L’ingresso della tecnologia nel processo penale è ormai, anche alla luce di quanto già detto nel presente lavoro, un dato di fatto. Appare necessario dare qualche indicazione su cosa sia un captatore informatico anche detto trojan o virus di Stato. Il captatore informatico è un mezzo di ricerca della prova molto particolare in quanto racchiude in esso disparate funzioni e capacità che ne rendono altrettanto complicata e spigolosa non soltanto l’utilizzazione ma anche la disciplina stessa; esso rende possibile la captazione occulta di dati digitali creando un rapporto di tensione tra le esigenze di repressione del reato e i diritti fondamentali della persona. Tale nuovo strumento investigativo “nasce dunque principalmente con questo scopo: intercettare le comunicazioni verbali derivanti dall’utilizzo di sistemi di messaggistica altrimenti non intercettabili130 […]. In realtà, […], il captatore informatico fornisce una serie [ben più lunga] di possibilità operative, in quanto, di fatto, consente all’investigatore, da remoto, di assumere il controllo del telefono o del
computer infettato.”131 L’impiego dei c.d. trojan horse permette la
130 Ci si riferisce ai nuovissimi sistemi di messaggistica ossia telegram, whatsapp, il
servizio messenger di facebook, instagram; questi non sarebbero intercettabili in altro modo perché il segnale vocale o il testo digitato non transitano sulle reti gestite dagli operatori di telefonia, bensì sulla rete internet. Tali servizi di messaggistica istantanea sono caratterizzati dalla end-to-end security, questa è una tipologia di cifratura che consiste nella creazione, per ogni interlocutore, di una chiave segreta, conosciuta solo da lui, e di una chiave che l’interlocutore rende pubblica per consentire agli altri di comunicare con lui in modo sicuro. Ciò che è cifrato con la chiave pubblica può essere decifrato solo con la chiave segreta. Per maggiori approfondimenti vedi anche F. CAJANI, Odissea del captatore informatico, in Cassazione penale, 2016, pp. 4140 ss.
131 M. ZONARO, Il trojan - aspetti tecnici e operativi per l’utilizzo di un innovativo
73
realizzazione di una serie di operazioni particolarmente intrusive, tra le quale ritroviamo: l’accesso ai dati memorizzati nel dispositivo, nonché la facoltà di copiare i dati stessi; la registrazione del traffico dati in arrivo o in partenza ed anche di quanto viene digitato sulla tastiera del dispositivo; l’attivazione della funzione di localizzazione del dispositivo; la registrazione delle telefonate e delle videochiamate e, l’attivazione delle funzioni microfono e/o telecamera a prescindere dalla volontà dell’utente, in questa modalità il captatore si comporta come una microspia, captando conversazioni e rumori ambientali.132 Ciò che rende il tutto maggiormente interessante, nonché particolarmente invasivo della sfera della vita privata dell’utente, è il fatto che tali operazioni possono essere avviate da remoto ed interessano tutto ciò che avviene nel raggio d’azione del dispositivo in questione, rendendo, dunque, difficile, se non impossibile, l’individuazione preventiva dei luoghi che saranno soggetti alle suddette attività.
Volendoci soffermare ancora sulle potenzialità del captatore informatico, è possibile suddividere le attività che esso consente di svolgere in due macro insiemi: l’on line search e l’on line
surveillance133. Alle attività di on line search appartengono quei programmi spia che consentono di copiare, totalmente o solo parzialmente, quanto contenuto nella memoria del dispositivo target e successivamente i dati e le informazioni vengono trasmessi alle autorità investigative, sempre in maniera occulta, o in tempo reale o ad intervalli di tempo predeterminati. Le attività di on line surveillance, invece, consentono la captazione del “flusso informativo intercorrente tra le periferiche (quali video, tastiera, microfono, webcam) e il micro processore del dispositivo target, permettendo al centro remoto di
132 Cfr. G. LASAGNI, L’uso dei captatori informatici (trojans) nelle intercettazioni
fra ‘presenti’, in Diritto penale contemporaneo, 2016, pp. 1 ss. M. ZONARO, Il trojan - aspetti tecnici e operativi per l’utilizzo di un innovativo strumento di intercettazione, in Parola alla difesa, 2016, p. 163.
133 Cfr. P. FELICIONI, L’acquisizione da remoto di dati digitali nel processo penale:
evoluzione giurisprudenziale e prospettive di riforma, in Processo penale e giustizia, 2016, pp. 123 ss.
74
controllo di monitorare in tempo reale tutto ciò che viene visualizzato sullo schermo, [e quindi] screenshot, digitato attraverso al tastiera, [cioè il] keylogger, detto attraverso il microfono, visto per mezzo della webcam del sistema bersaglio.”134 Le attività che abbiamo appena descritto come riconducibili al captatore informatico, presentano una certa corrispondenza con quelle attività di ricerca probatoria descritte e disciplinate dal Codice di rito.
