Pur mancando i decreti sulle specifiche tecniche, la riforma delle intercettazioni introduce una nuova gestione dei dati e amplia i reati per cui si possono utilizzare i captatori informatici
Dal 1 settembre 2020 è in vigore la nuova legge sulle intercettazioni, una riforma che ha avuto un percorso tortuoso, con diverse proroghe, ma che alla fine ha visto la conversione in legge del decreto legge 161 del 2019. Pur mancando ancora diversi importanti decreti ministeriali che regolano le specifiche tecniche, questa riforma introduce una ristrutturazione della gestione dei dati intercettati e, soprattutto, amplia le categorie di reato per cui si possono utilizzare i captatori informatici.
Inoltre, Wired ha individuato online un documento della Procura di Modena, firmato dal procuratore aggiunto e destinato alla Procura, all’ordine degli avvocati e alle varie forze di polizia giudiziaria, che offre anche uno sguardo dietro le quinte su alcuni dubbi operativi e permette di comprendere meglio l’iter che le comunicazioni intercettate hanno all’interno delle indagini.
Nuove sale server
Ogni Procura avrà un Centro per le intercettazioni delle telecomunicazioni (Ufficio Cit) al cui interno sono presenti diversi locali: le sale d’ascolto riservate alla polizia giudiziaria, quelle riservate all’ascolto delle intercettazioni per gli avvocati — la Procura di Modena, per esempio, prevede due postazioni con pc portatili marca Hp modello Elite Book 820 e apposite cuffie — e gli spazi dove sono collocati gli apparati elettronici e informatici per le attività di intercettazione e di archiviazione dei file.
Una circolare del 31 agosto 2020 del ministero della Giustizia riassume le attività svolte per la digitalizzazione delle Procure tra cui “il cablaggio delle 140 sale Cit, l’acquisto dei rack e server per le sale stesse, con installazione degli applicativi per la messa in sicurezza, con l’acquisto delle licenze per i sistemi di vigilanza e tracciatura tecnologica, ed infine l’installazione dei sistemi vigilanza e tracciatura delle attività svolte presso le sale medesime.” Come riportato da diversi quotidiani, le spese sostenute dal ministero per queste attività si aggirano intorno ai 60 milioni di euro.
La prima novità della riforma riguarda gli archivi informatici delle intercettazioni: ogni procura della Repubblica avrà infatti un archivio sotto la direzione e la sorveglianza del procuratore della Repubblica dove saranno custoditi sia i verbali delle registrazioni che i file multimediali e le registrazioni stesse. Questo archivio prende il nome di archivio digitale delle intercettazioni (Adi) o archivio riservato multimediale (Arm). Il primo acronimo è usato dalla procura generale mentre il secondo dalla direzione generale per i sistemi informativi automatizzati (Dgsia).
Questo archivio contiene tutte le intercettazioni svolte, anche quelle irrilevanti o che non possono essere utilizzate, fino a quando non venga disposta la distruzione. Sarà previsto anche un registro di tracciabilità di tutti gli accessi e un registro delle copie rilasciate ai difensori.
In parallelo, dovrà essere disposto un “registro riservato” che contiene, in ordine cronologico, i decreti che autorizzano le intercettazioni, completi di inizio e termine delle operazioni—relativi anche alle convalide o proroghe. Dal documento della procura di Modena, datato 26 agosto, emerge il primo aspetto negativo: “Allo stato non risulta che il Ministero abbia fornito un supporto per la realizzazione di questo registro informatico.” E quindi ogni procuratore “dovrà curare in house la predisposizione di un apposito registro conforme al dato normativo”.
Un altro dettaglio su cui sembrava esserci un po’ di confusione è il rapporto tra la definizione di bersaglio delle intercettazioni, il numero di registro intercettazioni telefoniche (Rit) e il relativo decreto di autorizzazione. Nel documento della procura di Modena si legge infatti che grazie ai chiarimenti forniti dal procuratore generale presso la Corte di Cassazione con una nota del 31 luglio, bisognerà adottare il seguente approccio: ogni decreto ha un numero di Rit che fa riferimento a un singolo bersaglio inteso come dispositivo intercettato. Quindi, se voglio intercettare due dispositivi della stessa persona avrò bisogno di due decreti.
