Trojan e Spyware: ecco come funzionano e quali sono i rischi

Che cos’è un captatore informatico? Che cosa prevede la legge italiana e quali sono i rischi per i cittadini? Ne parliamo con Roberto De Vita, Presidente dell’Osservatorio Cyber Security dell’Eurispes.

I trojan riempiono ormai sempre più le cronache giudiziarie del nostro Paese, scatenando accesi dibattiti sulla legittimità del loro utilizzo. Ma che cos’è un captatore informatico?
Il captatore informatico altro non è che un software (per la precisione, un malware) che, clandestinamente e silenziosamente, può introdursi da remoto in qualsiasi tipo di dispositivo informatico, purché connesso alla Rete: smartphone, smart Tv, smart car, assistenti vocali, console per i videogames, etc.
Il trojan consente di controllare da remoto tutte le attività che verranno compiute dal dispositivo target. Ciò è possibile perché il captatore, violando le difese del bersaglio, si introduce all’interno dello stesso e prende di fatto l’intera gestione del sistema, scalando i privilegi necessari a dialogare con l’hardware come se fosse l’amministratore di sistema. L’attività più complessa è sicuramente l’inoculazione all’interno del dispositivo da infettare, poiché – in assenza della materiale disponibilità dello stesso – quest’ultima deve avvenire con la necessaria, ancorché inconsapevole, collaborazione del proprietario del device.

Quali sono le attività che può compiere il dispositivo infettato dal captatore?
Le operazioni sono tantissime: dall’attivazione del microfono e della videocamera al tracking del segnale GPS del dispositivo; può fare screenshot e screencast dello schermo, registrare tutto ciò che viene digitato sulla tastiera del dispositivo (keylogger); può eseguire la copia di tutti i dati contenuti all’interno della memoria fisica.
Inoltre, il trojan consente di visualizzare tutti gli scambi di messaggi, informazioni e file che avvengono tramite i consueti canali di comunicazione, come la app di messaggistica, superando l’ostacolo della crittografia: infatti, poiché non si intercetta il messaggio in transito bensì il messaggio sul dispositivo mittente o sul dispositivo destinatario, non è necessaria la decodifica.
In altre parole, con il trojan si può avere accesso ad un patrimonio informativo sconfinato: ciò che è conservato, ciò che sta avvenendo e ciò che avverrà.

Una grande risorsa per le Forze di polizia, ma anche un’arma pericolosa in mano a paesi illiberali o ad organizzazioni criminali. In Italia, esistono i trojan di Stato?
Nel nostro Paese, ormai da tempo, l’Autorità giudiziaria e la nostra Intelligence si servono dello strumento, tanto a fini di accertamento dei reati quanto a fini di prevenzione. In questi termini, il trojan appartiene agli strumenti nella disponibilità delle Autorità pubbliche. Tuttavia, è improprio parlare di trojan di Stato, poiché, di fatto, il nostro Paese non è dotato di una tecnologia proprietaria, o di diretta ed esclusiva gestione, dovendosi invece servire di software sviluppati, e spesso gestiti, da privati anche stranieri.

Qual è lo stato dell’arte della legislazione italiana in materia di captatori informatici?
L’Italia non si è ancora dotata di una disciplina organica, che regolamenti tutte le funzionalità e gli usi investigativi del trojan.
Ad oggi, esiste il cosiddetto “Decreto Intercettazioni” (D.Lgs. 216/2017) – voluto dalla riforma Orlando e non ancora totalmente entrato in vigore a causa di ripetute proroghe – che regolamenta l’uso del captatore installato su dispositivi mobili ai soli fini dell’intercettazione di comunicazioni tra presenti.
In particolare, la legge ammette l’utilizzazione dei trojan anche per i reati comuni, oltre che per quelli di criminalità organizzata e terrorismo, operando la seguente distinzione: per i primi il trojan si può utilizzare solo in luoghi diversi da quelli ex art. 614 c.p. (ovvero di privata dimora, a meno che non sia in corso attività criminosa), e si dovranno perciò indicare i luoghi e i tempi in cui dovrà attivarsi da remoto il microfono; al contrario, per i reati di criminalità organizzata e con finalità di terrorismo non sono necessarie queste limitazioni ed il captatore ha un uso, di fatto, ubiquitario.
La cosiddetta “Spazzacorrotti” (legge 3/19) ha poi esteso l’uso senza limitazioni dei trojan anche ad alcuni reati contro la P.A. (ossia i delitti dei pubblici ufficiali contro la P.A. puniti con la pena della reclusione non inferiore nel massimo a 5 anni).

