Trojan e Spyware: ecco come funzionano e quali sono i rischi

Che cos’è un captatore informatico? Che cosa prevede la legge italiana e quali sono i rischi per i cittadini? Ne parliamo con Roberto De Vita, Presidente dell’Osservatorio Cyber Security dell’Eurispes.

I trojan riempiono ormai sempre più le cronache giudiziarie del nostro Paese, scatenando accesi dibattiti sulla legittimità del loro utilizzo. Ma che cos’è un captatore informatico?
Il captatore informatico altro non è che un software (per la precisione, un malware) che, clandestinamente e silenziosamente, può introdursi da remoto in qualsiasi tipo di dispositivo informatico, purché connesso alla Rete: smartphone, smart Tv, smart car, assistenti vocali, console per i videogames, etc.
Il trojan consente di controllare da remoto tutte le attività che verranno compiute dal dispositivo target. Ciò è possibile perché il captatore, violando le difese del bersaglio, si introduce all’interno dello stesso e prende di fatto l’intera gestione del sistema, scalando i privilegi necessari a dialogare con l’hardware come se fosse l’amministratore di sistema. L’attività più complessa è sicuramente l’inoculazione all’interno del dispositivo da infettare, poiché – in assenza della materiale disponibilità dello stesso – quest’ultima deve avvenire con la necessaria, ancorché inconsapevole, collaborazione del proprietario del device.

Quali sono le attività che può compiere il dispositivo infettato dal captatore?
Le operazioni sono tantissime: dall’attivazione del microfono e della videocamera al tracking del segnale GPS del dispositivo; può fare screenshot e screencast dello schermo, registrare tutto ciò che viene digitato sulla tastiera del dispositivo (keylogger); può eseguire la copia di tutti i dati contenuti all’interno della memoria fisica.
Inoltre, il trojan consente di visualizzare tutti gli scambi di messaggi, informazioni e file che avvengono tramite i consueti canali di comunicazione, come la app di messaggistica, superando l’ostacolo della crittografia: infatti, poiché non si intercetta il messaggio in transito bensì il messaggio sul dispositivo mittente o sul dispositivo destinatario, non è necessaria la decodifica.
In altre parole, con il trojan si può avere accesso ad un patrimonio informativo sconfinato: ciò che è conservato, ciò che sta avvenendo e ciò che avverrà.

Una grande risorsa per le Forze di polizia, ma anche un’arma pericolosa in mano a paesi illiberali o ad organizzazioni criminali. In Italia, esistono i trojan di Stato?
Nel nostro Paese, ormai da tempo, l’Autorità giudiziaria e la nostra Intelligence si servono dello strumento, tanto a fini di accertamento dei reati quanto a fini di prevenzione. In questi termini, il trojan appartiene agli strumenti nella disponibilità delle Autorità pubbliche. Tuttavia, è improprio parlare di trojan di Stato, poiché, di fatto, il nostro Paese non è dotato di una tecnologia proprietaria, o di diretta ed esclusiva gestione, dovendosi invece servire di software sviluppati, e spesso gestiti, da privati anche stranieri.

Qual è lo stato dell’arte della legislazione italiana in materia di captatori informatici?
L’Italia non si è ancora dotata di una disciplina organica, che regolamenti tutte le funzionalità e gli usi investigativi del trojan.
Ad oggi, esiste il cosiddetto “Decreto Intercettazioni” (D.Lgs. 216/2017) – voluto dalla riforma Orlando e non ancora totalmente entrato in vigore a causa di ripetute proroghe – che regolamenta l’uso del captatore installato su dispositivi mobili ai soli fini dell’intercettazione di comunicazioni tra presenti.
In particolare, la legge ammette l’utilizzazione dei trojan anche per i reati comuni, oltre che per quelli di criminalità organizzata e terrorismo, operando la seguente distinzione: per i primi il trojan si può utilizzare solo in luoghi diversi da quelli ex art. 614 c.p. (ovvero di privata dimora, a meno che non sia in corso attività criminosa), e si dovranno perciò indicare i luoghi e i tempi in cui dovrà attivarsi da remoto il microfono; al contrario, per i reati di criminalità organizzata e con finalità di terrorismo non sono necessarie queste limitazioni ed il captatore ha un uso, di fatto, ubiquitario.
La cosiddetta “Spazzacorrotti” (legge 3/19) ha poi esteso l’uso senza limitazioni dei trojan anche ad alcuni reati contro la P.A. (ossia i delitti dei pubblici ufficiali contro la P.A. puniti con la pena della reclusione non inferiore nel massimo a 5 anni).

