E’ sempre più forte l’ingresso della tecnologia nel processo penale. Tra gli strumenti utilizzabili per le indagini, dopo alcune pronunce a favore della Corte di Cassazione (es. sent. n. 26889/2016), si sta per fare spazio ufficialmente il Trojan: un malware captatore che può attivare a distanza dispositivi che il soggetto intercettato porta con sé.
E’ evidente come la pratica possa apparire simile a quella delle intercettazioni e, proprio per questo motivo, sono necessarie alcune previsioni garantiste per evitarne un utilizzo indiscriminato.
Nel disegno di legge per la riforma del processo penale approvato dal Senato figura espressamente la previsione di questo malware come strumento ufficiale d’indagine, per il cui utilizzo il Parlamento (Ddl. n. 2067) dovrà indicare espressamente le misure minime che devono essere adottate (trattandosi di una risorsa preziosa, ma potenzialmente pericolosa).
Nel seguito dell’articolo andrò a specificare, inizialmente, che cos’è il Trojan, per poi proseguire con l’analisi della disciplina prevista dal disegno di legge per il suo utilizzo, che si avvicina in un certo senso a quella dettata dal Codice di procedura penale per le intercettazioni.

Il Trojan

Il Trojan è un malware (abbreviazione di “malicious software”), inteso come programma potenzialmente dannoso per un computer (o per qualsiasi altro supporto informatico).
E’ spesso utilizzato per violare la riservatezza dei dati memorizzati su un supporto informatico altrui (accesso abusivo, raccolta informazioni e dati, invio di pubblicità non desiderata) tramite differenti modalità, ad esempio, attraverso allegati ad email o tramite l’installazione di un’applicazione che apparentemente viene consigliata da un presunto amico: dopo l’apertura della mail o l’installazione dell’App vengono aggirate le protezioni ed il malware è pronto ad agire registrando i contenuti del supporto infettato.
Dopo essere stato infettato, dunque, il pc, il tablet o lo smartphone (o altro supporto) risponde direttamente all’hacker che lo ha infettato, inviando i dati di cui ha bisogno, memorizzando email, attivando microfono e webcam indipendentemente dalla volontà del povero malcapitato che, inconsapevolmente, potrà essere controllato a distanza.
Per quanto riguarda gli smartphone, il Trojan è anche capace di memorizzare il traffico in entrata e uscita e di registrare le telefonate.
E’ dunque evidente, vista la potenziale invadenza dello strumento, come sia necessario bilanciare le esigenze di repressione dei fenomeni criminosi con le garanzie e i diritti individuali tutelati dalla Costituzione (es. art. 15: “La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge.”).

Le cautele

Il Parlamento per evitare un utilizzo indiscriminato dello strumento ha indicato, all’interno della delega al governo per la riforma, i punti chiave che devono essere seguiti per un regolare utilizzo del Trojan (prendendo come base la disciplina penalistica sulle intercettazioni agli artt. 266-271 c.p.).
Innanzitutto, sarà richiesta un’espressa autorizzazione, fatta da un Giudice con decreto, all’utilizzo del malware, che dovrà risultare strettamente necessario alle indagini.
Il microfono non potrà, inoltre, essere attivato automaticamente una volta infettato il supporto informatico, ma sarà necessario un controllo remoto a distanza per l’attivazione-disattivazione (ovviamente nel rispetto dei limiti imposti dal Giudice nel provvedimento di autorizzazione) e la registrazione dovrà essere curata dalla Polizia Giudiziaria o dal personale incaricato (il tutto dovrà comunque essere riportato sul verbale in cui saranno descritte le modalità di svolgimento delle operazioni).
Come per le intercettazioni, l’utilizzo del Trojan sarà sempre possibile nel caso in cui si proceda per reati di criminalità organizzata e, nei luoghi di domicilio privati (cosiddette intercettazioni ambientali), solamente mentre l’attività criminosa oggetto di indagini avrà luogo.
Le registrazioni, al fine di garantirne integrità e originalità, saranno trasmesse esclusivamente sul server della Procura e, al termine della registrazione necessaria, il malware dovrà essere definitivamente disattivato e reso inutilizzabile.
Un’ulteriore previsione riguarda i programmi malware di cui ci si potrà avvalere: tali programmi dovranno infatti conformarsi a dei requisiti che verranno indicati entro 30 giorni dall’entrata in vigore dei decreti di attuazione della legge delega, tenendo conto dell’evoluzione tecnologica (al fine di renderli efficaci per raggiungere lo scopo prefissato).
Peculiarità, come per le intercettazioni, potranno esserci poi nei casi d’urgenza in cui, per i delitti di criminalità, il Pubblico Ministero potrà procedere alle registrazioni informatiche senza preventiva autorizzazione del Giudice (che dovrà però arrivare nelle 48 ore successive e dovrà motivare l’impossibilità di procedere altrimenti).
Le intercettazioni raccolte potranno essere utilizzate come prova solamente per l’accertamento dei reati oggetto del provvedimento d’autorizzazione iniziale del Giudice e in procedimenti diversi potranno essere utilizzate solamente se indispensabili per l’accertamento di reati per i quali è previsto l’arresto in flagranza obbligatorio.
Infine, è prevista, a tutela dei soggetti registrati ma estranei ai fatti (dunque occasionalmente coinvolti), l’impossibilità di divulgare, pubblicare o portare a conoscenza di terzi le registrazioni che li riguardano.

Conclusioni

L’avanzare della tecnologia continua certamente ad offrire un numero sempre maggiore di strumenti utili per raggiungere un giusto esito processuale.
Sebbene il campo sia sempre arduo e rischioso, perché il binomio riservatezza-esigenze investigative è sempre oggetto di forte contrasto, è utile tenere in considerazione la possibilità di utilizzare nuove tecniche per facilitare il lavoro agli esponenti della giustizia.
Nell’effettuare questa tipologia di operazioni bisogna, tuttavia, porre particolare attenzione alle garanzie e ai diritti che vengono tutelati dalla Costituzione (e dai Codici) e non invadere eccessivamente la sfera privata dei soggetti: è quindi sempre necessaria un’attenta e studiata regolamentazione della materia.
Le linee guida offerte dal Parlamento nella Legge delega appaiono ragionevoli; è ora auspicabile una precisa attività di attuazione da parte del Governo che tenga conto della peculiarità della materia.

                                                                                                                                                                                                     Dott. Luigi Dinella

Ultimi aggiornamenti

youtube copyright ban strike
Non esiste content creator, youtuber o streamer di Twitch che non abbia mai usato una canzone, una foto, uno spezzone di un film o di un’altra opera di terzi in un proprio video. Eppure, proprio in relazione a questa pratica diffusissima, sono ad oggi innumerevoli i casi […]
Sommario: 1. Premessa 2. PC Gaming e console: sono “apparecchiature” da omologare? Quale legame hanno con la “pubblica sicurezza”? 3. L’impatto sulle sale LAN e sugli esports bar: ma anche su musei e altre attività 4. L’impatto sull’esport 5. La lacuna normativa italiana. Prospettive oltre la […]
server dati cloud azienda
Per un’azienda, è sempre più avvertita la necessità di poter integrare i sistemi di conservazione tradizionale dei dati, con vari tipi di soluzioni tecnologiche. Tra queste, le offerte proposte dal mercato digitale si concentrano principalmente su due tipologie, le soluzioni in cloud e quelle in azienda […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.