Quali sono le principali carenze dell’attuale quadro normativo?
Il punto più critico riguarda il disciplinare tecnico previsto dalla Orlando e adottato con il Dm del 20 aprile 2018.
Nella parte relativa ai “requisiti tecnici dei programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore”, ci si prefiggeva l’obiettivo di prevedere misure tecniche idonee di affidabilità, sicurezza ed efficacia affinché i programmi informatici utilizzabili si limitassero all’esecuzione delle operazioni autorizzate.
Tuttavia, il contenuto del decreto è privo di puntuali indicazioni e tendente all’impiego di formule generali (si veda il concetto di “integrità, sicurezza e autenticità dei dati captati”), cui non segue un adeguato sistema di controllo dei programmi utilizzati.
Nell’aprile del 2019, all’indomani dell’esplosione del caso “Exodus”, lo stesso Garante per la protezione dei dati personali ha criticato la citata normativa, proprio per non aver formulato in maniera più esplicita taluni obblighi e divieti e, più in generale, le prescrizioni di questo “disciplinare tecnico”.

La legge è quindi ancora lontana da una disciplina globale. Al momento, quali sono i rischi principali per gli individui?
Lo stesso Garante ha individuato un grande pericolo nel rischio di sorveglianza massiva dei singoli, dovuta, ad esempio, alla libera disponibilità sugli stores delle app contenenti il trojan, in assenza di divieti espressi rispetto a tale pratica.
Inoltre, la vicenda Exodus ha evidenziato un’altra pratica rischiosa per la tutela dei dati degli interessati, oltre che per la stessa attività di indagine: l’archiviazione dei dati raccolti tramite sistemi cloud, di cui alcuni localizzati in paesi extra Ue.
Ed, infine, l’ultima grande preoccupazione: la carenza di effettiva tracciabilità rispetto a tutte le operazioni eseguite dal captatore sul dispositivo infettato espone il materiale raccolto a potenziali contraffazioni.

L’attuale normativa, però, regolamenta solo l’esecuzione di intercettazioni audio tramite captatore, attivando il microfono del dispositivo aggredito. Che cosa accade per tutte le altre attività investigative potenzialmente eseguibili con il trojan?
Manca una disciplina che contempli tutte le potenzialità intrusive ed investigative dello strumento.
Tuttavia, questo vuoto normativo non ha escluso che il captatore potesse comunque essere utilizzato per altre attività investigative, anzi. Nell’impossibilità di assimilarlo ai mezzi di ricerca della prova tradizionali, la giurisprudenza lo ha talvolta ricondotto al concetto di “prova atipica” ex art. 189 c.p.p., come nel caso delle perquisizioni da remoto.
Questa scelta, oltre ad essere stata criticata da numerosi studiosi, impone in maniera ancora più urgente la necessità di disciplinare il captatore in via globale e dal punto di vista tecnico, non solo dal punto di vista giuridico e rispetto alle singole funzionalità prese in considerazione.

A fronte di questi pericoli, esistono possibili soluzioni?
Sicuramente. Innanzitutto, sarebbe molto importante per lo Stato disporre di una tecnologia proprietaria o direttamente gestita, anche solo per scongiurare con certezza potenziali utilizzi fuori controllo e contra legem dello strumento. Tuttavia, ci sono evidenti difficoltà tecniche e di risorse per perseguire tale risultato.
In ogni caso, è comunque necessario adottare un nuovo approccio culturale e, di conseguenza, giuridico e legislativo al fenomeno. Non si può pensare di regolamentare uno strumento così pervasivo solo in relazione ai risultati giudiziari e di intelligence ottenibili grazie alle sue funzionalità, rischiando di precipitare nel riduzionismo giuridico che antepone e circoscrive la valutazione della norma alla sola efficacia e non anche alla sua giustizia e validità. Si dovrebbe mirare ad una disciplina organica, che non confini il dato tecnico alla fase della semplice operatività dello strumento.
Il funzionamento del captatore (sin dalla sua attività di “attacco intrusivo”) impatta sulle libertà fondamentali e sulla riservatezza degli individui: l’argine più sicuro per i nostri diritti è costituito da regole puntuali ed effettive che forniscano una disciplina globale dello strumento, che non sia parcellizzata rispetto ai suoi risultati e che trovi nel bilanciamento costituzionale il criterio guida e limite.

