Divieto di trojan. L’utilizzo di strumenti dalle straordinarie potenzialità intrusive, come i cosiddetti trojan, “impongono garanzie adeguate per impedire che essi, da preziosi ausiliari degli inquirenti, degenerino in mezzi di sorveglianza massiva”. Lo ha detto il Garante per la privacy Antonello Soro davanti alla commissione Giustizia del Senato parlando del decreto legge sulle intercettazioni in corso di conversione. Il testo prevede una nuova disciplina della conservazione e della consultazione, in forme telematiche, dei dati relativi alle intercettazioni nell’apposito archivio informatico che sarà gestito sotto la diretta vigilanza del Procuratore della Repubblica; regole ad hoc in materia di intercettazioni mediante l’utilizzo di captatori informatici ovvero i trojan.
Secondo Soro, il ricorso a software-spia non inoculati direttamente sul dispositivo-ospite e l’archiviazione mediante sistemi cloud dovrebbero essere “oggetto di un apposito divieto”.
“La necessità di tali garanzie – ha proseguito – sembra asseverata dalle notizie di cronaca (si pensi al caso Exodus), relative alle particolari modalità di realizzazione delle captazioni mediante malware, da parte delle società incaricate. Esse evidenziano – salvo smentita da parte del procuratore di Napoli, che conduce le indagini – i rischi connessi all’utilizzo di captatori informatici con il ricorso, da parte dei privati incaricati, a tecniche di infiltrazione prive della necessaria selettività. Ci si riferisce, in particolare, all’utilizzo, ai fini intercettativi, di software connessi ad app, che quindi non sono direttamente inoculati nel solo dispositivo dell’indagato, ma posti su piattaforme, come Google play store, accessibili a tutti”.
Per questi motivi secondo Soro il decreto deve rispondere a delle esigenze di tutela della privacy. “Le misure volte a limitare la circolazione endoprocessuale delle intercettazioni eccedenti le reali esigenze investigative – ha detto Soro – hanno rappresentato, dal nostro punto di vista, un’importante innovazione della riforma del 2017, che sul punto recepiva un’esigenza di garanzia condivisa anche dalla stessa magistratura, come dimostrano le direttive emanate da alcune Procure nel 2016, nonché le buone prassi indicate dal CSM nel luglio dello stesso anno. È determinante, dunque, che il decreto in conversione risponda a quest’esigenza”.
Sul tema delle intercettazioni il Garante ha sottolineato il tema della rapida evoluzione delle caratteristiche e delle funzionalità dei software disponibili a fini intercettativi: uno dei motivi per cui secondo il Garante sarebbe necessario vietare il ricorso a captatori idonei a cancellare le tracce delle operazioni svolte sul dispositivo ospite. «Ai fini della corretta ricostruzione probatoria e della garanzia del diritto di difesa – ha detto Soro – è infatti indispensabile disporre di software idonei a ricostruire nel dettaglio ogni attività svolta sul sistema ospite e sui dati ivi presenti, senza alterarne il contenuto. Esigenza tanto più indispensabile rispetto ad operazioni investigative, quali quelle in esame, ad alto tasso di esternalizzazione e che come tali presentano maggiori vulnerabilità, essendo in larga parte affidate a privati».
Quanto al previsto trasferimento dei dati captati con trojan direttamente all’archivio riservato già prima della selezione (e non, invece, al server della procura), si tratta di “un’anomalia tale da contraddire la natura stessa di tale archivio, quale luogo di custodia di atti non processualmente rilevanti e da sottrarre alla circolazione endoprocessuale”.
