Trojan e Spyware: ecco come funzionano e quali sono i rischi

1738

Che cos’è un captatore informatico? Che cosa prevede la legge italiana e quali sono i rischi per i cittadini? Ne parliamo con Roberto De Vita, Presidente dell’Osservatorio Cyber Security dell’Eurispes.

I trojan riempiono ormai sempre più le cronache giudiziarie del nostro Paese, scatenando accesi dibattiti sulla legittimità del loro utilizzo. Ma che cos’è un captatore informatico?
Il captatore informatico altro non è che un software (per la precisione, un malware) che, clandestinamente e silenziosamente, può introdursi da remoto in qualsiasi tipo di dispositivo informatico, purché connesso alla Rete: smartphone, smart Tv, smart car, assistenti vocali, console per i videogames, etc.
Il trojan consente di controllare da remoto tutte le attività che verranno compiute dal dispositivo target. Ciò è possibile perché il captatore, violando le difese del bersaglio, si introduce all’interno dello stesso e prende di fatto l’intera gestione del sistema, scalando i privilegi necessari a dialogare con l’hardware come se fosse l’amministratore di sistema. L’attività più complessa è sicuramente l’inoculazione all’interno del dispositivo da infettare, poiché – in assenza della materiale disponibilità dello stesso – quest’ultima deve avvenire con la necessaria, ancorché inconsapevole, collaborazione del proprietario del device.

Quali sono le attività che può compiere il dispositivo infettato dal captatore?
Le operazioni sono tantissime: dall’attivazione del microfono e della videocamera al tracking del segnale GPS del dispositivo; può fare screenshot e screencast dello schermo, registrare tutto ciò che viene digitato sulla tastiera del dispositivo (keylogger); può eseguire la copia di tutti i dati contenuti all’interno della memoria fisica.
Inoltre, il trojan consente di visualizzare tutti gli scambi di messaggi, informazioni e file che avvengono tramite i consueti canali di comunicazione, come la app di messaggistica, superando l’ostacolo della crittografia: infatti, poiché non si intercetta il messaggio in transito bensì il messaggio sul dispositivo mittente o sul dispositivo destinatario, non è necessaria la decodifica.
In altre parole, con il trojan si può avere accesso ad un patrimonio informativo sconfinato: ciò che è conservato, ciò che sta avvenendo e ciò che avverrà.

Una grande risorsa per le Forze di polizia, ma anche un’arma pericolosa in mano a paesi illiberali o ad organizzazioni criminali. In Italia, esistono i trojan di Stato?
Nel nostro Paese, ormai da tempo, l’Autorità giudiziaria e la nostra Intelligence si servono dello strumento, tanto a fini di accertamento dei reati quanto a fini di prevenzione. In questi termini, il trojan appartiene agli strumenti nella disponibilità delle Autorità pubbliche. Tuttavia, è improprio parlare di trojan di Stato, poiché, di fatto, il nostro Paese non è dotato di una tecnologia proprietaria, o di diretta ed esclusiva gestione, dovendosi invece servire di software sviluppati, e spesso gestiti, da privati anche stranieri.

Qual è lo stato dell’arte della legislazione italiana in materia di captatori informatici?
L’Italia non si è ancora dotata di una disciplina organica, che regolamenti tutte le funzionalità e gli usi investigativi del trojan.
Ad oggi, esiste il cosiddetto “Decreto Intercettazioni” (D.Lgs. 216/2017) – voluto dalla riforma Orlando e non ancora totalmente entrato in vigore a causa di ripetute proroghe – che regolamenta l’uso del captatore installato su dispositivi mobili ai soli fini dell’intercettazione di comunicazioni tra presenti.
In particolare, la legge ammette l’utilizzazione dei trojan anche per i reati comuni, oltre che per quelli di criminalità organizzata e terrorismo, operando la seguente distinzione: per i primi il trojan si può utilizzare solo in luoghi diversi da quelli ex art. 614 c.p. (ovvero di privata dimora, a meno che non sia in corso attività criminosa), e si dovranno perciò indicare i luoghi e i tempi in cui dovrà attivarsi da remoto il microfono; al contrario, per i reati di criminalità organizzata e con finalità di terrorismo non sono necessarie queste limitazioni ed il captatore ha un uso, di fatto, ubiquitario.
La cosiddetta “Spazzacorrotti” (legge 3/19) ha poi esteso l’uso senza limitazioni dei trojan anche ad alcuni reati contro la P.A. (ossia i delitti dei pubblici ufficiali contro la P.A. puniti con la pena della reclusione non inferiore nel massimo a 5 anni).

