Trojan e Spyware: ecco come funzionano e quali sono i rischi
Che cos’è un captatore informatico? Che cosa prevede la legge italiana e quali sono i rischi per i cittadini? Ne parliamo con Roberto De Vita, Direttore dell’Osservatorio Cyber Security dell’Eurispes.
I trojan riempiono ormai sempre più le cronache giudiziarie del nostro Paese, scatenando accesi dibattiti sulla legittimità del loro utilizzo. Ma che cos’è un captatore informatico?
Il captatore informatico altro non è che un software (per la precisione, un malware) che, clandestinamente e silenziosamente, può introdursi da remoto in qualsiasi tipo di dispositivo informatico, purché connesso alla Rete: smartphone, smart Tv, smart car, assistenti vocali, console per i videogames, etc.
Il trojan consente di controllare da remoto tutte le attività che verranno compiute dal dispositivo target. Ciò è possibile perché il captatore, violando le difese del bersaglio, si introduce all’interno dello stesso e prende di fatto l’intera gestione del sistema, scalando i privilegi necessari a dialogare con l’hardware come se fosse l’amministratore di sistema. L’attività più complessa è sicuramente l’inoculazione all’interno del dispositivo da infettare, poiché – in assenza della materiale disponibilità dello stesso – quest’ultima deve avvenire con la necessaria, ancorché inconsapevole, collaborazione del proprietario del device.
Quali sono le attività che può compiere il dispositivo infettato dal captatore?
Le operazioni sono tantissime: dall’attivazione del microfono e della videocamera al tracking del segnale GPS del dispositivo; può fare screenshot e screencast dello schermo, registrare tutto ciò che viene digitato sulla tastiera del dispositivo (keylogger); può eseguire la copia di tutti i dati contenuti all’interno della memoria fisica.
Inoltre, il trojan consente di visualizzare tutti gli scambi di messaggi, informazioni e file che avvengono tramite i consueti canali di comunicazione, come la app di messaggistica, superando l’ostacolo della crittografia: infatti, poiché non si intercetta il messaggio in transito bensì il messaggio sul dispositivo mittente o sul dispositivo destinatario, non è necessaria la decodifica.
In altre parole, con il trojan si può avere accesso ad un patrimonio informativo sconfinato: ciò che è conservato, ciò che sta avvenendo e ciò che avverrà.
Una grande risorsa per le Forze di polizia, ma anche un’arma pericolosa in mano a paesi illiberali o ad organizzazioni criminali. In Italia, esistono i trojan di Stato?
Nel nostro Paese, ormai da tempo, l’Autorità giudiziaria e la nostra Intelligence si servono dello strumento, tanto a fini di accertamento dei reati quanto a fini di prevenzione. In questi termini, il trojan appartiene agli strumenti nella disponibilità delle Autorità pubbliche. Tuttavia, è improprio parlare di trojan di Stato, poiché, di fatto, il nostro Paese non è dotato di una tecnologia proprietaria, o di diretta ed esclusiva gestione, dovendosi invece servire di software sviluppati, e spesso gestiti, da privati anche stranieri.
Qual è lo stato dell’arte della legislazione italiana in materia di captatori informatici?
L’Italia non si è ancora dotata di una disciplina organica, che regolamenti tutte le funzionalità e gli usi investigativi del trojan.
A oggi, esiste il cosiddetto “Decreto intercettazioni” (D.Lgs. 216/2017) – voluto dalla riforma Orlando e non ancora totalmente entrato in vigore a causa di ripetute proroghe – che regolamenta l’uso del captatore installato su dispositivi mobili ai soli fini dell’intercettazione di comunicazioni tra presenti.
In particolare, la legge ammette l’utilizzazione dei trojan anche per i reati comuni, oltre che per quelli di criminalità organizzata e terrorismo, operando la seguente distinzione: per i primi il trojan si può utilizzare solo in luoghi diversi da quelli ex art. 614 c.p. (ovvero di privata dimora, a meno che non sia in corso attività criminosa), e si dovranno perciò indicare i luoghi e i tempi in cui dovrà attivarsi da remoto il microfono; al contrario, per i reati di criminalità organizzata e con finalità di terrorismo non sono necessarie queste limitazioni ed il captatore ha un uso, di fatto, ubiquitario.
La cosiddetta «Spazzacorrotti» (legge nr.3/2019) ha poi esteso l’uso senza limitazioni dei trojan anche ad alcuni reati contro la Pubblica Amministrazione (ossia i delitti dei pubblici ufficiali contro la Pubblica Amministrazione puniti con la pena della reclusione non inferiore nel massimo a 5 anni).
