Il codice Vassalli, agli albori degli anni ’90, aveva conferito un imprinting moderno alla procedura penale nel nostro ordinamento, adottando un rito garantista di impostazione anglosassone, che fissava il principio cardine di equità delle parti in giudizio che avrebbero potuto contraltare ad armi pari.
Accusa e difesa, con il nuovo rito, avrebbero preso posto in aula, accanto, negli stessi banchi, di fronte ad un giudice terzo; una scelta moderna e democratica nel rispetto delle garanzie fondamentali previste dalla carta internazionale dei diritti dell’uomo e della nostra Costituzione.
In questo scenario una riforma importante avrebbe riguardato anche i mezzi di ricerca della prova e, tra questi, l’istituto sulle intercettazioni di comunicazioni (art. 266 cpp).
Si tratta, in vero, di una questione da sempre spinosa, che vede contrapposti due principi cardine della nostra Carta, l’art. 15 che vuole l’inviolabilità di ogni forma di comunicazione del singolo (salvo per atto motivato dell’autorità giudiziaria con prefissate garanzie), a dispetto di quel dovere fissato dall’art. 52, che vede la difesa della Patria quale dovere uti cives.
A queste tematiche va aggiunta un’ ulteriore esigenza, quella che viene spesso rappresentata con un inflazionato prestito linguistico inglese, la privacy, tutelata nello scenario comunitario da quell’art. 8 CEDU che sancisce il “diritto al rispetto della vita privata e familiare”.
Orbene, il codice Vassalli ha previsto una serie di norme che disciplinano le intercettazioni giudiziarie, cercando di bilanciare questi diritti fondamentali del singolo: l’inviolabilità delle comunicazioni, il diritto alla privacy e il diritto ad un giusto processo.
Ma, al tempo stesso, il codice ha realizzato un dispositivo idoneo a fornire alla polizia giudiziaria strumenti adeguati nell’accertamento dei reati con l’espediente delle intercettazioni, introducendo il concetto di “intercettazioni di comunicazioni tra presenti”(art. 266 comma 2 cpp), cioè la captazione di una conversazione avvenuta tra due o più persone, fissando una serie di limiti di applicabilità in relazione al concetto di domicilio e di privata dimora.
Poco dopo l’entrata in vigore del nuovo codice, avvenuta nel 1989, il legislatore, sull’onda del processo evolutivo dettato da Tim Berners Lee con il suo villaggio globale del “world wide web”, avrebbe adattato il testo alle esigenze delle nuove tecnologie, introducendo, nel 1993, il concetto di intercettazioni informatiche e telematiche (art. 266 bis cpp).
Va, però, adesso considerato che quel 1989 è stato lo start up del fenomeno sociale che ha maggiormente caratterizzato la società moderna: la comunicazione.
Un periodo che collima con la caduta del muro di Berlino, sapientemente descritto dai cyber antropologi con il lessico “destructing the boundaries costructing communities”, che ha rilanciato da una parte all’altra del globo le proteste dei giovani, dalla primavera araba, alle rivolte europee, ai movimenti dei giovani studenti di hong kong, ai tam tam a difesa dell’ecologia fino, in questi giorni, alle esacerbate proteste degli studenti iraniani contro il regime degli ayatollah.
Ma, quando si tratta di comunicazione va, purtroppo, considerato che anche i processi devianti e criminali ricorrono agli strumenti di interazione e di contatto in ogni forma e modalità, gioco forza, divenendo un processo fenomenologico di interesse criminalistico.
Da un mero profilo statistico, se nel 1989 almeno cinque famiglie su dieci, in Italia, erano titolari di un contratto telefonico fisso, va oggi preso atto che cinque italiani su dieci sono titolari di un recapito telefonico cellulare e che almeno il 30% della popolazione italiana utilizza strumenti di social media nei processi di interazione sociale virtuale.
Fatta questa necessaria premessa, il legislatore nel 2017 aveva introdotto un correttivo alla normativa in materia di intercettazioni, la c.d. Riforma Orlando, quale provvedimento inteso a porre un giusto equilibrio fra indagini e privacy, nonché quale strumento “tampone” inteso a disciplinare, senza comprendere quale fosse lo stato dell’arte, l’invasivo sistema di intrusione informatica come strumento di intercettazione, concetto di cui spiegheremo più avanti il significato.
Si era trattato di un provvedimento molto criticato dalla dottrina ed “aggiustato”, in questi giorni, con un frettoloso decreto legge correttivo, che, in buona sostanza, ha portato le lancette indietro a prima della riforma del 2017, introducendo taluni concetti processuali che troveranno nei giorni a venire nuove, mirate, osservazioni sia sotto il profilo giuridico, che con richiamo al diritto di difesa ed alle problematiche di natura tecnico operativa.
