Un uso improprio dei captatori informatici, i cosiddetti trojan, può condurre a scenari da “sorveglianza di massa” e, conseguentemente, a potenziali indebite pratiche di spionaggio. Il tema, riporta Repubblica, sarà al centro il 7 maggio della relazione annuale del Garante Privacy, l’ultima enunciata da Antonello Soro, il cui mandato scade a fine giugno. Un discorso pubblico, anticipato da diverse dichiarazioni ma, soprattutto – si legge oggi sul quotidiano diretto da Carlo Verdelli – da “una lettera inviata il 30 aprile alle massime cariche istituzionali e politiche dello Stato”, tra i quali “i presidenti di Camera e Senato, il premier Giuseppe Conte e il ministro della Giustizia Alfonso Bonafede”.
L’ALLARME DEL GARANTE
A dare slancio all’allarme del Garante ci sono gli sviluppi del caso Exodus, lo spyware che sarebbe stato distribuito negli ultimi due anni su dispositivi Android attraverso almeno una ventina di app scaricabili dalla piattaforma ufficiale Play Store di Google. Il programma, realizzato da una compagnia italiana, avrebbe infettato diverse centinaia di cittadini italiani, forse un migliaio, che non avevano nulla a che fare con inchieste e procedimenti penali.
Commentando l’indagine, Soro spiegò all’Ansa che al di là della vicenda specifica, meritevole comunque dei necessari approfondimenti, “ciò che, tuttavia, emerge con evidenza inequivocabile è la notevole pericolosità di strumenti, quali i captatori informatici, che per quanto utili a fini investigativi rischiano, se utilizzati in assenza delle necessarie garanzie anche soltanto sul piano tecnico, di determinare inaccettabili violazioni della libertà dei cittadini”.
”Tali considerazioni – aggiunse il Garante Privacy – erano state da noi rivolte al Governo, in sede di parere tanto sullo schema di decreto legislativo di riforma della disciplina intercettazioni che ha normato il ricorso ai trojan, quanto sullo schema di decreto attuativo che avrebbe, appunto, dovuto introdurre garanzie adeguate nella scelta dei software da utilizzare. È indispensabile trarre, da questa vicenda, la determinazione necessaria per impedire ulteriori violazioni in futuro, nella consapevolezza di come non possano tollerarsi errori in un campo così sensibile, perché incrocia il potere investigativo e il potere, non meno forte, della tecnologia. Strumenti investigativi così delicati devono certamente essere disponibili gli organi inquirenti come prevede la legge, ma nel rispetto di garanzie elevate per tutelare la libertà dei cittadini”, concluse Soro.
Valutazioni che sarebbero alla base della lettera inviata dal Garante alle istituzioni, sulla base delle quali, scrive Fabio Tonacci nel suo articolo, Soro avrebbe messo nero su bianco nella missiva: “È opportuna una riflessione sui limiti di utilizzo di questi software a fini intercettativi, valutando anche la possibilità di introdurre un divieto”.
L’ASPETTO LEGISLATIVO
Gli esperti, che sul tema delle intercettazioni e dell’utilizzo dei trojan dibattono da tempo, sembrano concordare. Viene spesso ricordata, a questo proposito, la proposta di legge (mai passata) per regolamentare il settore realizzata da Stefano Quintarelli durante la scorsa legislatura, quando era parlamentare.
L’avvocato Stefano Aterno, professore presso i Laboratori di informazione e sicurezza dell’Università di Foggia, spiegò a Formiche.net che “per risolvere questi problemi sarebbe già sufficiente ripartire e migliorare il regolamento tecnico ministeriale (Giustizia) dell’aprile del 2018 e il provvedimento del Garante privacy di qualche anno fa sulle intercettazioni per vincolare tutte le società che vendono questi servizi – spesso non hanno misure di sicurezza adeguate né vi sono controlli adeguati – ad adottare misure tecniche di sicurezza più stringenti ed efficaci, con soluzioni tipiche secondo standard internazionali”.
Servirebbero dunque tutele al momento assenti, secondo gli addetti ai lavori.
IL COMMENTO DI GIUSTOZZI
Per Corrado Giustozzi, esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale (Agid) per lo sviluppo del Cert della PA e membro del Permanent Stakeholders’ Group dell’agenzia dell’Ue Enisa, “Soro pone una questione importante, che però va analizzata ampiamente. Il problema”, evidenzia Giustozzi a Formiche.net, “non è la tecnologia in sé, ma l’uso che se ne fa. Ci sono due livelli da valutare: da un lato un uso illecito dei captatori da parte di privati cittadini e dall’altro un utilizzo degli organi inquirenti e delle forze dell’ordine. Nel primo caso, pensare a una proibizione tecnologica è impossibile, perché basta poco per comprare e usare un’app o, per chi ha minime competenze, per crearla da sé. In questa fattispecie, l’unica cosa da fare è mettere a punto pene severe e certe per chi viola la privacy degli altri. Nel secondo ambito, invece”, commenta l’esperto, “va preso atto che il diritto arranca inseguendo la tecnologia, che corre molto più veloce. Con la proposta Quintarelli si provò a elaborare una proposta all’avanguardia, ma non passò. La legge, oggi, distingue e disciplina ancora due tipi di intercettazioni: quella telefonica e quella ambientale. I trojan, però, che prima non esistevano, consentono di fare entrambe le cose in molti più modi che in passato. Per questo”, conclude Giustozzi, “ben vengano nuove misure, come quelle richieste dal Garante Privacy, se aggiungono garanzie e sicurezza. Il tema vero, però, resta a mio parere quello di riscrivere il codice ex novo, adeguandolo alle opportunità e ai rischi legati al digitale”.