Quali sono le principali carenze dell’attuale quadro normativo?
Il punto più critico riguarda il disciplinare tecnico previsto dalla Orlando e adottato con il Decreto ministeriale del 20 aprile 2018.
Nella parte relativa ai “requisiti tecnici dei programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore”, ci si prefiggeva l’obiettivo di prevedere misure tecniche idonee di affidabilità, sicurezza ed efficacia affinché i programmi informatici utilizzabili si limitassero all’esecuzione delle operazioni autorizzate.
Tuttavia, il contenuto del decreto è privo di puntuali indicazioni e tendente all’impiego di formule generali (si veda il concetto di “integrità, sicurezza e autenticità dei dati captati”), cui non segue un adeguato sistema di controllo dei programmi utilizzati.
Nell’aprile del 2019, all’indomani dell’esplosione del caso “Exodus”, lo stesso Garante per la protezione dei dati personali ha criticato la citata normativa, proprio per non aver formulato in maniera più esplicita taluni obblighi e divieti e, più in generale, le prescrizioni di questo “disciplinare tecnico”.
La legge è quindi ancora lontana da una disciplina globale. Al momento, quali sono i rischi principali per gli individui?
Lo stesso Garante ha individuato un grande pericolo nel rischio di sorveglianza massiva dei singoli, dovuta, ad esempio, alla libera disponibilità sugli stores delle app contenenti il trojan, in assenza di divieti espressi rispetto a tale pratica.
Inoltre, la vicenda Exodus ha evidenziato un’altra pratica rischiosa per la tutela dei dati degli interessati, oltre che per la stessa attività di indagine: l’archiviazione dei dati raccolti tramite sistemi cloud, di cui alcuni localizzati in paesi extra Ue.
Ed, infine, l’ultima grande preoccupazione: la carenza di effettiva tracciabilità rispetto a tutte le operazioni eseguite dal captatore sul dispositivo infettato espone il materiale raccolto a potenziali contraffazioni.
L’attuale normativa, però, regolamenta solo l’esecuzione di intercettazioni audio tramite captatore, attivando il microfono del dispositivo aggredito. Che cosa accade per tutte le altre attività investigative potenzialmente eseguibili con il trojan?
Manca una disciplina che contempli tutte le potenzialità intrusive ed investigative dello strumento.
Tuttavia, questo vuoto normativo non ha escluso che il captatore potesse comunque essere utilizzato per altre attività investigative, anzi. Nell’impossibilità di assimilarlo ai mezzi di ricerca della prova tradizionali, la giurisprudenza lo ha talvolta ricondotto al concetto di “prova atipica” ex art. 189 c.p.p. (Codice di procedura penale), come nel caso delle perquisizioni da remoto.
Questa scelta, oltre ad essere stata criticata da numerosi studiosi, impone in maniera ancora più urgente la necessità di disciplinare il captatore in via globale e dal punto di vista tecnico, non solo dal punto di vista giuridico e rispetto alle singole funzionalità prese in considerazione.
A fronte di questi pericoli, esistono possibili soluzioni?
Sicuramente. Innanzitutto, sarebbe molto importante per lo Stato disporre di una tecnologia proprietaria o direttamente gestita, anche solo per scongiurare con certezza potenziali utilizzi fuori controllo e contra legem dello strumento. Tuttavia, ci sono evidenti difficoltà tecniche e di risorse per perseguire tale risultato.
In ogni caso, è comunque necessario adottare un nuovo approccio culturale e, di conseguenza, giuridico e legislativo al fenomeno. Non si può pensare di regolamentare uno strumento così pervasivo solo in relazione ai risultati giudiziari e di intelligence ottenibili grazie alle sue funzionalità, rischiando di precipitare nel riduzionismo giuridico che antepone e circoscrive la valutazione della norma alla sola efficacia e non anche alla sua giustizia e validità. Si dovrebbe mirare ad una disciplina organica, che non confini il dato tecnico alla fase della semplice operatività dello strumento.
Il funzionamento del captatore – sin dalla sua attività di attacco intrusivo – impatta sulle libertà fondamentali e sulla riservatezza degli individui: l’argine più sicuro per i nostri diritti è costituito da regole puntuali ed effettive che forniscano una disciplina globale dello strumento, che non sia parcellizzata rispetto ai suoi risultati e che trovi nel bilanciamento costituzionale il criterio guida e limite.