Cassazione, ok al trojan di Stato

Views

È una vicenda dove i trojan sono protagonisti. Utilizzati dagli indagati per spiare sulle loro vittime – almeno secondo l’ipotesi dell’accusa – ma anche dagli inquirenti. E poi finiti al centro di uno scontro legale, con esposto degli indagati contro il pm e la polizia postale, ed ora una sentenza della Cassazione.

IL CASO OCCHIONERO

Stiamo parlando dell’indagine su una campagna di cyberspionaggio condotta contro un gran numero di professionisti e politici italiani, il caso Eyepyramid dal nome del software malevolo utilizzato. Una vicenda che aveva portato lo scorso gennaio a un provvedimento di custodia cautelare nei confronti di Giulio e Francesca Maria Occhionero, noti da allora sui media come i fratelli Occhionero e accusati di essere dietro tale campagna di intrusioni informatiche e raccolta di informazioni. I due però avevano respinto gli addebiti. E avevano anche impugnato l’ordinanza di custodia cautelare su una serie di questioni, inclusa la legittimità dell’utilizzo di un trojan sul computer degli indagati da parte degli inquirenti. In sostanza, secondo i fratelli Occhionero, nel loro caso i trojan di Stato non si potevano utilizzare e di conseguenza i risultati raccolti dovevano considerarsi inutilizzabili.

I TROJAN DI STATO

Stiamo parlando di quei software – definiti spesso dagli inquirenti anche captatori informatici, agenti intrusori, virus autoinstallanti – utilizzati da anni dalle forze dell’ordine e dalle procure nel corso delle indagini. Di fatto sono software malevoli, spyware, software spia a tutti gli effetti: dopo aver infettato un dispositivo (smartphone, tablet, pc) sono in grado di accedere a tutta la sua attività (comunicazioni telefoniche, mail, chat, foto, Skype, navigazione web, file); di scattare foto dello schermo; di attivare microfono e videocamere per effettuare intercettazioni ambientali.

Uno strumento potente e invasivo su cui in questi ultimi anni si stanno giocando varie partite. Con la necessità di legiferare al riguardo, regolamentandolo, da parte del Parlamento, che però alla fine sono stati ridotti a una delega al governo, che rischia di tagliare con l’accetta molte complessità tecniche e giuridiche del mezzo. E con sentenze che ne inquadravano magari solo dei pezzi, delle funzioni specifiche, tralasciando altri aspetti dell’aprile 2016 delle sezioni unite della Cassazione.

LA SENTENZA SUL RICORSO OCCHIONERO

Ora l’ultima novità è che la corte di Cassazione, in una sentenza depositata il 20 ottobre, ha ritenuto infondato il motivo del ricorso di Occhionero, di fatto aprendo a ulteriori utilizzi delle funzioni dei trojan. Ed estendendo il loro impiego per più tipologie di reato.

Ma che cosa contestavano gli Occhionero?

Che i risultati raccolti col trojan fossero inutilizzabili per due motivi:

1) il trojan era stato usato nel computer di casa dell’indagato, ma secondo loro una precedente pronuncia delle sezioni unite della Cassazione, la “Scurato”, permetteva simile utilizzo (in casa, luogo particolarmente protetto dalla nostra legge) solo per reati di criminalità organizzata.

2) che il trojan non era stato utilizzato per intercettare flussi telematici (non era dunque intercettazione telematica come prevista dall’art 266-bis del codice di procedura penale), cioè non captava i dati in transito dal pc alla rete, bensì dei dati in tempo reale in un certo schermo o supporto, facendo ad esempio screenshot, fotografie del monitor. La differenza è che nel primo caso si parla di intercettazione telematica, nel secondo di perquisizione/ispezione.