Il captatore informatico si espande
I dettagli descritti fino a qui riguardano la gestione dei dati a valle delle attività di indagine della polizia giudiziaria. Gli aspetti più cruciali, invece, rimangono quelli legati all’intercettazione delle comunicazioni degli indagati e alla trasmissione dai server delle aziende private che aiutano la polizia giudiziaria. Aspetti che rimangono ancora poco chiari e che devono essere definiti con appositi decreti ministeriali.
La riforma delle intercettazioni estende l’impiego dei captatori informatici anche ai reati ordinari in cui sono già possibili le intercettazioni telefoniche: con il captatore si può quindi attivare il microfono da remoto e registrare le conversazioni tra presenti, le cosiddette intercettazioni ambientali. Non possono però essere registrate nelle abitazioni private “salvo che vi sia fondato motivo di ritenere che ivi si stia svolgendo l’attività criminosa” si legge nelle modifiche apportate all’articolo 266 del codice di procedura penale.
I captatori possono essere usati sempre per quanto riguarda i casi di mafia e terrorismo, e nelle indagini legate ai delitti contro la pubblica amministrazione per i quali sia prevista una pena della reclusione non inferiore ai cinque anni, in questo ultimo caso possono essere utilizzati anche nei luoghi di privata dimora solo se vengono chiarite specifiche ed ulteriori esigenze.
Il documento della procura di Modena aggiunge alcuni dettagli che fanno comprendere meglio le procedure per ricorrere ai captatori: il decreto del giudice per l’utilizzo deve indicare, oltre alla motivazione dell’assoluta indispensabilità dell’intercettazione, le specifiche “ragioni che rendono necessaria tale modalità per lo svolgimento delle indagini” e “specificare nel provvedimento autorizzativo i luoghi e il tempo, anche indirettamente determinati, in relazione ai quali è consentita l’attivazione del microfono.”
Inoltre, in una nota a pie’ pagina del documento si sottolinea la singolare scelta del regolare esplicitamente solo i captatori per dispositivi mobili e non per i computer fissi: “Non essendovi ragione di concepire un tale limite, rispetto agli spyware comunque installati su dispositivi fissi (pc), deve evidenziarsi che la norma non disciplina in toto gli usi potenziali del captatore, limitandosi ad includere nella menzione dell’art. 266 solo quelli di più ampia invasività, escludendo che possano sorgere dubbi sulle ‘cimici informatiche’ che siano collocate in maniera residente su computer fissi”.
La mancanza di norme colpisce anche gli altri impieghi dei captatori informatici: queste tecnologie possono, per esempio, raccogliere anche screenshot e password dai dispositivi ma non sono previste leggi specifiche per questo tipo di intercettazioni telematiche nella nuova riforma.
Il limbo tra le aziende private e la Procura
In passato, le aziende che producono e vendono i malware per le intercettazioni sono state spesso al centro di azioni giudiziarie e scandali. In un caso, l’azienda Area spa avrebbe salvato sui server aziendali intercettazioni accessibili ai propri dipendenti. Mentre invece lo scorso anno, un’inchiesta di Motherboard e Security Without Borders aveva rivelato che l’azienda eSurv salvava i dati delle intercettazioni su server fuori dall’Italia: l’azienda è ora sotto indagine da parte della procura di Napoli, perché i dati delle intercettazioni dovrebbero trovarsi solamente sui server delle procure su suolo italiano.
Eppure, malgrado questi evidenti problemi con le aziende, la nuova riforma dei captatori prevede comunque il ricorso a strumenti appartenenti a privati e, per le attività di avvio e di cessazione delle registrazioni, la polizia giudiziaria può continuare ad avvalersi di ausiliari idonei ai sensi all’articolo 348, comma 4 del codice di procedura penale.
