Dibattito politico e parlamentare: elaborazione di una nuova proposta di legge circa la regolamentazione dell’utilizzo del captatore

informatico

Appare opportuno, giunti al termine della trattazione relativa al tema del captatore informatico, richiamare il dibattito politico e parlamentare che si è avuto in seguito all’utilizzo di questo particolare strumento (considerato “agente intrusore”), per cercare di superare lo scenario legale attuale, caratterizzato da un vuoto legislativo da colmare. Varie sono state le iniziative parlamentari finalizzate ad introdurre una normativa ad hoc relativa all’utilizzo nelle indagini penali di questo peculiare software del tipo definito simbolicamente trojan horse. Possiamo ricordare la proposta di modifica dell’art. 266-bis c.p.p. che si è avuta nel corso dei lavori parlamentari per la conversione del c.d. Decreto antiterrorismo, in cui si chiedeva di inserire le parole anche attraverso l’impiego di strumenti o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico. In seguito, era stato presentato un emendamento che voleva circoscrivere l’area operativa del nuovo “agente intrusore” per i delitti di cui agli artt. 270-bis, 270-ter, 270-quater e 270-quinquies c.p. commessi per le finalità di terrorismo di cui all’art. 270-sexies; si tratta di proposte non approvate, in sede di conversione. Successivamente, nel dicembre 2015, è stata depositata una proposta di legge111 per garantire l’adeguamento tecnologico del sistema delle                                                                                                                          

110 _{M.T. ABBAGNALE, op. cit., p. 8.}

111 _{Proposta di legge C. 3470, Modifica dell’art. 266- bis c.p.p., in materia di}

intercettazioni, attraverso l’uso di programmi informatici che consentano l’accesso ai computer da remoto, per acquisire dati presenti in un sistema informatico ritenuti utili alle indagini connesse al perseguimento di reati con finalità terroristiche; si propone di aggiungere all’art. 266-bis c.p.p., comma 1, le parole anche attraverso l’impiego di strumenti o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico. In seguito ad una successiva proposta di legge112, a poche settimane dal pronunciamento della Cassazione113, i captatori informatici ritornano ad essere protagonisti del dibattito politico e parlamentare. Della proposta, e più in generale dei captatori, si è discusso martedì 21 giugno a Roma in un convegno a porte chiuse organizzato dall’associazione Italia Decide in una sala del Senato con decine di parlamentari, magistrati e forze dell’ordine. L’attuale proposta114 _{in elaborazione è avanzata dal deputato del gruppo misto}

Stefano Quintarelli, che in passato aveva criticato il tentativo di far passare un via libera indiscriminato dei captatori con il Decreto Antiterrorismo: avrebbe consentito in maniera generalizzata l’uso dei captatori per tutti i reati “commessi mediante l’impiego di tecnologie informatiche o telematiche” (quindi anche reati come la diffamazione o la violazione del copyright) e non solo quelli di estrema gravità, quale il terrorismo.115 I contenuti della nuova proposta di legge sono vari, in particolare essa dichiara di voler segmentare le funzionalità dei captatori, riconducendole al mezzo di ricerca della prova tradizionale con cui avrebbero più somiglianze. Per cui la ricerca di file sul dispositivo è considerata una forma di perquisizione; l’acquisizione di                                                                                                                          

112 _{Proposta C.3762, Modifiche al codice di procedura penale e alle norme di}

attuazione, di coordinamento e transitorie del codice di procedura penale, in materia di investigazioni e sequestri relativi a dati e comunicazioni contenuti in sistemi informatici o telematici, 20/05/2016.

