Da quando ci svegliamo e sino al termine della giornata, non facciamo altro che venire in contatto con strumenti tecnologici di ultima generazione. La nostra vita, con l’avvento di internet e degli smartphone, è cambiata radicalmente. E con essa, sono mutati altresì i rapporti sociali. In questi giorni di lockdown, le nuove tecnologie sono state fondamentali: abbiamo potuto sentire i nostri familiari e i nostri amici, abbiamo lavorato da casa e abbiamo potuto, persino, seguire una lezione o fare un lavoro di gruppo con i nostri colleghi via Skype.

Anche nel diritto, le nuove tecnologie stanno sempre più svolgendo un ruolo chiave: internet e i nuovi strumenti informatici, negli ultimi anni, danno un aiuto concreto anche alla Procura della Repubblica per lo svolgimento delle proprie indagini. Avremo tutti sicuramente sentito parlare di intercettazioni; queste ultime, oggi, non vengono svolte solo e soltanto attraverso le vie tradizionali, ma possono avvalersi di un nuovo strumento, il c.d. captatore informatico (noto ai più come trojan horse).

Il termine Trojan viene utilizzato per indicare un malware che, come affermano le Sezioni Unite, viene installato in un dispositivo bersaglio (un computer, uno smartphone o un tablet), di norma da remoto e all’insaputa di chi ne fa uso, mediante l’invio di una mail, un sms o un’aggiornamento software. Una volta installato, il Trojan è molto potente in quanto è in grado di attivare automaticamente il microfono e la webcam del dispositivo per ascoltare tutto quello che si dice attorno, nonché di geolocalizzarlo, sfruttando il sistema g.p.s. Una volta terminate le operazioni, le registrazioni e i verbali devono essere trasmessi al pubblico ministero, il quale li conserverà in un apposito archivio digitale. Successivamente, il pubblico ministero farà un elenco contenente le conversazioni utili ai fini della prova, mentre le intercettazioni irrilevanti rimarranno segrete. I difensori hanno la possibilità di prendere visione dell’elenco, ascoltare le registrazioni ed estrarre copia.

È il d.lgs 29 dicembre 2017, n. 216 che ha disciplinato per la prima volta l’utilizzo del captatore informatico, prevedendone la legittimità dell’utilizzo nelle inchieste per i reati gravi quali quelli di criminalità organizzata e terrorismo. Secondo la giurisprudenza, il decreto del 2017 già prevedeva l’utilizzo dei captatori informatici nelle indagini per reati contro la pubblica amministrazione, limitandone, però, l’utilizzo nel domicilio, in assenza di sospetti sullo svolgimento di attività criminale. Tuttavia, con la l. n. 3/2019 – c.d. spazzacorrotti -, il Legislatore ne ha esteso la generale utilizzabilità anche ai reati contro la pubblica amministrazione commessi da pubblici ufficiali, puniti con la reclusione non inferiore nel massimo a cinque anni. Più precisamente, l’intercettazione tra presenti tramite trojan può essere eseguita nei luoghi indicati dall’art. 614 c.p. – e cioè nelle abitazioni o in altri luoghi di privata dimora – anche quando non ricorre il requisito aggiuntivo richiesto dall’art. 266, comma 2, c.p.p. che presuppone, per la legittimità delle captazioni in luoghi domiciliari, che sia in atto l’attività criminosa.
Sarà il ministro della Giustizia a dover stabilire i requisiti tecnici che i malware destinati alle intercettazioni giudiziarie dovranno rispettare, in termini di affidabilità, sicurezza ed efficacia.
Al contrario, l’utilizzo del nuovo mezzo tecnologico è stato escluso per i reati comuni perché, non essendo possibile prevedere espressamente tutti i luoghi di privata dimora nei quali il dispositivo elettronico potrebbe essere introdotto, non sarebbe possibile verificare il rispetto della condizione di legittimità richiesta dall’art. 266, comma 2, c.p.p.

Già nel 2016 (ancora in assenza di riforma legislativa), le Sezioni Unite avevano aperto all’utilizzo del nuovo strumento per realizzare intercettazioni “tra presenti” nei soli procedimenti per delitti di criminalità organizzata (28 aprile 2016, n. 26889, sentenza Scurato). Tuttavia, sin da quel momento, la Corte aveva nutrito non pochi dubbi: in particolare, era manifesta la consapevolezza che il nuovo strumento investigativo avrebbe potuto prestarsi a strumentalizzazioni, nel senso che avrebbe potuto essere impiegato al di fuori dei casi di indagini relative ai reati di “criminalità organizzata”. Riconoscendo la particolare forza intrusiva del mezzo sulle prerogative individuali, infatti, la Corte aveva precisato che «la qualificazione del fatto reato, ricompreso nella nozione di criminalità organizzata, deve risultare ancorata a sufficienti, sicuri e obiettivi elementi indiziari, evidenziati nella motivazione del provvedimento di autorizzazione in modo rigoroso». Inoltre, deve essere messo in luce, altresì, il necessario bilanciamento tra i diritti costituzionali individuali (violati) e quelli collettivi (preservati).
Il provvedimento autorizzativo riveste, di conseguenza, «una fondamentale funzione di garanzia, spiegando le ragioni dell’assoluta indispensabilità dell’atto investigativo e indicando con precisione quale sia il criterio di collegamento tra l’indagine in corso e la persona da intercettare».

