Virus informatici e smartphone: i limiti all'utilizzabilità per fini investigativi secondo la Suprema Corte

Print Friendly, PDF & Email

privacy-policy-1624400_1280La Suprema Corte è stata chiamata a valutare se fosse possibile l’utilizzo da parte della Polizia Giudiziaria di sofisticati software, assimilabili ai virus trojan, che permettono di controllare in remoto l’ambiente circostante ed accedere ai dati sensibili della macchina su cui è installato. Ma prima di spiegare la posizione degli ermellini bisogna come come funziona la tecnologia in questione.

Di sicuro il più famoso è il R.C.S., ossia Remote Control System sviluppato dalla famosa azienda italiana Hacking Team, balzata agli onori delle cronache a causa del recente attacco informatico subito che ha rivelato importanti dati aziendali, oltre al codice sorgente dello stesso software spia.

Il programma, detto anche Galileo, è in due versioni, una per computer desktop/portatile e l’altra, quella che ci interessa, per gli smarphone. Il meccanismo di infezione o meglio, di infiltrazione, può avvenire in due modi: o direttamente mediante chiavetta USB inserita nel PC da infettare, ovvero attraverso l’invio di un SMS malevolo (offerte allettanti, annuncio di notizie personali, o simulazione di SMS provenienti da persone fidate es) che rimanda ad un link che, a sua volta, installa automaticamente e, soprattutto, in maniera silente, il software malevolo.

Può essere installato anche mediante pacchetti di dati attraverso la rete che si “ricompongono” sulla macchina bersaglio. Va detto che il Galileo, almeno sino alla versione dello scorso anno, attacca abbastanza facilmente gli smarphone Android, Windows, Blackberry, Symbian e  gli Iphone sottoposti a Jailbreak  (una sorta di modifica del software originale per permettere l’accesso a funzioni particolari del telefono), questo perché la Apple non permette di installare programmi che non provengano dal proprio App store, che, oltre ad essere stati verificati, sono firmati digitalmente dalla stessa azienda di Cupertino.

Una volta installato, il software prende il controllo silente del telefono acquisendo i dati personali quali rubrica, sms, chat, dati di navigazione ed attivando in remoto sia il microfono che la telecamera, diventando di fatto uno strumento di intercettazione ambientale con un rapporto rischio/risultati molto elevato, in quanto non è necessario che il personale di P.G. si rechi fisicamente sul luogo in cui va piazzata la cimice o la telecamera.

Questi dati, successivamente, vengono inviati a vari server nel mondo per la successiva analisi ed utilizzo per ragioni (sperabilmente) di prevenzione o di repressione di gravi reati, anche se il recente leak in danno di Hacking Team ha disvelato l’uso del software da parte di alcuni Stati illiberali, fra cui il Sudan. In quanto ai server di raccolta dati, secondo Kaspersky, che ha pubblicato un dettagliato report sul funzionamento del trojan, ci sarebbero circa 326 server, di cui solo 64 negli Stati Uniti e dall’analisi degli indirizzi IP sarebbero quasi tutti governativi.

Va detto che ogni installazione (ovvero licenza) è contrassegnata da una firma elettronica, pertanto i software antivirus potrebbero (o meglio potevano dato che ritengo che il software non è stato solo aggiornato ma anche modificate le firme) non solo rilevarlo ma anche informare l’utente quale autorità lo stia utilizzando (PolPost, D.E.A, F.B.I. ecc.).

Giusto per informazione, il Ministero dello Sviluppo Economico ha ritirato il nulla osta di distribuzione internazionale del suddetto software e quindi le singole vendite dovranno essere autorizzate caso per caso.

Una volta spiegato brevemente il funzionamento di questo tipo di software spia veniamo all’ordinanza della Corte di Cassazione sul provvedimento del Tribunale della Libertà di Palermo che confermava la custodia cautelare in carcere disposta dal G.I.P. per reati di criminalità organizzata.

La pronunzia parte da un’ordinanza di rimessione alle SS.UU. in cui le doglianze della difesa si concretizzavano, fra le altre che non interessano in questa sede e parafrasando alcuni passi del provvedimento, nella

illegittimità del decreto con cui il G.i.p. autorizzava «le operazioni di intercettazione di tipo ambientale tra presenti che avverranno nei luoghi in cui si trova il dispositivo elettronico in uso all’indagato», nonché l’inutilizzabilità dei risultati relativi a tali captazioni per violazione degli artt. 15 Cost., 8 CEDU, 266, comma 2, e 271 cod. proc. pen.

In particolare, il ricorrente dopo aver premesso che l’intercettazione è avvenuta per mezzo di un “virus auto-istallante” attivato su un apparecchio elettronico portatile in uso all’indagato, ovunque lo stesso si trovasse, ha rilevato come nella specie sia stato eluso il divieto posto dall’art. 266, comma 2, cod. proc. pen. di effettuare intercettazioni all’interno di abitazioni private, a meno che all’interno di esse non si stia svolgendo un’attività criminosa, dal momento che la captazione di conversazioni sarebbe avvenuta anche all’interno dell’abitazione della moglie dell’indagato. A questo proposito nel ricorso si sottolinea come lo stesso G.i.p. avesse respinto un’ulteriore richiesta di autorizzazione alla ripresa audio-video all’interno dell’abitazione del ricorrente, ritenendola non consentita.

