Occorre prevedere più garanzie sulle intercettazioni ottenute tramite i software-spia. È l’invito rivolto in Parlamento da parte del Garante della Privacy durante l’audizione del presidente, Pasquale Stanzione, in Commissione Giustizia del Senato sul ddl Giustizia, e in particolare sulle misure in materia di intercettazioni e informazione di garanzia.
Evitare la degenerazione di una sorveglianza troppo ampia
Secondo Stanzione, l’esame parlamentare del disegno di legge potrebbe rappresentare “l’occasione per introdurre maggiori garanzie rispetto alle intercettazioni mediante captatori. Le potenzialità intrusive di tali strumenti impongono garanzie adeguate per impedirne la degenerazione in mezzi di sorveglianza eccessivamente ampia o, per converso, in fattori di moltiplicazione esponenziale delle vulnerabilità del compendio probatorio, rendendolo permeabile se allocato in server non sicuri o, comunque, delocalizzati anche al di fuori dei confini nazionali” avverte Stanzione ricordando alcune vicende (“si pensi al caso Exodus del 2019″) in cui sono state realizzate “captazioni mediante malware” da parte di società incaricate.
Nella memoria illustrata dal presidente, il Garante evidenzia “i rischi connessi all’utilizzo di captatori informatici con il ricorso, da parte delle società incaricate, a tecniche di infiltrazione prive della necessaria selettività” come nel caso di “software connessi ad app, che quindi non sono direttamente inoculati nel solo dispositivo dell’indagato, ma posti su piattaforme accessibili a chiunque. Ove rese disponibili sul mercato, anche solo per errore in assenza dei filtri necessari a limitarne l’acquisizione da parte dei terzi, come parrebbe avvenuto nei casi noti alle cronache, queste app-spia rischierebbero, infatti, di trasformarsi in pericolosi strumenti di sorveglianza massiva“.
Le proposte del Garante
Per il Garante della Privacy il ricorso alle app o comunque a software che non siano inoculati direttamente sul dispositivo-ospite, ma scaricati da piattaforme liberamente accessibili a tutti “potrebbe essere oggetto di un apposito divieto“. In alternativa, “si potrebbe prevedere che l’effettiva installazione nel dispositivo elettronico portatile e le conseguenti funzionalità acquisitive del captatore informatico, possano compiutamente realizzarsi solo dopo aver verificato l’univoca associazione tra il dispositivo interessato dal software e quello considerato nel provvedimento giudiziale autorizzativo“.
Per Stanzione, in ogni caso, “sarebbe opportuno vietare il ricorso a captatori idonei a modificare il contenuto del dispositivo ospite e a cancellare le tracce delle operazioni svolte”. Infatti, “ai fini della corretta ricostruzione probatoria, della garanzia del diritto di difesa come anche della privacy è indispensabile disporre di software idonei a ricostruire, nel dettaglio, ogni attività svolta sul sistema ospite e sui dati ivi presenti, senza alterarne il contenuto, corrispondentemente valorizzando l’esigenza di una verbalizzazione analitica delle operazioni compiute”.
In conclusione, “ferma restando l’opportunità dell’introduzione delle su descritte cautele, la particolare invasività dei software-spia merita certamente una riflessione del legislatore in ordine al reale ambito applicativo di questo mezzo di ricerca della prova”.
L’urgenza della protezione dei dati personali
Nella sua memoria, il Garante rileva comunque “come il disegno di legge introduca misure rilevanti per rafforzare le garanzie di riservatezza dei colloqui e delle conversazioni oggetto di captazione; in particolare di quelle che coinvolgano soggetti terzi rispetto alle parti processuali”. Occorre però valutare “l’opportunità di introdurre alcune, puntuali modifiche ad altre disposizioni processuali (in materia di archivio delle intercettazioni e di caducazione del segreto)”.
“Si potrebbe in primo luogo circoscrivere ulteriormente il rischio di un’indebita circolazione dei dati oggetto di stralcio – perché inutilizzabili o irrilevanti – bilanciando, tuttavia, tale interesse con l’esigenza di non disperdere del tutto, almeno durante il corso del giudizio nei suoi vari gradi, possibili fonti di prova inizialmente ritenute irrilevanti. A tal fine, si potrebbero adottare alcuni accorgimenti per rendere effettiva la scansione temporale oggi prevista per la procedura di distruzione del materiale conservato nell’archivio digitale, agevolando l’individuazione dei contenuti da eliminare”, si legge nel documento.
Per il Garante per la protezione dei dati personali è anche “auspicabile consolidare il percorso di ‘razionalizzazione tecnica e organizzativa dei sistemi di intercettazione, avente quale obiettivo finale la realizzazione dei cinque data center nazionali’, cui allude il d.m. 6 ottobre 2022”.
Inoltre “al fine di garantire l’effettivo rispetto del divieto di circolazione endoprocessuale dei dati captati dei terzi che risultino irrilevanti, si potrebbero agevolare i presupposti di azionabilità della tutela speciale accordata, anche ai terzi e con forme innovative, dall’articolo 14 del d.lgs. 51 del 2018”.