Quali sono le principali carenze dell’attuale quadro normativo?
Il punto più critico riguarda il disciplinare tecnico previsto dalla Orlando e adottato con il Dm del 20 aprile 2018.
Nella parte relativa ai “requisiti tecnici dei programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore”, ci si prefiggeva l’obiettivo di prevedere misure tecniche idonee di affidabilità, sicurezza ed efficacia affinché i programmi informatici utilizzabili si limitassero all’esecuzione delle operazioni autorizzate.
Tuttavia, il contenuto del decreto è privo di puntuali indicazioni e tendente all’impiego di formule generali (si veda il concetto di “integrità, sicurezza e autenticità dei dati captati”), cui non segue un adeguato sistema di controllo dei programmi utilizzati.
Nell’aprile del 2019, all’indomani dell’esplosione del caso “Exodus”, lo stesso Garante per la protezione dei dati personali ha criticato la citata normativa, proprio per non aver formulato in maniera più esplicita taluni obblighi e divieti e, più in generale, le prescrizioni di questo “disciplinare tecnico”.

La legge è quindi ancora lontana da una disciplina globale. Al momento, quali sono i rischi principali per gli individui?
Lo stesso Garante ha individuato un grande pericolo nel rischio di sorveglianza massiva dei singoli, dovuta, ad esempio, alla libera disponibilità sugli stores delle app contenenti il trojan, in assenza di divieti espressi rispetto a tale pratica.
Inoltre, la vicenda Exodus ha evidenziato un’altra pratica rischiosa per la tutela dei dati degli interessati, oltre che per la stessa attività di indagine: l’archiviazione dei dati raccolti tramite sistemi cloud, di cui alcuni localizzati in paesi extra Ue.
Ed, infine, l’ultima grande preoccupazione: la carenza di effettiva tracciabilità rispetto a tutte le operazioni eseguite dal captatore sul dispositivo infettato espone il materiale raccolto a potenziali contraffazioni.

L’attuale normativa, però, regolamenta solo l’esecuzione di intercettazioni audio tramite captatore, attivando il microfono del dispositivo aggredito. Che cosa accade per tutte le altre attività investigative potenzialmente eseguibili con il trojan?
Manca una disciplina che contempli tutte le potenzialità intrusive ed investigative dello strumento.
Tuttavia, questo vuoto normativo non ha escluso che il captatore potesse comunque essere utilizzato per altre attività investigative, anzi. Nell’impossibilità di assimilarlo ai mezzi di ricerca della prova tradizionali, la giurisprudenza lo ha talvolta ricondotto al concetto di “prova atipica” ex art. 189 c.p.p., come nel caso delle perquisizioni da remoto.
Questa scelta, oltre ad essere stata criticata da numerosi studiosi, impone in maniera ancora più urgente la necessità di disciplinare il captatore in via globale e dal punto di vista tecnico, non solo dal punto di vista giuridico e rispetto alle singole funzionalità prese in considerazione.

A fronte di questi pericoli, esistono possibili soluzioni?
Sicuramente. Innanzitutto, sarebbe molto importante per lo Stato disporre di una tecnologia proprietaria o direttamente gestita, anche solo per scongiurare con certezza potenziali utilizzi fuori controllo e contra legem dello strumento. Tuttavia, ci sono evidenti difficoltà tecniche e di risorse per perseguire tale risultato.
In ogni caso, è comunque necessario adottare un nuovo approccio culturale e, di conseguenza, giuridico e legislativo al fenomeno. Non si può pensare di regolamentare uno strumento così pervasivo solo in relazione ai risultati giudiziari e di intelligence ottenibili grazie alle sue funzionalità, rischiando di precipitare nel riduzionismo giuridico che antepone e circoscrive la valutazione della norma alla sola efficacia e non anche alla sua giustizia e validità. Si dovrebbe mirare ad una disciplina organica, che non confini il dato tecnico alla fase della semplice operatività dello strumento.
Il funzionamento del captatore (sin dalla sua attività di “attacco intrusivo”) impatta sulle libertà fondamentali e sulla riservatezza degli individui: l’argine più sicuro per i nostri diritti è costituito da regole puntuali ed effettive che forniscano una disciplina globale dello strumento, che non sia parcellizzata rispetto ai suoi risultati e che trovi nel bilanciamento costituzionale il criterio guida e limite.