LE MOTIVAZIONI DELLA CORTE

Allora, la sentenza della Cassazione ha risposto così:

1) Sul primo punto la pronuncia delle Sezioni Unite (“Scurato”) si riferiva solo a una funzione specifica del trojan, che non riguardava l’intercettazione telematica effettuata nel caso Occhionero, bensì l’intercettazione delle comunicazioni tra presenti. Cioè quella funzione del trojan che attiva il microfono del dispositivo trasformandolo in una cimice ambientale e registrando l’audio attorno. Inoltre, anche stando a quella pronuncia, la Corte limitava sì l’uso dentro casa di quella funzione del trojan solo a delitti di criminalità organizzata. Ma non escludeva comunque l’utilizzo del trojan nei casi in cui il reato fosse compiuto in casa, in cui l’abitazione fosse sede dell’attività criminale. Sopratutto, quella pronuncia non escludeva l’utilizzo del trojan per le intercettazioni telematiche, sottolinea ora la sentenza. Che fa anche un riferimento al disegno di legge di riforma del processo penale che ha dato delega al governo di rivedere le intercettazioni, incluso l’uso dei trojan: anche in quel caso, sostiene la sentenza, si disciplinano solo le intercettazioni di comunicazioni o conversazioni tra presenti mediante trojan, perché sarebbe la modalità ritenuta “più invasiva”.

Ricapitolando: quella pronuncia delle Sezioni Unite riguardava solo l’intercettazione tra presenti, di tipo ambientale, e non “la captazione che ha interessato l’Occhionero”. E non si può trarre da quella pronuncia un principio generale sulle intercettazioni telematiche.

2) Sul secondo punto la sentenza della Cassazione replica semplicemente che il trojan sarebbe stato usato nell’indagine sia per fare intercettazioni telematiche (del flusso di comunicazioni) sia captazioni (screenshot) di contenuti del pc. E che spettava all’indagato specificare quali di questi ultimi dati (quelli captati sul pc) fossero inutilizzabili e quanto pesassero sull’insieme degli indizi. “Il che non risulta essere stato fatto”, dice la sentenza.

L’IMPATTO DELLA SENTENZA SUI TROJAN

Insomma, secondo questa sentenza l’uso del trojan – anche con diverse funzioni – nell’indagine era lecito. Ma, al di là della vicenda giudiziaria specifica, può avere anche ripercussioni più in generale su come verranno utilizzati i trojan?

“Sì purtroppo – risponde l’avvocato Fulvio Sarzana, il primo a segnalare pubblicamente la sentenza – Perché la sentenza affronta proprio il tema delle intercettazioni telematiche attraverso i trojan. Ora sappiamo che questi strumenti si possono usare anche per tutti i reati che prevedono intercettazioni telematiche (art 266-bis), ovvero anche reati commessi con l’impiego di tecnologie informatiche o telematiche”.

“È una sentenza che fa giurisprudenza ma il problema sono le premesse perché la pronuncia “Scurato” delle sezioni unite si preoccupava proprio dell’invasività delle altre attività del trojan”, commenta l’avvocato Stefano Aterno. “Non è vero che le intercettazioni audio, fatte tra presenti, siano più invasive di una captazione di dati non comunicativi fatta da remoto, che di fatto è una perquisizione occulta. E in tal caso non si tratta di una intercettazione telematica ma di una attività di ispezione/perquisizione che dovrebbe essere poi notificata all’indagato”.

“Il punto è che questa sentenza considera solo l’intercettazione tra presenti, senza riprendere le preoccupazioni delle sezioni unite sull’invasività dello strumento e della sua incidenza sulle libertà fondamentali”, ribadiscono anche gli avvocati Giovanni Battista Gallus e Francesco Micozzi. “È un punto che contrasta col principio di proporzionalità della misura sottolineato anche dalla Corte europea dei diritti umani sulle intercettazioni. E poi azzera le differenze tra perquisizione e intercettazione, dicendo che è onere della difesa dimostrare se certe prove sono state prese in un modo o nell’altro”.

Ma se capti dati dentro il dispositivo, e non un flusso di comunicazioni tra due apparecchi, quella è una ispezione o perquisizione, notano ancora Gallus e Micozzi. Che ribadiscono: “Soprattutto la sentenza apre all’uso dei trojan per reati meno gravi ma commessi con mezzi informatici, inclusa anche la diffamazione online”.

fonte LaStampa.it

Cassazione, ok al trojan di Stato