E proprio sul trasferimento di dati dai server dei privati a quelli della procura sono puntati i riflettori nel testo del documento della procura di Modena. Una volta chiusa la fase di intercettazione, i dati devono passare attraverso due fasi distinte, o addirittura tre, come specifica meglio il documento, includendo una intermedia.
La prima operazione è quella di trasmissione all’Ufficio intercettazioni della procura da parte della polizia giudiziaria dei file delle registrazioni e dei verbali redatti. Questa deve essere fatta “immediatamente” dalla polizia giudiziaria. La seconda è quella della “conservazione” o anche chiamata comunemente “conferimento” e consiste nell’upload dei dati e dei verbali nell’archivio Adi La terza è il deposito formale che prevede l’emissione di un documento di avvenuta conferma da parte del pm.
Quel primo passaggio è quello su cui puntare l’attenzione e che dovrà essere definito da un decreto ministeriale apposito: bisogna garantire l’integrità dei dati trasferiti, la loro sicurezza e soprattutto che vengano rimossi i dati intercettati dai server delle aziende.
Nel documento della procura di Modena si fa riferimento al trasferimento dei dati tramite cd/dvd: “La Polizia Giudiziaria, immediatamente dopo la chiusura delle operazioni intercettive, procederà a chiedere alle aziende che hanno gestito il servizio di effettuare alla masterizzazione dei contenuti su appositi supporti cd/dvd o hard disk portatile (supporti che replicano le Iso dei dvd).”
Una procedura che è stata utilizzata in passato e che pare destinata ad essere modificata dal decreto ministeriale da adottarsi “previo accertamento della funzionalità dei servizi di comunicazione,” si legge nel testo di legge. “La cancellazione delle intercettazioni dai server dei gestori sarà operata solo dopo che il Pubblico Ministero procedente avrà comunicato, anche tramite la Polizia Giudiziaria, il positivo superamento del controllo di integrità del materiale conferito nell’archivio,” si legge dal documento della Procura.
Su quel “immediatamente dopo la chiusura delle operazioni” ci sono diversi dubbi, sottolineati e in parte chiariti dallo stesso procuratore aggiunto della procura di Modena. Se da una parte spegnere un captatore e salvare il file audio è un’operazione rapida, dall’altra la polizia giudiziaria ha bisogno di tempo per redigere il verbale. Quindi potrebbe non essere del tutto chiaro quale sia il momento esatto della chiusura delle operazioni.
Nel caso dei captatori informatici, il verbale deve contenere il tipo di programma impiegato e i luoghi in cui si svolgono le comunicazioni o conversazioni, ma anche una trascrizione sommaria del contenuto delle comunicazioni intercettate, senza riportare espressioni lesive della reputazione delle persone o che riguardano dati personali sensibili. “Pare pertanto opportuno sin da ora prevedere che la cancellazione delle intercettazioni dai server dei gestori venga operata solo dopo che la Procura avrà comunicato, anche tramite la Polizia Giudiziaria, il positivo superamento dl controllo di integrità del materiale conferito nell’archivio,” si legge nel documento della procura di Modena.
La nuova riforma delle intercettazioni sembra quindi cercare di riformare la gestione dei dati pur continuando ad evitare di normare tutti gli aspetti e le capacità del captatore in sé: un captatore è assimilabile a un malware, in grado quindi di sottrarre le chat, le mail, i contatti, scattare screenshot e registrare i tasti premuti sulla tastiera. Inoltre, lascia ancora aperta la porta ai problemi legati alle aziende esterne che finiscono con l’essere quasi completamente in carico delle intercettazioni. Non resta che attendere la pubblicazione dei decreti ministeriali per capire se almeno sui dettagli tecnici delle tecnologie e del trasferimento dei dati ci saranno salvaguardie accettabili.
Leggi anche
Potrebbe interessarti anche