113 _{Corte Cass., SS. UU., 1.07.2016, n. 26889.} 114 _{P. FELICIONI, op. cit., p. 105.}

115 _{C. FREDIANI, Intercettazioni via trojan alla prova della Cassazione, in La}

file come una forma di sequestro probatorio; le intercettazioni del traffico vocale come un’intercettazione telefonica; e le registrazioni audio/video come un’intercettazione ambientale.116 Quest’ultima qualificazione giuridica dell’attività di indagine con esso svolta trova conferma nel fatto che, sia la citata sentenza Musumeci che l’ordinanza di rimessione, pur difformi in punto di limiti ed ambito di operatività dell’intercettazione, e di utilizzabilità degli esiti dell’attività di captazione, convergono nell’inquadrarla come attività investigativa nell’ambito delle intercettazioni ambientali. La relazione di accompagnamento, dopo aver dato la definizione del captatore informatico, illustra le varie attività che il programma informatico consente. In particolare, ci si sofferma sulla problematicità della perquisizione a distanza; riconoscendo i seri problemi di compatibilità costituzionale che questa modalità pone, se ne prevede l’utilizzo solo per determinati reati. L’art. 1, ad esempio, prevede la possibilità di procedere, tramite captatori legali, a perquisizioni a distanza, nei soli casi in cui si procede per i reati di cui all’art. 51 c.p.p., commi 3-bis, 3- quater e 3-quinquies, all’art. 407 c.p.p., comma 2, e ai delitti dei pubblici ufficiali contro la pubblica amministrazione. L’art. 3 modifica l’art. 266- bis c.p.p., disciplinando l’uso dei captatori legali per compiere l’intercettazione di flussi di dati e per la localizzazione geografica del dispositivo. L’art. 4 prevede il carattere sussidiario e residuale di questi nuovi mezzi di indagine. E via dicendo. Un aspetto importante è quello relativo ai tecnici esterni; la legge prevede che l’esecuzione materiale delle operazioni sia affidata alla polizia giudiziaria, senza la possibilità di avvalersi di tecnici e società esterne, anche in considerazione dell’impossibilità per le forze di polizia e per la magistratura di verificare l’operato di tali soggetti. Questo è da considerarsi un aspetto importante, se consideriamo che i captatori, attualmente, sono forniti da                                                                                                                          

116 _{C. FREDIANI, Intercettazioni con i trojan di Stato: ecco la proposta di}

società esterne capaci di gestire anche l’assistenza, senza però avere, teoricamente, contatto diretto con i dati acquisiti o conoscenza dei target. A loro volta sono gestiti materialmente da altre società che lavorano a stretto contatto con le procure, facendo da cinghia di trasmissione tra i fornitori del software e gli inquirenti. Portare tutto sotto il controllo della polizia giudiziaria è considerato necessario per molti, in considerazione della delicatezza dei dati trattati e della potenza dello strumento. Ciononostante, potrebbe non essere affatto semplice. La proposta, inoltre, affrontando il tema di come dovrebbero essere e funzionare questi captatori, va a prevedere un decreto apposito – emanato dal ministro della Giustizia, di concerto con quello dell’Interno, e con parere del Garante della privacy e dell’Agenzia per l’Italia digitale – che individui i requisiti tecnici di tali strumenti. Esso stabilirebbe i criteri necessari per far si che i captatori autorizzati siano in grado di non alterare i dati o le restanti funzioni del dispositivo ospite; e non abbassino il livello di sicurezza dell’apparecchio su cui sono utilizzati. Infine, per quanto concerne la certificazione, si prevede l’istituzione di un sistema apposito, affidato all’Istituto superiore delle comunicazioni e tecnologie dell’informazione, dei captatori utilizzati nelle indagini, e di un loro registro nazionale, nonché l’obbligo di depositare i loro codici sorgenti presso un ente da determinarsi. L’idea alla base della proposta sarebbe quella di consentire alla difesa di accedere a tutta la documentazione sulle operazioni eseguite con i captatori, le loro console di gestione e gli operatori, dalla istallazione alla rimozione, fino alla verifica che gli stessi siano certificati (ovvero rispettosi dei requisiti tecnici previsti) e, eventualmente, fino all’ispezione del codice. Questo è, senza dubbio, un passo importantissimo verso la regolamentazione. I temi sollevati sono densi e complessi, ogni elemento tecnico della questione solleva degli interrogativi giuridici di garanzia dei diritti. Come limitare l’ampiezza dello strumento quando viene usato per una perquisizione a distanza? Quanto si può andare in profondità nello scavo

e chi deve definire i limiti? Come conciliare certificazione e velocità dello sviluppo tecnologico? Come evitare il rischio dell’alterazione dei dati? Sono alcuni degli interrogativi con cui si dovrà confrontare la proposta.