Intercettazioni del web: la privacy dell’individuo Vs la sicurezza nazionale e comunitaria
Le intercettazioni del web sono diventate uno strumento essenziale per garantire la sicurezza nazionale, soprattutto di fronte alla crescente complessità delle comunicazioni digitali. Le tecnologie avanzate come i trojan e altri strumenti di “dual use” consentono alle autorità di superare le barriere imposte dai moderni sistemi di crittografia. Tuttavia, l’uso di queste tecnologie deve essere bilanciato con il rispetto delle normative giuridiche, inclusi i diritti alla privacy e alla protezione dei dati, per evitare abusi e garantire la legittimità delle operazioni di intelligence.
Evoluzione delle intercettazioni del web e della sicurezza nazionale
In precedenti approfondimenti abbiamo trattato il captatore informatico “trojan”, ricostruendo l’evoluzione delle spie telefoniche ed “ambientali” per ragioni di giustizia e – nell’arduo tentativo di arginare il terrorismo moderno veicolato da sistemi di comunicazione sempre più evoluti e tecnologici – per ragioni di sicurezza e di intelligence istituzionale.
Quando si parla di “sicurezza nazionale” particolare rilievo assume il concetto espresso dall’art. 52 della nostra Carta costituzionale ove “la difesa della patria” è da considerarsi “sacro dovere del cittadino”; si tratta di un obbligo, uti cives, che sovrasta quei principi fondamentali di “libertà e segretezza della corrispondenza e di ogni altra forma di comunicazione” previsti dall’art. 15 di quel documento lasciatoci in preziosa eredità dai nostri padri costituenti.
Giurisprudenza della Corte Costituzionale sulla sicurezza dello Stato
Un inciso che ha trovato più volte compendio nella giurisprudenza del nostro giudice delle leggi, evidenziando il supremo interesse della sicurezza dello Stato nella sua personalità internazionale, all’interesse dello Stato-comunità alla propria integrità territoriale, alla propria indipendenza ed alla sua stessa sopravvivenza” (Corte Costituzionale, sentenza n. 106 del 3 aprile 2009).
Ed in questo scenario la personalità internazionale dello Stato deve fare i conti con le fonti del diritto europeo, spesse volte “inventandosi”, nel tentativo di arginare in modo efficace le sfide criminali transnazionali e quell’escalation fatta di terrorismo e comunicazione che, ormai, si muove senza soluzioni di continuità imponendo una costante ricerca tecnologica rivolta a realizzare idonei sistemi di prevenzione e contrasto, in primis in ambito socio-comunicativo.
Esigenze di privacy, sorveglianza e tutela dei diritti umani
Si tratta di dinamiche complesse ed in continua evoluzione che, da una parte, devono interfacciarsi con le esigenze esterne imposte dai vari organismi sovranazionali, come la risoluzione ONU 68/167 del 2013 che, nel trattare “la privacy nell’era digitale”, ha invitato gli Stati a rivedere le procedure e le norme in materia di intercettazioni, raccolta e conservazione di dati, al fine di rafforzare la tutela dei diritti umani.
Dall’altra, prestare ossequio a quel “diritto al rispetto della vita privata e familiare” sancito dall’art. 8 della CEDU e più volte richiamato recentemente dalla Grande Camera, come nella vertenza Zakharov Vs. Russia del 2016, massimando che la legge russa non soddisfa il criterio di “qualità della legge” e non è in grado di limitare le intercettazioni delle comunicazioni “a quanto necessario in una società democratica.”
Ed, ancora, nel contenzioso tra Szabo e Vissy contro l’Ungheria del 2014, annotando che la “sorveglianza segreta” sarebbe in grado di vulnerare la privacy di qualunque cittadino, quand’anche non coinvolto in attività terroristiche.