Con sentenza n. 51 del 2 gennaio 2020, le Sezioni Unite della Cassazione sono di nuovo ritornate sul problema dell’utilizzazione delle intercettazioni in procedimenti diversi da quello per cui erano state disposte, sulla quale erano state svariate criticità, evidenziate in dottrina e giurisprudenza.
La questione, in termini semplici, riguarda la possibilità o meno di utilizzare conversazioni intercettate nell’ambito di un’indagine per reati verosimilmente gravi nell’ambito di un altro procedimento, riguardante, magari, reati per i quali le intercettazioni non sarebbero ammissibili.
Le Sezioni Unite, nuovamente, hanno assunto una decisione condivisibile nella sostanza e nella ratio, affermando che le intercettazioni disposte in un procedimento diverso da quello per cui sono state autorizzate possono essere utilizzate solo nelle ipotesi di reati per i quali la legge prevede l’arresto obbligatorio in flagranza.

Alla luce di questo orientamento, è da segnalare che, nel corso degli anni, vi è stato un uso prudentedel captatore informatico nelle indagini. Non solo perché anche dagli stessi magistrati delle Procure della Repubblica è percepito come uno strumento invasivo. Ma anche per i costi elevati che il captatore informatico presenta, a maggior ragione in questo periodo di frequente richiamo al contenimento delle spese per le intercettazioni. Dai dati del Tribunale di Milano, se la spesa per intercettazioni telefoniche (tradizionale) è pari a €4 al giorno e quella per intercettazioni ambientali pari a €60 al giorno, quella, invece, per le intercettazioni telematiche, di cui stiamo trattando, è di ben €150 al giorno. Infine, vi sono anche dei problemi pratici da superare: per esempio, l’eccessivo uso delle batterie dei dispositivi portatili, la necessità di sfuggire agli antivirus e ai firewall.
Ciò nonostante, il problema più grande è, e rimane, la mancanza di una disciplina completa e precisa. Il trojan è normato, ma mancano i decreti ministeriali che indichino quali debbano essere le caratteristiche tecniche dell’intrusore informatico. C’è infatti il problema dell’inoculazione, ma vi è anche il problema della disattivazione. Altro aspetto importante riguarda la perquisizione, poiché si acquistano tutti i dati nella memoria del dispositivo. Tutto questo non è normato. Mancano delle norme certe che evitino la manipolazione dei dati; e ciò, nel mondo di oggi dove questi ultimi sono pagati a peso d’oro, è ancora più grave. Tutto ciò è aggravato anche dal fatto che, secondo diverse inchieste giornalistiche, sembra che i dati non viaggiano direttamente dal dispositivo al server della Procura, ma passano prima per un altro server, di terzi soggetti. È, ad esempio, il caso dei dati raccolti con il malware Exodus, i quali finivano su server negli Stati Uniti, accessibili da qualsiasi dispositivo e browser, in una sorta di caveau da cui chi aveva le chiavi avrebbe potuto ottenere informazioni sensibili per attività di dossieraggio.
Lo Stato si affida, per l’installazione e la cura dei captatori informatici, a società private. Ciò rende, infatti, assai più permeabile la filiera su cui si snoda l’attività di indagine, coinvolgendovi una pluralità di soggetti, spesso privi dei requisiti professionali, organizzativi e persino dell’affidabilità, necessari per svolgere un’attività così delicata quale quella intercettativa. La soluzione non può che essere, a mio parere, un trojan di Stato. Progettato, ma soprattutto controllato da uomini dello Stato.

In conclusione, le tecnologie possono essere una buona opportunità, ma devono essere governate. E i diritti dell’uomo possono essere messi a dura prova da questi nuovi strumenti di sorveglianza.
Si tratta di strumenti utilissimi per contrastare la mafia, il terrorismo, la corruzione però rischiano, senza essere governati, di trasformarsi in mezzi di sorveglianza di massa, come ha affermato il Garante della Privacy, chiedendo, al Parlamento e al Governo, di risolvere alcune criticità perché l’indagato rischia di essere scoperto in materia di garanzie e tutele. E, infatti, si chiede di indicare i limiti nelle intercettazioni telematiche, il luogo delle intercettazioni e le modalità con cui si intercetta, di come vengono trasmessi i dati e come vengono conservati. Il trojan, a differenza delle normali intercettazioni telefoniche o ambientali, non “spia” solo e soltanto l’indagato ma fa molto di più, coinvolgendo anche terzi estranei alle conversazioni registrate e accedendo ad un’infinità di dati presenti nel dispositivo come foto, video, mail, messaggi e password.

La risposta del Governo non si è fatta attendere: con 246 voti favorevoli e 169 voti contrari la Camera ha approvato definitivamente la legge sulle intercettazioni, che entrerà in vigore nel mese di maggio 2020, con il quale si prevedono norme più serrate a tutela della privacy. È previsto divieto di pubblicazione per le intercettazioni irrilevanti che saranno coperte da segreto e non pubblicabili. La valutazione circa la rilevanza delle intercettazioni viene rimessa al Pubblico Ministero e poi al Giudice per le indagini preliminari. La pubblica accusa avrà altresì un potere di vigilanza: dovrà controllare circa l’eventuale trascrizione di espressioni sensibili e/o lesive della reputazione dei singoli.