Senza entrare, però, in tecnicismi noiosi, si ritiene sufficiente, in questo contesto, offrire una sintetica spiegazione sull’utilizzo del “captatore informatico”, o “software di intrusione, ” “sistema a tecnologia dual use” o, più semplicemente, “trojan di stato”.
Il legislatore, sull’onda di una sentenza delle sezioni unite della suprema corte di Cassazione (sentenza Scurato), si era approcciato alla questione relativa al trojan, uno strumento di intercettazione altamente invasivo, che consiste nella penetrazione silente all’interno di uno strumento elettronico di comunicazione, sia esso un telefono, un computer o uno dei tanti strumenti del c.d. internet of things, al fine di acquisirne i privilegi di amministrazione e, da qui, poter attivare clandestinamente il microfono così da consentire un’intercettazione di comunicazioni tra presenti.
Ma le attenzioni legislative, nello scenario interno così come in quello comunitario, non si sono soffermate sulle criticità incontrate dalla polizia giudiziaria nell’attività di intercettazione di tecnologie VoIP (voice over internet protocol) o di messaggistica crittografata, il cui accesso, spesse volte, è inibito dall’amministratore del sistema di commutazione a pacchetto o di messaggistica che utilizzano un algoritmo proprietario; è il caso delle tante applicazioni di messaggistica e telefonia social media, che vanno da Whats App, a Viber, a Messenger, a Telegram, fino a Skype, giusto per citare i più comuni.
Si tratta di applicativi di comunicazione che utilizzano tecnologia “end to end”, cioè “da un capo all’altro”, con chiavi di crittografia che non vengono condivise da terze parti e che riguardano, esclusivamente, gli utenti in connessione con un algoritmo che varia casualmente e che non può essere intercettato facilmente “in chiaro”.
E’ interesse di ogni cittadino, ad esempio, che le forze dell’ordine abbiano una performance d’impiego, così da poter intercettare narco trafficanti, terroristi o criminali incalliti che utilizzano strumenti di comunicazione di difficoltosa captazione e decrittatura.
Ma il cittadino non sa che, da una focale comunitaria di Lawful Interception, il 17 gennaio 1995 era stata adottata dal Consiglio Europeo una risoluzione per prevenire e contrastare il terrorismo e la criminalità all'interno degli stati membri, con la predisposizione – a carico dei “gestori telefonici” - di porte di accesso (gateways) per le forze dell’ordine sui nodi principali di comunicazione (dorsali parametriche), al fine di consentire l’intercettazione di qualsiasi forma di comunicazione o di un flusso informatico o telematico.
Detta direttiva comunitaria era stata recepita in Italia soltanto nel 2003 con l’adozione del "CODICE DELLE COMUNICAZIONI ELETTRONICHE", in sostituzione del preesistente Testo Unico delle disposizioni legislative in materia postale, di bancoposta e di telecomunicazioni del lontano 1973, introducendo un nuovo concetto nel diritto comunitario, la "prestazione obbligatoria per fini di Giustizia" da parte dei gestori telefonici.
Il problema sorto di lì a poco, ed ancora oggi irrisolto, avrebbe riguardato l’individuazione fisica dei gestori telefonici che non sono oggi inquadrabili, ad esempio, in quei provider che forniscono applicazioni di messaggistica internet e di comunicazione VoIP: in buona sostanza TIM, come Vodafone, o Wind ed H3G, giusto per citate i marchi più noti in Italia, sono tenuti a fornire una prestazione obbligatoria per fini di Giustizia, rimanendo manlevate da questo onere tutte quelle “App” che utilizzano la connessione internet di un “gestore” al fine di consentire all’utente di “chattare” e conversare sui protocolli web.
Ecco, allora, che in tante occasioni è necessario ricorrere, nel corso di intercettazioni legali, all’inoculazione di un virus informatico con la funzione di spyware, al fine di poter catturare quel contenuti “lucchettati”da un protocollo HTTPS, non facilmente ispezionabili, seppure in presenza di idonei decreti autorizzativi di intercettazione.
Fatta questa breve premessa, nelle attuali tipologie configurative, il captatore informatico è oggi in grado di aprire le impostazioni di sistema, di attivare l’impianto microfonico del device (e fare quindi da registratore vocale), di comandare in modo silente lo start della telecamera (e quindi funzionare da apparato clandestino di video ripresa), di generare uno screen shot dello schermo, di gestire la localizzazione GPS, di effettuare operazioni di “sniffing” tra le cartelle di posta, delle foto, di scartabellare tra i folder dei documenti, nelle applicazioni di messaggistica end to end, sui profili social, o di una video chat crittografata.
