Col cosiddetto «caso Palamara», cioè lo scandalo che ha investito il Consiglio superiore della magistratura, è emerso in tutta la sua dirompenza all’attenzione dell’opinione pubblica italiana il tremendo potenziale della captazione informatica.
Parte delle intercettazioni effettuate nel corso dell’inchiesta che ha coinvolto tra gli altri l’ex segretario dell’Associazione nazionale magistrati Luca Palamara, indagato per corruzione, sono state divulgate.
Molti delle informazioni ricavate da queste intercettazioni erano frutto dell’azione di un virus informatico.
Un trojan, cioè un captatore informatico che la cosiddetta legge «spazza corrotti» aveva consentito di “introdurre” all’interno del Csm.
Ovviamente, le intercettazioni – incluse le captazioni informatiche – risultano fondamentali al successo nella prevenzione (e nella repressione) del crimine, tuttavia, in un mondo tecnologizzato come quello di oggi esse espongono i cittadini anche a seri rischi di distorsioni e invasività. In poche parole, tutti corrono il rischio di venire spiati.
Il Decreto ministeriale 20 aprile 2018 in materia di intercettazioni mediante inserimento di captatori informatici e alle rilevazioni effettuate dal Garante per la protezione dei dati personali è stato recentemente oggetto di una interpellanza parlamentare urgente a firma dell’Onorevole Riccardo Magi, appartenente al Gruppo misto della Camera dei Deputati, Più Europa-Centro democratico, calla quale ha poi replicato per il Governo Conte il Sottosegretario di Stato Vito Claudio Crimi, del Movimento 5 stelle, attuale viceministro dell’Interno.
Dall’interpellanza dell’Onorevole Magi emerge che i costi per intercettazioni da anni costituiscono la voce di spesa maggiore nel bilancio dello Stato con relazione agli Uffici giudiziari, poiché da tempo superano ormai l’80% del totale.
Secondo le informazioni rese note nel 2017 dalla Direzione generale statistiche del Ministero di Giustizia, la spesa per intercettazioni a carico dell’erario è ammontata a oltre 168 milioni di euro, restando quindi in linea con quella degli anni precedenti.
Sempre nello stesso anno sono stati invece oltre 127.000 i “bersagli”, nel cui ambito il peso specifico maggiore era rappresentato dalle intercettazioni telefoniche (più di 106.000), mentre circa 16.000 erano le intercettazioni ambientali.
Le imprese attive nel settore delle intercettazioni sono 148, esse impiegano poco meno di 2.000 dipendenti, che nel corso di un anno hanno effettuato complessivamente 198.000 interventi, fatturando circa 285 milioni.
Quello dei costi, tuttavia, rappresenta soltanto un aspetto della materia relativa alle intercettazioni, dato che si tratta di un universo comprendente aziende e operatori assai diversificati tra loro. Tuttavia, esse posseggono tutte un elemento comune, quello di trattare dati sensibili.
Alcune, quelle maggiormente strutturate, conseguono fatturati oscillanti tra i venti e i trenta milioni di euro (ad esempio RCS, Innova, IPS e Loquendo), poi ci sono una miriade di altre piccole imprese che fatturano poche centinaia di migliaia di euro.
Nell’aprile del 2019 esplose il caso dei dati captati nel corso delle intercettazioni alla Procura della Repubblica di Benevento, in altre Procure della Repubblica e alla Direzione Centrale dei Servizi antidroga.
I dati allora ricavati, che vennero gestiti dalla società a responsabilità limitata STM a seguito di un appalto ottenuto mediante gara pubblica, anziché finire nei server dei magistrati (che risultarono vuoti) vennero veicolati direttamente su un cloud Amazon negli Usa.
Successivamente – nel mese di maggio -, la Procura della Repubblica di Perugia trasmise al Consiglio superiore della magistratura i verbali delle intercettazioni delle conversazioni tra magistrati dello stesso Csm e alcuni politici, dialoghi aventi a oggetto il futuro assetto delle nomine dei principali uffici giudiziari.
Ma, nonostante la segretezza nella quale si sarebbero dovute mantenere quelle registrazioni ottenute mediante l’impiego del virus Trojan Horse , esse vennero invece pubblicate dagli organi di stampa, con le immediate conseguenze della rassegnazione delle dimissioni dall’incarico ricoperto dai consiglieri coinvolti nello scandalo e dello stravolgimento dell’originario assetto dell’organo di autogoverno della magistratura.
Il problema però non riguarda solo la sicurezza nella gestione dei dati intercettati dall’Autorità giudiziaria nel quadro di indagini di natura penale, che come nel caso descritto possono essere strettamente connessi alla sicurezza dello Stato e alla vita stessa delle persone.