Lo spinoso concetto della privacy e della sua vulnerabilità, sia essa individuale o massiva all’interno di macroaree geografiche nel corso di attività di captazioni tattiche o strategiche, è stato ulteriormente classificato nell’ottica comunitaria, prevedendo una serie di “garanzie minime della legge nazionale sulle intercettazioni”, che la Corte di Strasburgo ha analiticamente descritto in più sentenze, come ad esempio nel caso Vetter contro Francia del 2005 ed in quello tra Kennedy contro il Regno Unito del 2010.
Disciplinando limiti e durata delle intercettazioni, l’organo preposto all’autorizzazione dell’istituto e la previsione di controllo da parte del giudice, la definizione delle categorie di persone intercettabili, l’utilizzazione e conservazione dei dati captati, i rapporti tra privacy e strumento di captazione, e la previsione della distruzione dei reperti.
Intercettazioni nell’Unione Europea e normative legali
Ma qual è il concetto di base delle intercettazioni nell’Unione Europea?
Il 17 gennaio 1995 il Consiglio Europeo aveva adottato una risoluzione sulle intercettazioni legali delle comunicazioni, c.d. Lawful Interceptions, per prevenire la criminalità ed il terrorismo, disponendo che i gestori di servizi telefonici abbiano l’obbligo di installare delle gateways di intercettazione legale lungo i nodi di comunicazione.
Alla cennata risoluzione erano seguite le direttive comunitarie 2002/19/20/21/22 CE, recepite in Italia con il “Codice delle comunicazioni elettroniche” abbinando, ai concetti di Legal Interception Gateway sulle dorsali parametriche di comunicazione, quello della “prestazione obbligatoria per fini di giustizia” da parte dei “gestori telefonici” (D. Lgs. 1 agosto 2003 n. 259, art. 97).
Una “direttiva”, ad oggi, evanescente in quanto allo status di “gestore telefonico” sfuggono, per ragioni di business commerciale, i tanti brand dei devices elettronici di alta fascia, da Apple con i sistemi Imessage e FaceTime, a Black Berry con la messaggistica pin to pin; ma anche i tanti applicativi di comunicazione multimediale che da WathsApp, a Telegram, Viber, Skype o Messenger, qui richiamando solo alcuni dei tantissimi strumenti di interazione comunicativa che, attraverso i moderni social media, utilizzano la rete ed i suoi gestori come mero vettore transitando sui nodi con comunicazioni cifrate blindate da algoritmi proprietari, non soggette – ad oggi – alle direttive sulle Lawful Interceptions.
Sfide tecnologiche alle intercettazioni tradizionali
Accade quindi, in buona sostanza, che l’utenza comunichi attraverso dispositivi elettronici con modalità che non sono captabili dagli ordinari sistemi di intercettazione esistenti, così eludendo le attenzioni delle forze di polizia e degli apparati di sicurezza e di informazione.
Ecco, allora, la necessità di realizzare uno strumento di intelligence performante e versatile, in grado, da una parte, di garantire il rispetto degli standards fissati dalla comunità internazionale ed europea in particolare e, per altro verso, attenersi ai precetti imposti dal legislatore interno in materia di intercettazioni di comunicazioni.
A prescindere dal fatto che si tratti di captazioni giudiziarie ex art. 266 e 266 bis cpp, di intercettazioni preventive ex art. 226 att. Cpp, di captazioni in materia di misure di prevenzione ex art. 78 del Decreto legislativo 06.09.2011 n. 159 e, soprattutto, al fine di agevolare le prerogative di intelligence riconosciute agli agenti delle due Agenzie di Informazione AISI ed AISE, ai sensi dell’art. 12 della L. 133 del 2013, che consentono la possibilità di procedere ad intercettazioni ed all’acquisizione di dati “quando siano ritenute indispensabili per l’espletamento delle attività demandate dagli articoli 6 e 7 della legge 3 agosto 2007, n. 124”.