Per approfondire l’argomento, è possibile consultare l’articolo “Vita digitale a rischio. I captatori informatici tra pericoli per i diritti umani e riduzionismo giuridico” dell’Osservatorio Cyber Security dell’Eurispes

https://eurispes.eu/wp-content/uploads/2016/04/vita-digitale-a-rischio.pdf

Ultime notizie
Italia

Reti europee di trasporto TEN-T: l’Italia penalizzata dalle nuove strategie adottate

Una premessa. Era il lontano 2004 quando l’Unione europea, per impulso di Romano Prodi Presidente della Commissione, immaginò di rafforzare il processo...
di Gianpaolo Basoli, Luca Danese, Marco Ricceri
violenza contro le donne
Donne

Violenza contro le donne, meno vittime ma attenzione ai reati spia

Violenza contro le donne, nel report della Direzione centrale della Polizia criminale allerta sui reati spia e sulle vittime con disabilità. Diminuiscono i casi di femminicidio, -9% rispetto al 2021, ma aumentano le violazioni di allontanamento e i reati di violenza sessuale.
di redazione
violenza contro le donne
stalking
Criminalità e contrasto

Stalking, vittime degli atti persecutori continuano ad essere soprattutto le donne

Lo stalking, ossia gli atti persecutori, è considerato uno dei reati spia, quei delitti che sono indicatori di una violenza di genere. È possibile leggere il fenomeno attraverso gli ultimi dati messi a disposizione dalla Direzione Centrale della Polizia Criminale e le indagini realizzate dall'Eurispes.
di Susanna Fara
stalking
intelligenza artificiale
Tecnologia

Intelligenza artificiale, costi e benefici ambientali della rivoluzione digitale

Intelligenza artificiale e sostenibilità: migliorare l’efficienza energetica dei sistemi è utile al bilancio ambientale, ma non bisogna trascurare gli impatti diretti delle operazioni di calcolo e delle infrastrutture tecnologiche, in termini di consumo energetico e di materie prime.
di Roberta Rega
intelligenza artificiale
scuola
Scuola

La crisi della scuola come laboratorio di eccellenza e inclusione raccontata dal Presidente Roberto Ricci attraverso i dati INVALSI

La scuola italiana descritta dalle prove INVALSI è un sistema affetto da divario territoriale e scarsa attenzione alla crescita degli alunni: un alunno su dieci è in una situazione di fragilità al termine del ciclo di scuola secondaria, con punte vicine al 20% nelle regioni del Mezzogiorno.
di Roberto Ricci*
scuola
sud e coesione
Italia Domani

Sud e coesione territoriale: a che punto siamo?

Sud e coesione territoriale sono tra i punti fondamentali del PNRR. Quasi 20 miliardi di euro sono destinati a politiche di inclusione e coesione, volte a colmare il divario territoriale presente in Italia. Dopo il lavoro svolto dal Ministero del Sud, le modifiche di competenze dei Ministeri volute dal nuovo governo introducono nuovi scenari organizzativi.
di Claudia Bugno*
sud e coesione
Van Gogh
Cultura

Vincent Van Gogh, i colori che hanno influenzato il mondo. La mostra a Roma

La pittura di Vincent Van Gogh è entrata nell’immaginario collettivo, diventando oggetto di venerazione e culto. Una mostra al Palazzo Bonaparte di Roma, in occasione dei 170 anni dalla nascita, esplora il mistero di una fascinazione per il colore che ha conquistato intere generazioni.
di Angelo Perrone
Van Gogh
welfare
Intervista

Le nuove emergenze impongono un ripensamento del welfare e del ruolo dei sindacati. Intervista al Presidente Tiziano Treu

Le nuove emergenze globali impongono un ripensamento di welfare e ruolo dei sindacati per far fronte ad emergenze sociali legate a inflazione e povertà. Il PNRR e l’agenda Draghi hanno segnato una svolta verso coesione e sostenibilità, ma bisogna puntare sull’innovazione. A colloquio con Tiziano Treu Presidente del CNEL.
di Massimiliano Cannata
welfare
questione meridionale
Mezzogiorno

Questione meridionale ancora aperta. Superare il divario tra Nord e Sud centrale per ritrovare unità nazionale

La questione meridionale è stata messa da parte con la Seconda Repubblica, lasciando la centralità alla narrazione politica di un Paese disunito e con opposte rivendicazioni. Ma il Sud resta al centro dello sviluppo del Paese e della sua unità nazionale, e il PNRR deve rappresentare una occasione per colmare il divario.
di Luca Bianchi*
questione meridionale
agroscienze
Agricoltura

L’ascesa dell’agricoltura sostenibile e la crescita del mercato delle agroscienze

Alla ricerca della sostenibilità in agricoltura Il settore agricolo si sta ormai orientando su scala globale verso pratiche sostenibili volte a preservare e...
di Cecilia Fracassa
agroscienze