Prodotti e tecnologie dual use, tra UE e giurisprudenza interna: sicurezza degli stati membri Vs esigenze di privacy
Il 2017 segna la mediaticizzazione del c.d. “captatore informatico”, un particolare cavallo di troia che, per esigenze di spionaggio d’intelligence, si trova al centro della disputa su diversi tavoli tecnici, siano essi giuridici, di ricerca scientifica, di tutela della privacy o di business commerciale.
La cromaticità di detti distinguo si riverbera, in un contesto comunitario, negli interessi che l’UE destina alle tante architetture legislative che, almeno agli occhi di un profano, sembrano cautelare aspetti commerciali piuttosto che di carattere giudiziario.
Evoluzione legislativa europea sulle tecnologie comunicative e dual use
In precedenza ci eravamo soffermati sull’evoluzione de Il captatore informatico “Trojan”: stato dell’arte e profili giuridici, poi addentrandoci negli interessi del legislatore interno verso I devices elettronici quali appendici bioniche ed il DDL sui trojan.
La comunità europea, nel trattare in linea generale le tecnologie comunicative, aveva votato una Risoluzione (CE L.I. 17.1.1995) rivolta a disciplinare gli obblighi dei gestori di servizi telefonici nei riguardi degli interessi di giustizia comunitari, attraverso l’installazione di idonee L.I.G.(Legal Interception Gateway) lungo i L.I.N. (Legal Interception Nodes).
Attuazione delle direttive UE e problematiche delle intercettazioni
Una risoluzione che avrebbe trovato adozione solo 7 anni più tardi, con la Direttiva CE 2002/ 19-20-21-22, recepita in Italia con il Codice delle Comunicazioni elettroniche (Dlgs 259/2003) che, all’art. 97, disegna il concetto di “gestore telefonico e di prestazione obbligatoria per fini di Giustizia”.
Una tematica di interesse delle Lawtuful Interceptions, che influenza le linee guida a puntello dei protocolli ETSI (European Telecommunication standard institute), rivolti a disciplinare gli standards comunitari per esigenze commerciali.
Questioni che, nel concreto, sono state oggetto di attuazioni miopi quanto isteriche: per un verso in quanto i gestori telefonici, interessati ad introiti miliardari hanno, si, offerto delle “prestazioni” per ragioni giudiziarie ma, parallelamente, hanno maturato un fatturato commerciale per ragioni istituzionali sempre in vorticosa crescita con una fatturazione di spesa che, nella realtà interna, vede i “capitoli per le spese di giustizia” implodere alla voce “intercettazioni”.
Però, ammesso il disinteresse comunitario nelle spese di giustizia degli stati membri a favore delle multinazionali della telefonia, quel legislatore non si è minimamente posto, ad oggi, il problema dell’individuazione reale dei “gestori telefonici”.
Un lessico stringato che vede attori i soliti brand di settore, da TIM, a VODAFONE, a WIND TRE, e le tante altre società che, fino alla COOP ed alla RFI si interessano di telecomunicazione; dimenticando, non si comprende come, i loghi di quelle aziende, con fatturati a troppi zeri che utilizzano, in modalità di default, sistemi di comunicazione proprietari sui devices commercializzati – dalla California, alla Cina, ai quattro continenti – così come quelle applicazioni dei social media che gestiscono oltre il 80% delle comunicazioni di messaggistica, di scambio multimediale e di comunicazione attraverso protocolli di Voice over Internet Protocol.
Accade allora che in Italia, ad oggi, le Procure della Repubblica si trovano a rimborsare cartelle pazze per spese di intercettazione di flussi telematici ex art. 266 bis cpp, che contengono, al loro interno, il peso di “dati” non fruibili in quanto coperti da sistemi HTTPS che non sempre si riesce a vulnerare con i tradizionali sistemi di intercettazione.
Ecco, de plano, il ricorso al trojan horse in grado di insinuarsi – tra operazioni di root e di jailbreak – nei sistemi operativi a portata di taschino, divenendo anonimo e fidato amministratore di sistema per ragioni di spionaggio, con una richiesta sempre più crescente a dispetto di una offerta alle volte sprovveduta (come le criticità di sistema sofferte qualche tempo addietro da una nota azienda di hacking di Milano) e con potenzialità ridotte ed in affanno rispetto allo sviluppo tecnologico ed agli aggiornamenti di sistema sempre più frequenti.