Captatori informatici e Trojan: l’avvento di nuove tecnologie
L’avvento dei moderni captatori informatici, classificabili tra quelle attrezzature e strumenti che il legislatore comunitario aveva definito in precedenza come “tecnologia dual use”, cioè avente un interesse strategico governativo, ha fatto si che i devices elettronici infettati da un software di intrusione informatica, diventino dominio esclusivo dell’agente intercettante, così da acquisirne anche i più sensibili privilegi di amministrazione di sistema; ma, ancora, la possibilità che una attività di hackeraggio istituzionale sia in grado di effettuare un attacco informatico attraverso una intrusione M.I.T.M., c.d. “man in the middle”, così da captare – tra mittente e destinatario – il flusso di comunicazioni intercorse.
Si tratta di software, dotati di una serie di tools ed applicativi che rendono fruibile la piattaforma per svariate esigenze di investigazione e di intelligence, in grado di bypassare anche le più sofisticate procedure di sicurezza informatica che utenti esperti potrebbero realizzare quali contromisure di privacy: dalla crittografia dei dati sui sistemi Android alla blindatura dei protocolli iOS aggirabili attraverso complicate procedure di jailbreak, cioè di forzatura del sistema operativo.
Ma, anche, di interfacciarsi con gli strumenti di analisi relazionale utilizzati dai reparti investigativi d’elite a livello mondiale, da Analyst notebook all’interfaccia di rappresentazione dei tabulati telefonici Tetras 2 HPG, fino ai tanti sistemi di analisi relazionale approfondita dei social media, ormai al centro dei protocolli SOC.M.INT. di sentiment analysis.
Normative e prospettive future per gli Spyware
Spywares che dovranno, nei prossimi giorni, non solo rispettare le vigenti disposizioni normative interne e comunitarie sulle intercettazioni e sulle tecnologie a duplice utilizzo strategico ma, anche e soprattutto, le analitiche previsioni fissate dal disegno di legge sulle intercettazioni in fase di definizione presso le commissioni camerali del Parlamento, di cui abbiamo fatto un breve accenno trattando i devices elettronici quali appendici bioniche ed il DDL sui trojan.
Si tratta di uno strumento che, nell’immediato futuro, oltre ad essere performante e sempre in corsa con gli uploads di aggiornamento dei tanti sistemi operativi portatili, dovrà presentare le caratteristiche di trasparenza e tracciabilità, con la registrazione ad esempio, ab origine, di ogni operazione effettuata attraverso la loggatura, cioè la tracciatura dei files di log di ogni evento, e la strong authentication di ogni operatore già fissata in materia dal Garante per la privacy (provvedimento del 18 luglio 2013 n. 356, G.U. n. 189 del 13.8.2013).
Ciò al fine di evitare qualsivoglia manipolazione o utilizzo improprio dell’insidioso sistema di intercettazione, che potrà essere utilizzato beneficiando del know how del privato e della collaborazione ausiliaria di tecnici esterni altamente qualificati (ai sensi dell’art. 348 comma 4 cpp), nonché al fine di custodire e conservare in modo adeguato i dati sensibili intercettati, cautelati da esigenze di privacy del singolo.
Standard di Remote Forensics e georeferenziazione nei sistemi di intercettazione
Architetture informatiche che dovranno attenersi agli standards della remote forensics con la canalizzazione dei flussi sui server delle Procure mandanti, e prevedere la georeferenziazione del sistema così da poter individuare quelle aree precluse alle intercettazioni in quanto rientranti in quelle riserve di legge sui luoghi indicati all’art. 614 del codice penale, ed al centro del disegno di legge in itinere, sulla scia della recente “sentenza Scurato” (SS.UU. Pen. n. 26889 del 28.4.2016) attraverso cui le Sezioni Unite della suprema Corte di Cassazione hanno fissato alcuni principi di massima riguardo l’utilizzo dei trojan horses nel domicilio e nella privata dimora del soggetto investigato.
Sistemi di intercettazione che, nello scenario d’insieme, dovranno, probabilmente, considerare anche i profili giuridici riguardanti le manipolazioni del device attaccato, così da manlevare gli agenti inoculanti da qualsivoglia contenzioso anche in sede civilistica ed ai fini di possibili vertenze risarcitorie di garanzia del prodotto, evitando procedure di rooting o jailbraking degli stessi.