Quali sono le principali carenze dell’attuale quadro normativo?
Il punto più critico riguarda il disciplinare tecnico previsto dalla Orlando e adottato con il Dm del 20 aprile 2018.
Nella parte relativa ai “requisiti tecnici dei programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore”, ci si prefiggeva l’obiettivo di prevedere misure tecniche idonee di affidabilità, sicurezza ed efficacia affinché i programmi informatici utilizzabili si limitassero all’esecuzione delle operazioni autorizzate.
Tuttavia, il contenuto del decreto è privo di puntuali indicazioni e tendente all’impiego di formule generali (si veda il concetto di “integrità, sicurezza e autenticità dei dati captati”), cui non segue un adeguato sistema di controllo dei programmi utilizzati.
Nell’aprile del 2019, all’indomani dell’esplosione del caso “Exodus”, lo stesso Garante per la protezione dei dati personali ha criticato la citata normativa, proprio per non aver formulato in maniera più esplicita taluni obblighi e divieti e, più in generale, le prescrizioni di questo “disciplinare tecnico”.

La legge è quindi ancora lontana da una disciplina globale. Al momento, quali sono i rischi principali per gli individui?
Lo stesso Garante ha individuato un grande pericolo nel rischio di sorveglianza massiva dei singoli, dovuta, ad esempio, alla libera disponibilità sugli stores delle app contenenti il trojan, in assenza di divieti espressi rispetto a tale pratica.
Inoltre, la vicenda Exodus ha evidenziato un’altra pratica rischiosa per la tutela dei dati degli interessati, oltre che per la stessa attività di indagine: l’archiviazione dei dati raccolti tramite sistemi cloud, di cui alcuni localizzati in paesi extra Ue.
Ed, infine, l’ultima grande preoccupazione: la carenza di effettiva tracciabilità rispetto a tutte le operazioni eseguite dal captatore sul dispositivo infettato espone il materiale raccolto a potenziali contraffazioni.

L’attuale normativa, però, regolamenta solo l’esecuzione di intercettazioni audio tramite captatore, attivando il microfono del dispositivo aggredito. Che cosa accade per tutte le altre attività investigative potenzialmente eseguibili con il trojan?
Manca una disciplina che contempli tutte le potenzialità intrusive ed investigative dello strumento.
Tuttavia, questo vuoto normativo non ha escluso che il captatore potesse comunque essere utilizzato per altre attività investigative, anzi. Nell’impossibilità di assimilarlo ai mezzi di ricerca della prova tradizionali, la giurisprudenza lo ha talvolta ricondotto al concetto di “prova atipica” ex art. 189 c.p.p., come nel caso delle perquisizioni da remoto.
Questa scelta, oltre ad essere stata criticata da numerosi studiosi, impone in maniera ancora più urgente la necessità di disciplinare il captatore in via globale e dal punto di vista tecnico, non solo dal punto di vista giuridico e rispetto alle singole funzionalità prese in considerazione.

A fronte di questi pericoli, esistono possibili soluzioni?
Sicuramente. Innanzitutto, sarebbe molto importante per lo Stato disporre di una tecnologia proprietaria o direttamente gestita, anche solo per scongiurare con certezza potenziali utilizzi fuori controllo e contra legem dello strumento. Tuttavia, ci sono evidenti difficoltà tecniche e di risorse per perseguire tale risultato.
In ogni caso, è comunque necessario adottare un nuovo approccio culturale e, di conseguenza, giuridico e legislativo al fenomeno. Non si può pensare di regolamentare uno strumento così pervasivo solo in relazione ai risultati giudiziari e di intelligence ottenibili grazie alle sue funzionalità, rischiando di precipitare nel riduzionismo giuridico che antepone e circoscrive la valutazione della norma alla sola efficacia e non anche alla sua giustizia e validità. Si dovrebbe mirare ad una disciplina organica, che non confini il dato tecnico alla fase della semplice operatività dello strumento.
Il funzionamento del captatore (sin dalla sua attività di “attacco intrusivo”) impatta sulle libertà fondamentali e sulla riservatezza degli individui: l’argine più sicuro per i nostri diritti è costituito da regole puntuali ed effettive che forniscano una disciplina globale dello strumento, che non sia parcellizzata rispetto ai suoi risultati e che trovi nel bilanciamento costituzionale il criterio guida e limite.