Dopo aver visto l’utilità di un simile strumento cerchiamo di capire come si arriva ad ottenere tali risultati. Abbiamo già accennato al fatto che le operazioni messe in atto attraverso il captatore informatico possono essere avviate anche da remoto, per comprendere come ciò sia possibile basta considerare il modo in cui si opera in tali situazioni. “Il programma informatico, c.d. malware135 viene installato in un dispositivo target, in modo occulto, per mezzo del suo invio con una e- mail, un sms o una applicazione di aggiornamento.”136. Dunque, il soggetto utente permette, in maniera inconsapevole, l’ingresso del virus all’interno del dispositivo che sta utilizzando. Il software che viene installato nel dispositivo presenta due componenti distinte: il c.d. server che infetta il dispositivo bersaglio ed il c.d. client137 che è l’applicazione
134 Cfr. P. FELICIONI, L’acquisizione da remoto di dati digitali nel processo penale:
evoluzione giurisprudenziale e prospettive di riforma, in Processo penale e giustizia, 2016, p. 124.
135 Il malware (malicius software) è un software malevolo che maschera la sua vera
identità al fine di sembrare utile al funzionamento del dispositivo e così indurre il soggetto ad installarlo. Per maggiori approfondimenti v. M. ZONARO, Il trojan - aspetti tecnici e operativi per l’utilizzo di un innovativo strumento di intercettazione, in Parola alla difesa, 2016, p. 163.
136 Cfr. G. LA CORTE, Il trojan: le intercettazioni nell’era digitale a contrasto della
criminalità organizzata, in Giurisprudenza penale, 2017, p. 2.
137 A differenza di quello che accade con molti virus questa tipologia non tende ad
espandersi ad altri dispositivi. Inoltre il client, anche detto controller, è in grado anche di porre il trojan in quiescenza o di indurlo all’autodistruzione. Riguardo, invece, all’attività di trasmissione dei dati va detto che questa non avviene in maniera diretta tra i due server, cioè quello infettato che invia i dati e quello ricevente, ma tra di essi sono interposti una serie di altri server, detti proxy, che fanno in modo che anche analizzando il dispositivo infettato sia impossibile risalire all’indirizzo del server ricevente. V. M. ZONARO, Il trojan - aspetti tecnici e operativi per l’utilizzo di un innovativo strumento di intercettazione, in Parola alla difesa, 2016, p. 163.
75
utilizzata dal virus per controllare il dispositivo ed i suoi contenuti138. Sui contenuti scrutati sorge un altro profilo problematico dello strumento d’indagine in esame, in quanto non è possibile selezionare preventivamente i contenuti che saranno analizzati per cui potranno essere oggetto di osservazione non soltanto quelle informazioni illecite per le quali l’indagine, eventualmente, è stata disposta bensì anche informazioni personali che attengono alla vita privata dell’utente. La prima fase, quella dell’installazione del virus, può avvenire in due modi diversi o con un’aggressione di tipo software, che è quella che abbiamo visto anche prima, che consiste nell’invio del virus al dispositivo camuffato sotto forma di sms, e-mail, programma di aggiornamento e così via; oppure con una aggressione di tipo hardware che è un vera e propria intrusione fisica sul dispositivo che è stato lasciato incustodito. Trattandosi di dati digitali bisogna sempre tener presente che questi sono comunque assoggettati a quei principi che abbiamo richiamato in ambito della digital forensics, ossia: l’immodificabilità della memoria del contenuto del dispositivo target; la conformità dei dati acquisiti con i dati originali; ed infine, la corretta conservazione dei dati acquisiti. All’inizio del corrente paragrafo abbiamo affermato che lo strumento investigativo in esame è in grado di intercettare anche conversazioni che non sarebbero altrimenti intercettabili, ossia quelle che interessano nuovi sistemi di messaggistica istantanea, citiamo in via esemplificativa i messaggi scambiati via whatsapp. Considerata l’ampiezza della diffusione e dell’utilizzo di questi nuovi canali della comunicazione non è difficile comprendere l’indispensabilità del captatore informatico. L’errore nel quale non bisogna incorrere è quello di ritenere semplice il suo impiego, infatti, oltre ai limiti imposti dalla legge al fine di tutelare i vari diritti fondamentali coinvolti, ci sono limiti derivanti dalle caratteristiche tecniche del captatore. Si va dall’eccessivo uso della
138 Cfr. P. FELICIONI, L’acquisizione da remoto di dati digitali nel processo penale:
evoluzione giurisprudenziale e prospettive di riforma, in Processo penale e giustizia, 2016, p. 119.
76
batteria del dispositivo target, a ostacoli interni al dispositivo stesso, i c.d. antivirus o firewall; questi sono dei sistemi che pongono dei vincoli per poter procedere all’installazione di applicazioni sul dispositivo.139
Chiaramente il superamento di tali ‘barriere’ impone dei costi ulteriori alle indagini.
2. Punti di contatto e di contrasto con i mezzi di prova già