Trojan e Spyware: ecco come funzionano e quali sono i rischi

Che cos’è un captatore informatico? Che cosa prevede la legge italiana e quali sono i rischi per i cittadini? Ne parliamo con Roberto De Vita, Presidente dell’Osservatorio Cyber Security dell’Eurispes.

I trojan riempiono ormai sempre più le cronache giudiziarie del nostro Paese, scatenando accesi dibattiti sulla legittimità del loro utilizzo. Ma che cos’è un captatore informatico?
Il captatore informatico altro non è che un software (per la precisione, un malware) che, clandestinamente e silenziosamente, può introdursi da remoto in qualsiasi tipo di dispositivo informatico, purché connesso alla Rete: smartphone, smart Tv, smart car, assistenti vocali, console per i videogames, etc.
Il trojan consente di controllare da remoto tutte le attività che verranno compiute dal dispositivo target. Ciò è possibile perché il captatore, violando le difese del bersaglio, si introduce all’interno dello stesso e prende di fatto l’intera gestione del sistema, scalando i privilegi necessari a dialogare con l’hardware come se fosse l’amministratore di sistema. L’attività più complessa è sicuramente l’inoculazione all’interno del dispositivo da infettare, poiché – in assenza della materiale disponibilità dello stesso – quest’ultima deve avvenire con la necessaria, ancorché inconsapevole, collaborazione del proprietario del device.

Quali sono le attività che può compiere il dispositivo infettato dal captatore?
Le operazioni sono tantissime: dall’attivazione del microfono e della videocamera al tracking del segnale GPS del dispositivo; può fare screenshot e screencast dello schermo, registrare tutto ciò che viene digitato sulla tastiera del dispositivo (keylogger); può eseguire la copia di tutti i dati contenuti all’interno della memoria fisica.
Inoltre, il trojan consente di visualizzare tutti gli scambi di messaggi, informazioni e file che avvengono tramite i consueti canali di comunicazione, come la app di messaggistica, superando l’ostacolo della crittografia: infatti, poiché non si intercetta il messaggio in transito bensì il messaggio sul dispositivo mittente o sul dispositivo destinatario, non è necessaria la decodifica.
In altre parole, con il trojan si può avere accesso ad un patrimonio informativo sconfinato: ciò che è conservato, ciò che sta avvenendo e ciò che avverrà.

Una grande risorsa per le Forze di polizia, ma anche un’arma pericolosa in mano a paesi illiberali o ad organizzazioni criminali. In Italia, esistono i trojan di Stato?
Nel nostro Paese, ormai da tempo, l’Autorità giudiziaria e la nostra Intelligence si servono dello strumento, tanto a fini di accertamento dei reati quanto a fini di prevenzione. In questi termini, il trojan appartiene agli strumenti nella disponibilità delle Autorità pubbliche. Tuttavia, è improprio parlare di trojan di Stato, poiché, di fatto, il nostro Paese non è dotato di una tecnologia proprietaria, o di diretta ed esclusiva gestione, dovendosi invece servire di software sviluppati, e spesso gestiti, da privati anche stranieri.

Qual è lo stato dell’arte della legislazione italiana in materia di captatori informatici?
L’Italia non si è ancora dotata di una disciplina organica, che regolamenti tutte le funzionalità e gli usi investigativi del trojan.
Ad oggi, esiste il cosiddetto “Decreto Intercettazioni” (D.Lgs. 216/2017) – voluto dalla riforma Orlando e non ancora totalmente entrato in vigore a causa di ripetute proroghe – che regolamenta l’uso del captatore installato su dispositivi mobili ai soli fini dell’intercettazione di comunicazioni tra presenti.
In particolare, la legge ammette l’utilizzazione dei trojan anche per i reati comuni, oltre che per quelli di criminalità organizzata e terrorismo, operando la seguente distinzione: per i primi il trojan si può utilizzare solo in luoghi diversi da quelli ex art. 614 c.p. (ovvero di privata dimora, a meno che non sia in corso attività criminosa), e si dovranno perciò indicare i luoghi e i tempi in cui dovrà attivarsi da remoto il microfono; al contrario, per i reati di criminalità organizzata e con finalità di terrorismo non sono necessarie queste limitazioni ed il captatore ha un uso, di fatto, ubiquitario.
La cosiddetta “Spazzacorrotti” (legge 3/19) ha poi esteso l’uso senza limitazioni dei trojan anche ad alcuni reati contro la P.A. (ossia i delitti dei pubblici ufficiali contro la P.A. puniti con la pena della reclusione non inferiore nel massimo a 5 anni).