Infatti, lo spyware “Exodus” realizzato da una società italiana, negli ultimi due anni sarebbe stato distribuito su dispositivi Android tramite almeno una ventina di app scaricabili dalla piattaforma ufficiale Playstore di Google.
Esso avrebbe quindi infettato i dispositivi di centinaia di cittadini che non avevano nulla a che fare con inchieste e procedimenti penali.
Al riguardo, a conferma della gravità di questa situazione e dei rischi connessi, il Garante della protezione dei dati personali Antonello Soro ha affermato che:
«La notizia dell’intercettazione di centinaia di cittadini italiani del tutto estranei a indagini giudiziarie, effettuate per un mero errore di funzionamento di un captatore informatico utilizzato a fini investigativi desta grande preoccupazione. Emerge con evidenza inequivocabile la notevole pericolosità di strumenti, quali i captatori informatici, che, per quanto utili a fini investigativi rischiano, anche soltanto sul piano tecnico, se utilizzati in assenza delle necessarie garanzie, di determinare inaccettabili violazioni della libertà dei cittadini».
Lo stesso Soro ha poi aggiunto che: «Tali condizioni erano già state rivolte al Governo in sede di parere sullo schema di decreto legislativo di riforma della disciplina in materia di intercettazioni che ha normato anche lo strumento del trojan, quanto poi sullo schema di decreto attuativo che avrebbe dovuto introdurre garanzie adeguate nella scelta dei software da utilizzare».
Era stata conferita una delega all’esecutivo relativa a tutti questi aspetti, compresi quelli attinenti ai costi, che tuttavia non si è mai concretizzata in atti.
A completamento del quadro, va rilevato che attualmente nei rapporti intercorrenti con le società di intercettazione ogni Procura della Repubblica si regola diversamente e, spesso, il criterio alla base delle scelte riguardo agli operatori cui commissionarle viene rinvenuto nella economicità (prezzi minori).
Ma – come affermato dai Capi delle maggiori Procure del Paese – occorrerebbero delle norme centralizzatrici che prevedano controlli e verifiche sulle attività poste in essere da tali società di diritto privato, anche attraverso la istituzione di uno specifico albo e di un’autorità di controllo che sia in grado di verificare la loro reale abilitazione al trattamento di informazioni, documenti o materiali classificati dal livello di riservatissimo a quello di segretissimo.
Questi Procuratori hanno inoltre rinvenuto l’opportunità dell’emanazione di un bando centralizzato attraverso il quale il Ministero della Giustizia possa stabilire un «prezzo nazionale».
Stando a quello che si è trapelato dal dicastero di Via Arenula, sarebbe stato istituito un tavolo di lavoro, inoltre, in vista del processo penale telematico, il Ministero starebbe operando presso le sedi delle varie Procure della Repubblica per installare dei server ministeriali la cui finalità sarà anche quella di incrementare i livelli di sicurezza.
Tutto ciò premesso, l’interpellante – cioè l’Onorevole Magi – richiedeva al Governo se fosse intenzionato a rivedere l’impianto del Decreto ministeriale 20 aprile 2018, quello recante disposizioni di attuazione in materia di intercettazioni mediante l’inserimento di captatori informatici e di accesso all’archivio informatico a norma degli articoli 7 comma 1 e 3 del Decreto legislativo 216/2017, recependo le osservazioni del Garante per la protezione dei dati personali.
Inoltre – chiedeva nella stessa sede l’interpellante -, quali iniziative il Governo intendesse assumere al fine di assicurare che le società che forniscono questi servizi siano vincolate a misure tecniche di sicurezza maggiormente stringenti ed efficaci, sulla base degli standard internazionali al fine di impedire in futuro ulteriori violazioni e contemperare al contempo la possibilità di utilizzare tali strumenti investigativi nel rispetto di elevati livelli di garanzia per la sicurezza dello Stato e le libertà dei cittadini.
La risposta del Sottosegretario di Stato Vito Claudio Crimi aveva replicato affermando che «nel corso degli ultimi anni era andata registrandosi una significativa riduzione delle spese per intercettazioni» e si era passati dai 300 e 280 milioni di euro (rispettivamente degli anni 2009 e 2010) a circa 205 milioni nel 2018, un ammontare quindi inferiore allo stanziamento definitivo in bilancio, pari a complessivi 230 milioni.