Per approfondire l’argomento, è possibile consultare l’articolo “Vita digitale a rischio. I captatori informatici tra pericoli per i diritti umani e riduzionismo giuridico” dell’Osservatorio Cyber Security dell’Eurispes

https://eurispes.eu/wp-content/uploads/2016/04/vita-digitale-a-rischio.pdf

Ultime notizie
Politica

Un 2 giugno dedicato alla Repubblica e alla ripartenza dopo il Covid-19

Nonostante la mancanza di celebrazioni per la nascita della Repubblica e della Costituzione a causa delle restrizioni Covid, rimane il senso della “festa nazionale”. Nei momenti drammatici, come la ripartenza dopo la pandemia, serve richiamarsi allo spirito di unità su obiettivi di lungo periodo: il progetto di società moderna, progredita e solidale.
di Angelo Perrone
Intervista

La vera Fase 2 per l’Italia comincia dal merito

La crisi del lavoro che si intreccia con l’eclissi del merito si presenta molto grave in tutte le realtà territoriali. «Quello che ci vuole è una rivoluzione gentile ma irreversibile, che porti a sovvertire il sistema di potere che vige in Italia da secoli», sostiene Maria Cristina Origlia, autrice del saggio Questione di Merito.
di Massimiliano Cannata
Sicurezza

Coronavirus, lo spettro del disagio sociale e il ruolo dell’intelligence

All’attenuarsi dell’emergenza sullo sfondo si intravede, abbastanza prossimo, il fantasma del disagio sociale. L’intelligence ha il compito primario di monitorare il disagio sociale che può rappresentare non solo un’area di reclutamento per la criminalità, ma che si può trasformare anche in un problema di ordine pubblico. Il contributo del Prof. Mario Caligiuri.
di Mario Caligiuri
Società

Fase 2, la sfida dei Sindaci. Antonio Decaro: “Le risorse del Governo non sono sufficienti”

Fase 2: «I soldi che il Governo ha stanziato per Bari finora, e che arriveranno alla cifra di tre miliardi di euro complessivi, non saranno sufficienti. Per evitare che i Comuni debbano spegnere le luci o lasciare i rifiuti per strada, l'interlocuzione dell'Anci con il Governo è incessante». Lo sostiene il Sindaco di Bari e Presidente dell'Anci, Antonio Decaro.
di Valentina Renzopaoli
Recensioni

Libri, disponibile in Open access “Il Segretario, lo Statista. Aldo Moro dal centro-sinistra alla solidarietà nazionale”

È disponibile da oggi in Open access il volume collettivo dal titolo "Il Segretario, lo Statista. Aldo Moro dal centro-sinistra alla solidarietà nazionale", curato da Alessandro Sansoni, Pierluigi Totaro e Paolo Varvaro.
di redazione
Società

A proposito del lockdown

«L’inglese ha ormai invaso la nostra vita quotidiana, e il suo utilizzo segna la separazione tra le diverse Italie. Tuttavia, le Istituzioni...
di Gian Maria Fara
Innovazione

Fase 2, le mappe ESRI per prevenire nuovi contagi

Le mappe ESRI sono quelle, ormai famose, "nere con i puntini rossi”, strumenti indispensabili per chi sta combattendo il virus in tutto il mondo. I dati provengono dall’OMS elaborati secondo gli algoritmi scelti dagli studiosi della Università americana Johns Hopkins, e girano sulle piattaforme di geografia digitale ESRI Inc.
di Emilio Albertario
Innovazione

Utilizzo previsto delle risorse ospedaliere a supporto dei pazienti Covid-19 Italia nei paesi SEE e USA

L’IHME ha prodotto previsioni che mostrano l’utilizzo dei letti d’ospedale, la necessità di letti in terapia intensiva e l’utilizzo dei ventilatori durante la pandemia, basandosi sul numero di decessi previsti per gli Stati Uniti – a livello nazionale e subnazionale – e dei paesi dello Spazio economico europeo (SEE).
di Maria Cristina Guarini
Approfondimenti

Stiamo combattendo il Coronavirus ma ci siamo dimenticati l’emergenza ambientale

Potremmo riassumere nella parola “vulnerabilità” quanto avvenuto in questi mesi nel mondo con l’emergenza causata dalla pandemia da Covid-19. Non era mai...
di Angelo Bonelli
Europa

Dove va l’Europa. Dacia Maraini: “L’Unione va difesa a tutti i costi”

Di fronte alla pandemia, l’Europa si sta dimostrando incerta e sbandata. A 75 anni dalla fine della guerra, nemmeno di fronte ad un dramma sanitario come il Coronavirus, l’Unione, meglio alcuni paesi, sono in grado di indicare e di “giustificare” la “ragione” dello stare insieme. L'intervista a Dacia Maraini.
di Carmelo Cedrone