Quali sono le principali carenze dell’attuale quadro normativo?
Il punto più critico riguarda il disciplinare tecnico previsto dalla Orlando e adottato con il Dm del 20 aprile 2018.
Nella parte relativa ai “requisiti tecnici dei programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore”, ci si prefiggeva l’obiettivo di prevedere misure tecniche idonee di affidabilità, sicurezza ed efficacia affinché i programmi informatici utilizzabili si limitassero all’esecuzione delle operazioni autorizzate.
Tuttavia, il contenuto del decreto è privo di puntuali indicazioni e tendente all’impiego di formule generali (si veda il concetto di “integrità, sicurezza e autenticità dei dati captati”), cui non segue un adeguato sistema di controllo dei programmi utilizzati.
Nell’aprile del 2019, all’indomani dell’esplosione del caso “Exodus”, lo stesso Garante per la protezione dei dati personali ha criticato la citata normativa, proprio per non aver formulato in maniera più esplicita taluni obblighi e divieti e, più in generale, le prescrizioni di questo “disciplinare tecnico”.

La legge è quindi ancora lontana da una disciplina globale. Al momento, quali sono i rischi principali per gli individui?
Lo stesso Garante ha individuato un grande pericolo nel rischio di sorveglianza massiva dei singoli, dovuta, ad esempio, alla libera disponibilità sugli stores delle app contenenti il trojan, in assenza di divieti espressi rispetto a tale pratica.
Inoltre, la vicenda Exodus ha evidenziato un’altra pratica rischiosa per la tutela dei dati degli interessati, oltre che per la stessa attività di indagine: l’archiviazione dei dati raccolti tramite sistemi cloud, di cui alcuni localizzati in paesi extra Ue.
Ed, infine, l’ultima grande preoccupazione: la carenza di effettiva tracciabilità rispetto a tutte le operazioni eseguite dal captatore sul dispositivo infettato espone il materiale raccolto a potenziali contraffazioni.

L’attuale normativa, però, regolamenta solo l’esecuzione di intercettazioni audio tramite captatore, attivando il microfono del dispositivo aggredito. Che cosa accade per tutte le altre attività investigative potenzialmente eseguibili con il trojan?
Manca una disciplina che contempli tutte le potenzialità intrusive ed investigative dello strumento.
Tuttavia, questo vuoto normativo non ha escluso che il captatore potesse comunque essere utilizzato per altre attività investigative, anzi. Nell’impossibilità di assimilarlo ai mezzi di ricerca della prova tradizionali, la giurisprudenza lo ha talvolta ricondotto al concetto di “prova atipica” ex art. 189 c.p.p., come nel caso delle perquisizioni da remoto.
Questa scelta, oltre ad essere stata criticata da numerosi studiosi, impone in maniera ancora più urgente la necessità di disciplinare il captatore in via globale e dal punto di vista tecnico, non solo dal punto di vista giuridico e rispetto alle singole funzionalità prese in considerazione.

A fronte di questi pericoli, esistono possibili soluzioni?
Sicuramente. Innanzitutto, sarebbe molto importante per lo Stato disporre di una tecnologia proprietaria o direttamente gestita, anche solo per scongiurare con certezza potenziali utilizzi fuori controllo e contra legem dello strumento. Tuttavia, ci sono evidenti difficoltà tecniche e di risorse per perseguire tale risultato.
In ogni caso, è comunque necessario adottare un nuovo approccio culturale e, di conseguenza, giuridico e legislativo al fenomeno. Non si può pensare di regolamentare uno strumento così pervasivo solo in relazione ai risultati giudiziari e di intelligence ottenibili grazie alle sue funzionalità, rischiando di precipitare nel riduzionismo giuridico che antepone e circoscrive la valutazione della norma alla sola efficacia e non anche alla sua giustizia e validità. Si dovrebbe mirare ad una disciplina organica, che non confini il dato tecnico alla fase della semplice operatività dello strumento.
Il funzionamento del captatore (sin dalla sua attività di “attacco intrusivo”) impatta sulle libertà fondamentali e sulla riservatezza degli individui: l’argine più sicuro per i nostri diritti è costituito da regole puntuali ed effettive che forniscano una disciplina globale dello strumento, che non sia parcellizzata rispetto ai suoi risultati e che trovi nel bilanciamento costituzionale il criterio guida e limite.

