Chiamato in commissione giustizia dal senatore di Forza Italia Pierantonio Zanettin per spiegare come funzionano nella pratica i captatori informatici, i famosi trojan horse, il presidente dell’«Osservatorio sull’informatica forense» Paolo Reale ha finito con lo spaventare i commissari che con le audizioni di ieri hanno cominciato l’indagine parlamentare sull’uso delle intercettazioni. Reale è stato consulente della difesa di Luca Palamara, la più celebre vittima del “cavallo di Troia”, il virus informatico che può trasformare uno smartphone in un microfono ambientale e molto di più. «Il primo a non conoscere questo strumento è il legislatore», spiega Reale raggiunto al termine dell’audizione, «e il secondo è il pubblico ministero».
«Nell’ottica del magistrato inquirente – dice il consulente informatico – il trojan è uno strumento ideale, il punto è che senza conoscerne bene i meccanismi di funzionamento e dunque le problematiche, privilegiando il fine senza pensare ai mezzi, c’è il serio rischio di violare i diritti delle persone intercettate». Oggi siamo al punto, racconta Reale, che una sentenza della Cassazione ha ritenuto legittimo l’utilizzo come prova di uno screenshot catturato dal trojan mentre il proprietario del telefono stava visionando un foglio Excel, prova che essendo costituita da un documento andava ottenuta magari con un sequestro e non con un’intercettazione che può avere come oggetto solo le comunicazioni. Ma per la Cassazione, se non si trattava di comunicazione «in senso stretto» si è trattato comunque di «un comportamento comunicativo».
La intercettazione-perquisizione fatta dal trojan è potenzialmente senza limiti, perché il virus informatico può attivare non solo il microfono del telefono (che diventa microfono ambientale), ma anche scattare foto e registrare video, accedere alla rubrica, alle foto, al contenuto dei messaggi, delle mail e alla cronologia del browser. Il tutto senza lasciare traccia. Addirittura, ha spiegato Reale ai senatori, trojan di più recente generazione possono cancellare le prove, o produrle quando sono dotati dei privilegi di scrittura. Possono, per esempio, navigare autonomamente in rete e scaricare video o foto. E possono farlo anche senza lasciare alcuna traccia, perché una volta rimosso il trojan il suo passaggio può essere reso invisibile anche ai tecnici informatici. «Ha presente la classica scena del film americano in cui un agente provocatore mette una bustina di droga nella tasca di chi vuole incastrare? Con il trojan si può fare l’equivalente digitale, ma assai più facilmente e senza lasciare impronte».
Ecco perché secondo Reale i trojan avrebbero bisogno di essere regolamentati in maniera diversa e più rigorosa rispetto alle comuni intercettazioni telefoniche e ambientali, ed ecco perché la prima cosa da prevedere sarebbe la tracciabilità di tutto quello che è stato estratto e registrato. «Se un cittadino, magari per difendersi, vuole saper a quali dati e quando la polizia giudiziaria ha potuto aver accesso tramite il suo telefono adesso può non avere risposta». Altrettanto importante sarebbe avere una certificazione delle aziende, molto spesso estere, che effettuano il servizio di intercettazione su mandato delle procure. Al momento non c’è chiarezza sui requisiti base (un tavolo tecnico tra ministero e aziende del settore previsto da cinque anni non è stato istituito) e quindi neanche sulle procedure di chi in concreto intercetta. Per esempio, racconta Reale, «è capitato di scoprire che un’azienda conservasse il materiale estratto dai telefoni in un server di Amazon in Oregon». In teoria tutto dovrebbe invece restare sui server della procura che indaga. «Sono errori che derivano dal fatto che nessuno controlla, quindi le aziende anche in perfetta buona fede cercano i sistemi per risparmiare o per rispondere più rapidamente alle richieste della polizia giudiziaria». Polizia che, sempre in teoria, dovrebbe essere l’unica a poter gestire i trojan, per esempio accendendo e spegnendo il microfono, una volta che il virus, con la complicità del gestore telefonico, è stato inoculato. Ma non sempre accade. Così come non c’è certezza che i tecnici della ditta che effettua il servizio (a pagamento, 150 euro al giorno) non possano accedere ai contenuti intercettati. «La possibilità tecnica c’è», ha detto reale rispondendo alle domande dei senatori, «e in campo informatico se una cosa è possibile poi succede».