Insomma, un insidioso applicativo silenzioso, in grado di catturare tutti quei dati che, nel corso di una tradizionale intercettazione telematica, non possono essere forzati per via di quella chiave di crittografia che protegge il sistema.
Si tratta, cioè, di un espediente che, allo stato dell’arte, non è solo idoneo all’effettuazione di una intercettazione giudiziaria di conversazioni, di comunicazioni telefoniche, di altre forme di telecomunicazione o di una intercettazione di comunicazioni tra presenti (ex art. 266 commi 1 e 2 del codice di procedura), o ancora di mera intercettazione di comunicazioni informatiche o telematiche (ex art. 266 bis), come quelle a cui il legislatore si è interessato, bensì di un captatore che ha le potenzialità di perquisire, sequestrare, cancellare i contenuti di un apparato elettronico, da qui violando privacy, riservatezza, domicilio virtuale di un bersaglio investigato, ma anche in grado, potenzialmente, di alterare, inquinare o distruggere la crime scene informatica.
Su alcuni aspetti di impiego, il legislatore si è riservato di indicare alcune linee guida attraverso un decreto ministeriale (ancora fermo dal 2017) che dovrebbe disciplinare le caratteristiche del captatore ma non, anche, a quanto sembra, le potenzialità di impiego sotto il profilo giuridico che esulano dall’intercettazione tra presenti.
In conclusione, appare evidente che l’uso di tecnologie che trasportiamo (B.Y.O.D.), indossiamo (W.Y.O.D) o che guidiamo (Car to Car) nel quotidiano, dagli smartphone, agli smartwatch, ai phablet fino ai tablet ed ai nuovi veicoli intelligenti - divenute una sorta di extension of man, avrebbe ipotizzato Marshall Mc. Luhan in Understanding media - corre il rischio di diventare una grossa falla della nostra privacy in assenza di una severa disciplina di settore.
Tutti i temi fin qui affrontati, lo si comprende bene, vanno necessariamente affrontati con un approccio multidisciplinare che vede configgere interessi interni di amministrazione della Giustizia, di sicurezza nazionale, di rispetto della privacy, di salvaguardia dei diritti fondamentali dell’uomo, di abbattimento dei muri e di costruzione di reti sociali virtuali, ma che da ultimo, seppur non per ultimo, deve fare i conti con una esplosione della devianza, in senso ampio, attraverso le nuove tecnologie con attacchi informatici e tecniche avanzate di comunicazione sul web, che sono anni luce avanti rispetto agli strumenti oggi fruibili da intelligence e corpi d’elite delle forze di polizia e di sicurezza comunitarie.
Una focale che deve fare i conti con le resistenze garantiste della Giustizia europea e che dovrà, necessariamente, scindere dal contesto della privacy del singolo, le ragioni di sicurezza geopolitica globale, interpretando cum grano salis quella nota di biasimo che la Grande Camera della Corte di Strasburgo aveva fatto recentemente nel procedimento RUSSIA/ZAKAROV, indicando che la Russia andrebbe tecnologicamente oltre ciò che è necessario.
Del resto anche il nostro giudice delle leggi ha più volte fatto richiamo al “supremo interesse della sicurezza dello Stato nella sua personalità internazionale, e cioè l’interesse dello Stato-comunità alla propria integrità territoriale, alla propria indipendenza e – al limite – alla sua stessa sopravvivenza” (Corte Costuzionale, sent. n. 106 del 3 aprile 2009).
Un interesse, - scrive Gianni Letta – “[…] che nella nostra Carta costituzionale trova espressione all’articolo 52, in base al quale la difesa della patria è sacro dovere del cittadino. Norma tutt’altro che isolata, se è vero che essa deve essere posta “in relazione con altre norme della stessa Costituzione che fissano elementi e momenti imprescindibili del nostro Stato” quali “la indipendenza nazionale, i principi dell’unità e indivisibilità dello Stato (art. 5) e la norma che riassume i caratteri essenziali dello Stato stesso nella formula di Repubblica democratica”[…]”.
In estrema sintesi, si tratta dunque di raccogliere ed elaborare tutte le informazioni utili a difendere la Repubblica, vale a dire non il solo apparato statale, bensì lo Stato-comunità con un bilanciamento che dovrà fare i conti con le cautele del singolo da una parte e, dall’altra, l’esigenza imprescindibile di preservare concretamente quella “casa di tutti” che Giorgio La Pira e gli altri padri costituenti ci hanno lasciato in preziosa eredità.