Per approfondire l’argomento, è possibile consultare l’articolo “Vita digitale a rischio. I captatori informatici tra pericoli per i diritti umani e riduzionismo giuridico” dell’Osservatorio Cyber Security dell’Eurispes

https://eurispes.eu/wp-content/uploads/2016/04/vita-digitale-a-rischio.pdf

Ultime notizie
giovani
Società

Una riflessione su giovani, futuro, valori

In Italia i giovani credono in valori quali la democrazia, la salute, il valore del tempo libero, ma non hanno fiducia nelle possibilità di realizzazione che il nostro Paese può offrire loro.
di  RAFFAELLA SASO*
giovani
toscana 2050
Futuro

“Toscana 2050”: un progetto per anticipare il futuro

“Toscana 2050” è il primo progetto multidisciplinare nato per scrivere il futuro con un approccio inclusivo e partecipativo, coinvolgendo tutti gli attori della società, con un’attenzione particolare verso le scuole e i giovani e l’IA come tecnologia chiave di progettazione.
di Elena Vian*
toscana 2050
economia digitale
Tecnologia

Economia digitale, imprese italiane promosse ma c’è un gap nelle competenze

Economia digitale motore della crescita: secondo un recente report OCSE le imprese italiane superano la media OCSE per uso del cloud computing e di Internet of Things, ma al di fuori del contesto aziendale esiste ancora un gap nelle competenze digitali e nella formazione scientifica, ancora più evidente per le donne.
di Mariarosaria Zamboi
economia digitale
porti
Recensioni

I porti italiani hub energetici e di sostenibilità nel saggio di Sergio Prete

I porti italiani hanno un ruolo cruciale nella transizione energetica, per la sostenibilità e lo sviluppo dei traffici di materie prime con il Nordafrica, come spiega il saggio di Sergio Prete, Presidente dell’Autorità di Sistema Portuale del Mar Ionio e dell’Autorità Portuale di Taranto.
di Angela Fiore
porti
generazione
Società

I giovani e i loro obiettivi futuri. Rischi, valori e inquietudini di una generazione

La generazione giovane, meglio nota come Generazione Z, manifesta dubbi e timori rispetto ai rischi sociali ed economici che deve affrontare, nella consapevolezza di vivere in una epoca di incertezza e forte cambiamento a livello globale.
di Angela Fiore
generazione
piattaforme
Tecnologia

“Pagati per”: il business delle piattaforme che premiano passioni e attività quotidiane

La tecnologia, con la sua capacità di connettere persone e opportunità, ha dato vita a un nuovo modello economico basato su piattaforme digitali che pagano gli utenti per svolgere attività quotidiane o trasformare passioni in micro-redditi, ridefinendo così la relazione fra tempo libero, passioni e denaro.
di Mariarosaria Zamboi
piattaforme
Franco Ferrarotti
Società

Ricordo di Franco Ferrarotti. Per superare i contrasti proviamo a costruire un nuovo ellenismo

In ricordo di Franco Ferrarotti, padre della Sociologia italiana scomparso recentemente, una intervista che si propone come sintesi di diversi momenti di confronto avuti con lo studioso.
di Massimiliano Cannata
Franco Ferrarotti
donne e intelligenza artificiale
Donne

Donne e Intelligenza Artificiale, il rischio è alimentare il divario di genere

Come influirà sulla vita delle donne l’uso dell’Intelligenza Artificiale? Se lo sono chiesti gli autori del volume “Donne Controcorrente in AI e Innovazione”. Ad oggi, sappiamo che la scarsa rappresentanza femminile nei processi di creazione della IA rischia di perpetuare i pregiudizi di genere.
di redazione
donne e intelligenza artificiale
Intervista

La nostra Costituzione fatta di solidarietà e uguaglianza: intervista al Presidente Giovanni Maria Flick

Il Prof. Giovanni Maria Flick parla delle riforme che riguardano giustizia, premierato, e la recente autonomia differenziata che, se realizzate interamente dal governo attuale, cambieranno il volto della nostra Costituzione, nata sui principi in primis territoriali di solidarietà e uguaglianza.
di Antonio Alizzi
gioco
Gioco

Gioco pubblico contro il gioco illegale: il federalismo normativo non aiuta

Il gioco pubblico è una risorsa per imprese e lavoratori e nel contrasto al gioco illegale, ma la confusione normativa e la ghettizzazione del settore rischiano di non dare valore ai punti vendita generalisti, che da soli generano circa due terzi degli incassi per l’Erario.
di Angelo Caliendo*
gioco