«La materia delle intercettazioni – aveva aggiunto Crimi – rappresenta uno dei campi elettivi nei quali il Governo conduce la sua politica di contenimento e razionalizzazione della spesa pubblica. Nel solco tracciato dalle disposizioni relative al riordino della spesa per le prestazioni di intercettazione, come contenute nella Legge 103/2017, con decreto del Ministero della Giustizia e del ministro dello Sviluppo Economico, di concerto con il ministro dell’Economia e delle Finanze, adottato il 28 dicembre 2017, si è già provveduto alla revisione delle voci di listino relative alle cosiddette «prestazioni obbligatorie», ovvero il complesso delle attività affidate ai sistemi di comunicazione gestiti dagli operatori concessionari dei servizi di telecomunicazione».
Quanto alle prestazioni funzionali che abbracciano il variegato insieme di tutte le altre operazioni di intercettazione di comunicazioni (che non transitano attraverso la linea telefonica e la cui captazione avviene in luoghi posti fuori dal dominio degli operatori delle telecomunicazioni ), sarebbero in via di conclusione presso il Ministero di Giustizia i lavori di stesura del decreto previsto all’articolo 1 comma 89 della richiamata Legge 103/2017, nel contesto di un tavolo che – secondo il viceministro – «si avvale dell’apporto di interlocutori particolarmente qualificati».
In linea con indicazioni fornite dal legislatore, a breve i lavori approderanno alla definizione di una nomenclatura completa ed esaustiva di tutte le tipologie di prestazioni e a un listino che consenta un significativo contenimento dei costi, garantendo al contempo i massimi standard qualitativi per ogni singola prestazione.
«L’attività in corso – proseguiva Crimi – si innesta nel più ampio alveo del processo riformatore che sta interessando l’intera materia delle intercettazioni e che già da diverso tempo vede impegnata l’Amministrazione della Giustizia sui versanti normativo e organizzativo. Presso il Ministero si è lavorato alacremente al fine di migliorare e ottimizzare l’impiego di questo prezioso e irrinunciabile strumento di indagine anche nelle sue forme più innovative, ovvero il cosiddetto trojan, o “captatore informatico”, oltreché sul piano dell’efficacia e della resa investigativa, sul versante della sicurezza delle comunicazioni».
Incidentalmente, è opportuno evidenziare che lo sviluppo di Exodus o di altre applicazioni similari non è stato commissionato dal Ministero della Giustizia, dalle cui competenze esula completamente.
Gli incarichi conferiti alle imprese esterne che forniscono servizi del genere sono infatti conferiti dalle singole Procure della Repubblica nell’ambito dei poteri investigativi previsti dalle norme vigenti, con la conseguenza che non vi è una correlazione tra i due fenomeni.
In ogni caso sono in atto presso il Ministero della Giustizia iniziative volte a incrementare sensibilmente il livello di sicurezza, innanzitutto attraverso la possibilità di installare server ministeriali presso le sale CIT (Centro intercettazioni telefoniche) degli uffici delle Procure.
Nella medesima direzione si muoverebbero le prospettive di riforma che prevedrebbero che il flusso comunicativo captato sia riversato esclusivamente sui predetti server, e che i programmi funzionali alle operazioni di intercettazione mediante captatore informatico siano conformi agli standard tecnici predefiniti a livello ministeriale.
«Lo sforzo fin qui profuso – ha infine concluso Crimi nella sua replica – volge anche nella direzione del potenziamento al massimo livello possibile delle prerogative difensive, delineando un impianto normativo che consenta di coniugare in un ottimale punto di equilibrio le esigenze di giustizia, il diritto alla difesa, la privacy e il diritto a informare ed essere informati, che pure costituisce un pilastro fondante della democrazia».
Soltanto una parziale soddisfazione, secondo il parlamentare interpellante, «poiché si nutrono preoccupazioni riguardo al costante ampliamento del raggio d’azione di questi strumenti. Basti pensare che persino nel “decreto fiscale” attualmente in fase di conversione, viene previsto un aumento del numero dei reati per i quali sarà possibile utilizzare le intercettazioni, che sono sì uno strumento che può risultare efficace, addirittura formidabile in alcune fasi investigative nel contrasto del crimine, ma che d’altro canto rischia di generare una serie di abusi, soprattutto a causa della sistematica diffusione delle informazioni frutto di queste attività investigative, anche riguardo a informazioni che dovrebbero rimanere tassativamente riservate e segrete in quelle fasi delle indagini».
Lo spaccato che emerge è dunque quello di una jungla del settore, all’interno della quale operano (anche) imprese private di dimensioni ridotte che, almeno nel passato, non si sono dimostrate in grado di garantire adeguati livelli di sicurezza alle tipologie di informazioni attinenti la stessa sicurezza dello Stato o, comunque, alla tutela di diritti costituzionalmente tutelati in capo ai cittadini.