Per approfondire l’argomento, è possibile consultare l’articolo “Vita digitale a rischio. I captatori informatici tra pericoli per i diritti umani e riduzionismo giuridico” dell’Osservatorio Cyber Security dell’Eurispes

https://eurispes.eu/wp-content/uploads/2016/04/vita-digitale-a-rischio.pdf

Ultime notizie
Gioco

Gioco pubblico: il riordino deve riguardare contemporaneamente quello fisco e l’online

Gioco pubblico, un riordino necessario Nella imminente discussione sull’attuazione dell’art. 15 della legge delega sul riordino del gioco pubblico l'auspicio è che il...
di redazione
tempo libero
Sondaggi & Ricerche

Tempo libero, un lusso eroso da lavoro, Social e inflazione

Il tempo libero sta diventando un lusso nelle società contemporanee, tra produttività esasperata e tempo passato sui Social. E non solo: in Italia il 39,2% dei lavoratori lamenta la mancanza di tempo da dedicare a sé stessi, e il 57,2% degli italiani ha ridotto le spese per il tempo libero per risparmiare.
di redazione
tempo libero
pakistan
Mondo

Pakistan tra fughe per la vita di migliaia di persone e repressione militare: una crisi esplosiva

Il Pakistan affronta una grave crisi economica, pur essendo il quinto paese al mondo per popolazione e unica potenza nucleare di un paese governato da musulmani. Il contesto sociale è una polveriera, mentre è al governo un regime caratterizzato da estremismo islamico e intolleranza religiosa.
di Marco Omizzolo*
pakistan
futuro demografico
Futuro

Raccontare la denatalità: cambiare narrazione e aprirsi al cambiamento delle nostre società

La denatalità in Italia getta ombre preoccupanti sul futuro, ma per dare risposte concrete al problema è necessario abbandonare le narrazioni odierne e accettare le soluzioni proposte dalle politiche di accoglienza. Una riflessione del Presidente Gian Maria Fara sul presente e sul futuro demografico italiano.
di Gian Maria Fara*
futuro demografico
Economia

L’eolico in Sardegna: minaccia o premessa di nuovo sviluppo?

Negli ultimi mesi sono state presentate alla Regione Sardegna da parte di soggetti diversi centinaia di domande per l’installazione di nuove torri eoliche. Se venissero tutte accolte, l’isola si trasformerebbe in una piattaforma di totem metallici che ne puntellerebbero l’intero territorio. E non sarebbe risparmiato neanche il mare.
di Giuseppe Pulina
pnc
Italia

Piano Nazionale Complementare, uno strumento di sinergia col Pnrr

Il Pnc, ovvero il Piano Nazionale Complementare, è uno strumento di sinergia col Pnrr, varato nel 2021 per il valore di 31 miliardi di euro. Anche in questo caso si segnalano ritardi nella realizzazione dei progetti e la necessità di maggiore trasparenza sulla destinazione delle risorse impiegate.
di Claudia Bugno*
pnc
denatalità
Società

E se fare figli rendesse più ricchi?

I dati italiani sulla natalità parlano di 393.000 nuovi nati nel 2022, con tendenza al ribasso e un futuro da inverno demografico. Ma un primo passo per contrastare la denatalità in Italia può essere quello di smettere di rappresentare i figli solo come un impoverimento, e rifiutarne una narrazione prettamente economica.
di Alberto Mattiacci*
denatalità
Mar Nero
Mondo

Per una nuova sinergia tra Mar Mediterraneo e Mar Nero

Mar Mediterraneo e Mar Nero, due mari connessi e interdipendenti dal punti di vista ambientale, per i quali è necessaria una sinergia: è quanto emerso dalle indicazioni del 13° Simposio del Centro Studi sul Mar Nero ICBSS. La blue economy rappresenta un obiettivo comune di cooperazione tra le due aree.
di Marco Ricceri*
Mar Nero
longevity society
Società

Da aging society a longevity society: un approccio multigenerazionale

Il concetto di longevity society verte sull’allungamento dell’età anagrafica dei cittadini rispetto a epoche precedenti, con conseguenti impatti sociali, economici, sanitari e culturali. Ma l’approccio giusto per affrontare l’invecchiamento demografico è multigenerazionale e attento alle esigenze di tutte le generazioni.
di Claudia Bugno*
longevity society
Roma ricorda Kennedy
Storia

Roma ricorda Kennedy, un evento ripercorre i giorni di JFK nella Capitale

Roma ricorda Kennedy, l’evento che ripercorre le giornate trascorse nella Capitale dal Presidente statunitense nel luglio del 1963. L’incontro avrà luogo nella Capitale mercoledì 29 novembre dalle ore 10:00 alle 13:30. Il programma prevede la proiezione di immagini della visita a Roma di J.F. Kennedy, avvenuta l’1 e 2 luglio del 1963.
di redazione
Roma ricorda Kennedy