Regolamentazione UE sulle tecnologie dual use e software di intrusione
Da un punto di vista regolamentativo, la Comunità Europea si interessa di tecnologie “dual use” ormai dal nuovo millennio allorquando, nel 2000, varò il primo Regolamento CE 1334/2000, sul controllo delle esportazioni di prodotti e tecnologie dual use: un esempio tra i tanti è quello dei tanti IMSI Catcher, quelle valigette in un primo momento idonee ad identificare l’accoppiamento macchina/numero (IMEI/IMSI) di un telefono cellulare e, di lì a poco, in grado di intercettare le comunicazioni GSM: l’Italia avrebbe poi recepito le direttive europee sulle tecnologie dual use, con l’adozione del D.Lgs. 96/2003.
Uno scenario che, ormai da tempo, sta spostando la focale di spettro verso la sentiment analysis ed il monitoraggio delle fonti aperte attraverso invasivi software in grado di effettuare massive ricerche di social media intelligence con monitoraggi strategici della ragnatela sui macronodi di comunicazione.
Ma alle tecnologie a duplice utilizzo, negli anni a venire la comunità internazionale avrebbe introdotto un altro concetto semantico: “il software di intrusione”, regolamentato nell’ Unione Europea con il Regolamento UE 1382/2014 ed ulteriormente disciplinato dal recente Regolamento UE 1996/2016, in tema di esportazione di prodotti “dual use”.
Implicazioni giuridiche e sfide future
Un’accezione semantica che, nella giurisprudenza interna, ha trovato recente compendio, questa volta con il termine di “captatore informatico”, come già richiamato con gli articoli che precedono facendo cenno alla nota “Sentenza Scurato” ( SS.UU. Pen. n. 26889 del 28.4.2016).
Si tratta di questioni che si intersecano, tra dinamiche commerciali seguite passo passo nello scenario comunitario e che, cum grano salis, trovano riscontro nella legislazione interna rivolta a disciplinare ex novo le intercettazioni, nell’alveo giudiziario, attraverso il DDL di cui abbiamo diffusamente trattato e che sta già registrando articolate critiche ed osservazioni nel contesto di più approfondimenti giuridici sul tema, come avvenuto, ad esempio, lo scorso 21 luglio in occasione di un evento di alta formazione organizzato dalla Scuola Superiore di Magistratura a Reggio Calabria sul tema “Il captatore informatico: cos’è e come funziona”.
Si tratta, nel concludere il breve inciso sulle tecnologie dual use, di una questione “polemogena” – utilizzando qui il lessico del noto Giovanni Fiandaca – che vede configgere interessi interni di amministrazione della Giustizia, di sicurezza nazionale, di rispetto della privacy, di salvaguardia dei diritti fondamentali dell’uomo, di abbattimento dei muri e di costruzione di reti sociali virtuali, ma che da ultimo, seppur non per ultimo, deve fare i conti con una esplosione terroristica attraverso le nuove tecnologie con attacchi informatici e tecniche avanzate di comunicazione sul web che sono anni luce avanti rispetto agli strumenti oggi fruibili da intelligence e corpi d’elite delle forze di polizia e di sicurezza comunitarie.
Una focale che merita, ad avviso di chi scrive, una oculata interpretazione e revisione – per ragioni di sicurezza geopolitica globale – di quella nota di biasimo che la Grande Camera della Corte di Strasburgo aveva fatto lo scorso anno nel procedimento RUSSIA/ZAKAROV, indicando che la Russia andrebbe tecnologicamente oltre ciò che è necessario.
A cura di: Michelangelo Di Stefano
Dottore in Giurisprudenza, in Comunicazione Internazionale, specialista in Scienze delle Pubbliche Amministrazioni ed esperto in Criminologia, è un appartenente ai ruoli della Polizia di Stato.
Si interessa da oltre venti anni di tecnologie avanzate nelle intercettazioni audio video e localizzazioni, con approfondite ricerche nel settore della comunicazione in ambito investigativo e forense.
E’ esperto di balistica a tiro curvo, di topografia e cartografia militare, di analisi e profiling, con specializzazioni in campo nautico, subacqueo e nel settore delle operazioni investigative speciali sotto copertura.
Ha maturato esperienza trentennale nella P.A. presso i Ministeri della Difesa, del Tesoro ed Interno, è stato formatore e componente di comitati scientifici di alcuni atenei, scuole internazionali di management e di riviste di informazione e formazione giuridica, nel settore delle scienze criminologiche applicate alle investigazioni, all’intelligence ed al contrasto al terrorismo.