La tutela della privacy tra diritti individuali e sicurezza nazionale: tecnologie investigative avanzate e sfide future
Una funzionalità multitasking, per come emerso, ancora, dalla recente sentenza “Occhionero” (Cass. Pen. Sez. 5, n. 48370 del 30.5.2017), che nel futuro prossimo vedrà, molto probabilmente, giuristi ed esperti impegnati ad affrontare il distinguo tra il concetto di intercettazione di comunicazione tra presenti, di captazione di flussi telematici, di perquisizione informatica e di ogni altra “prova atipica”.
Una questione, quella della privacy e della censura delle comunicazioni, al centro di un interminabile de iure condendo che dovrà continuare a fari i conti con quel bisticcio che vede in gioco la sicurezza della nostra Repubblica, in contrasto con i ridondanti “diritti del cittadino” annotati all’ art. 15 della nostra Carta e scolpiti in quell’art. 8 sul “diritto al rispetto della vita privata e familiare” impostoci dalla convenzione di Parigi per la salvaguardia dei diritti dell’uomo.
Una attenzione, scrive Gianni Letta sul Il Foglio, trattando “la guerra d’intelligence” che “[…] nella nostra Carta costituzionale trova espressione all’articolo 52, in base al quale la difesa della patria è sacro dovere del cittadino. Norma tutt’altro che isolata, se è vero che essa deve essere posta in relazione con altre norme della stessa Costituzione che fissano elementi e momenti imprescindibili del nostro Stato quali la indipendenza nazionale, i principi dell’unità e indivisibilità dello Stato (art. 5) e la norma che riassume i caratteri essenziali dello Stato stesso nella formula di Repubblica democratica […]”.
Gli orientamenti fissati sul punto dai giudici costituzionali definendo i contorni dello “stato-comunità” , sono “[…] la puntuale ricognizione del perimetro costituzionale nel quale si inscrive – e al quale è saldamente ancorato – il complesso delle missioni istituzionali affidate dalla riforma alle due Agenzie di informazione: ricerca ed elaborazione di tutte le informazioni utili alla difesa dell’indipendenza, dell’integrità e della sicurezza della Repubblica per l’Aise, ricerca ed elaborazione di tutte le informazioni utili a difendere la sicurezza interna della Repubblica e le istituzioni democratiche poste dalla Costituzione a suo fondamento per l’Aisi [….]”.
Si tratta di un tema, in conclusione a questo breve approfondimento sulle intercettazioni del web, che palesa l’indispensabilità, da parte degli apparati governativi d’intelligence, di fare ricorso all’insidioso strumento investigativo offerto dai trojans e dagli altri sw e tecnologie dual use di ultima generazione, se si vuole salvaguardare, negli anni a venire, la salus rei publicae.
A cura di: Michelangelo Di Stefano
Dottore in Giurisprudenza, in Comunicazione Internazionale, specialista in Scienze delle Pubbliche Amministrazioni ed esperto in Criminologia, è un appartenente ai ruoli della Polizia di Stato.
Si interessa da oltre venti anni di tecnologie avanzate nelle intercettazioni audio video e localizzazioni, con approfondite ricerche nel settore della comunicazione in ambito investigativo e forense.
E’ esperto di balistica a tiro curvo, di topografia e cartografia militare, di analisi e profiling, con specializzazioni in campo nautico, subacqueo e nel settore delle operazioni investigative speciali sotto copertura.
Ha maturato esperienza trentennale nella P.A. presso i Ministeri della Difesa, del Tesoro ed Interno, è stato formatore e componente di comitati scientifici di alcuni atenei, scuole internazionali di management e di riviste di informazione e formazione giuridica, nel settore delle scienze criminologiche applicate alle investigazioni, all’intelligence ed al contrasto al terrorismo.