. 267 c.p.p. (art. 267, comma 2-bis, c.p.p.).
Una disciplina complessa e tortuosa, come si può vedere.
La sua attuale declinazione è il frutto della stratificazione di interventi normativi ed indirizzi interpretativi, a partire dalla notissima decisione Scurato delle Sezioni unite penali (sentenza n. 26889/2016) che legittimò l’uso dei Trojan nei procedimenti in cui fossero contestati delitti di criminalità organizzata.
Non è questa la sede per ripercorrere il dibattito che fin dalle prime applicazioni dei captatori coinvolse dottrina, giurisprudenza e decisori politici e per sottolineare le critiche anche aspre di illustri studiosi che vi intravidero un rischio elevato per libertà costituzionali di prima grandezza.
Una cosa però è bene ricordarla.
Chi controlla tramite Trojan un dispositivo elettronico altrui, che sia un comune malfattore o lo Stato, può invadere massivamente la riservatezza dell’individuo-bersaglio: gli sono infatti possibili il controllo a distanza del dispositivo infettato (l’operatore può servirsene senza limiti, compiendovi ogni tipo di attività); la visualizzazione di tutte le operazioni compiute dal detentore; la visualizzazione e l’estrazione di tutti i dati contenuti nel dispositivo; la sua messa fuori uso; l’attivazione del microfono e della webcam del dispositivo e quindi la possibilità di ottenere riprese audio e video.
In sostanza, l’operatore ha il completo controllo non solo delle attività informatiche compiute dall’utilizzatore del dispositivo ma anche dei suoi movimenti e delle sue comunicazioni.
Il che è come dire che ha il controllo della sua vita.
Il meno che si possa pretendere dal legislatore e da PM e giudici è che della relativa opzione investigativa si faccia un uso sempre e soltanto costituzionalmente orientato.
Così come si deve esigere che, dati i paletti normativi elencati in precedenza, non si ceda alla tentazione di contestazioni iniziali sovrastimate e incoerenti rispetto alla reale portata dei fatti al solo scopo di rendere possibile il ricorso ai captatori.
Sta tutto qui il problema: nell’equilibrio e nel rispetto delle regole.
TERZULTIMA FERMATA 