Sotto un diverso profilo, l’intercettazione del dispositivo elettronico portatile sarebbe stata autorizzata in violazione degli artt. 15 Cost. e 8 CEDU in quanto non risulta siano stati indicati i luoghi in cui tale captazione doveva essere effettuata, aggirando, anche in questo caso, i limiti posti dall’art. 266, comma 2, cod. proc. pen.: nel ricorso si sostiene che l’articolo da ultimo citato, attuazione dell’art. 15 Cost., non consente un’applicazione talmente ampia da legittimare forme di intercettazioni, come quella in questione, in grado di seguire il soggetto “ovunque si sposti”, in quanto l’intercettazione ambientale per essere legittima deve avvenire in luoghi «ben circoscritti e individuati ab origine» nel decreto autorizzativo.

Nella specie, invece, le intercettazioni non sono state soggette ad alcuna restrizione spaziale con la conseguenza che i relativi risultati devono ritenersi inutilizzabili.

I giudici, premesso ciò, hanno fissato i termini della questione operando il corretto inquadramento giuridico della tecnica investigativa testé descritta, ascrivendola al “genus” delle intercettazioni ambientali e citando una precedente sentenza (Sez. 6, n. 27100 del 26/05/2015 sentenza Musumeci) secondo cui, atteso che l’art. 266 c.p.p. impone una individuazione dei luoghi di captazione, l’unica interpretazione costituzionalmente orientata a mente dell’art. 15 Cost. è quella “che consente l’intercettazione ambientale [mediante trojan] purché sia autorizzata con riferimento a luoghi individuati ab origine e ben circoscritti, con la conseguenza che la mancanza nel decreto autorizzativo di tali indicazioni determina l’illegittimità del provvedimento e quindi l’inutilizzabilità delle captazioni tra presenti.” .

Nello specifico il decreto autorizzativo consentiva l’utilizzo dell’R.C.S. non per la captazione del flusso dati (già autorizzato e comunque disciplinato dal nostro codice) ma per la captazione delle conversazioni fra presenti che “avverranno nei luoghi in cui si trova il dispositivo elettronico in uso all’indagato“, trasformando il portatile, tablet o smarphone in una “cimice” elettronica.

Nel decreto non vi era una limitazione spaziale circa l’utilizzo dello strumento autorizzato, ma solo una laconico generico riferimento ai luoghi in cui si trova il dispositivo elettronico, né può ritenersi che il riferimento contenuto nel decreto alla «stanza in cui è ubicato in quel momento l’apparecchio portatile» rivesta portata limitativa poiché l’intercettazione è potenzialmente effettuabile ovunque.

Continuando, la S.C., citando la propria giurisprudenza sull’art. 266 c.p.p. co. 2, precisa che la determinazione dei luoghi è obbligatoria solo per le captazioni eseguite nei luoghi di  privata dimora ex art. 614 c.p., ammettendo anche la variazione dei luoghi purché il luogo “diverso” rientri nella specificità dell’ambiente oggetto dell’intercettazione autorizzata.

È chiaro che, data la caratteristica itinerante dell’intercettazione mediante trojan, sarà compito del giudice, d’iniziativa o su impulso di parte, stralciare le intercettazioni captate nel domicilio, durante l’udienza di cui all’art. 268, comma 6, cod. proc. pen., ferma restando la possibilità della difesa di denunziarne in dibattimento l’inutilizzabilità e tenendo conto che non sempre è possibile capire dove sia avvenuta la captazione (a tal proposito sarebbe buona prassi investigativa accompagnare l’intercettazione con la geo localizzazione della stessa).

Inoltre veniva citata sentenza della Corte Costituzionale n° 36 del 2008 che dichiarava la parziale illegittimità dell’art. 268 c.p.p nella misura in cui non prevedeva che, a seguito di esecuzione o notifica dell’ordinanza di custodia cautelare, il difensore non avesse diritto all’estrazione (su nastro magnetico. sic!) delle captazioni, di modo da assicurare un efficace contraddittorio durante le successive fasi.

I giudici, sempre a mente dell’ordinanza di rimessione, discostandosi dalla impostazione della sentenza Musumeci, precisavano che i predetti limiti non si dovrebbero applicaere ai procedimenti di criminalità organizzata in quanto l’art. 13 D.L. 152/1991 così stabilisce:

In deroga a quanto disposto dall’articolo 267 del codice di procedura penale, l’autorizzazione a disporre le operazioni previste dall’articolo 266 dello stesso codice è data, con decreto motivato, quando l’intercettazione è necessaria per lo svolgimento delle indagini in relazione ad un delitto di criminalità organizzata o di minaccia col mezzo del telefono in ordine ai quali sussistano sufficienti indizi. Nella valutazione dei sufficienti indizi si applica l’articolo 203 del codice di procedura penale. Quando si tratta di intercettazione  di comunicazioni tra presenti disposta in un procedimento relativo a un delitto di criminalità organizzata e che avvenga nei luoghi indicati dall’articolo 614 del codice penale, l’intercettazione è consentita anche se non vi è motivo di ritenere che nei luoghi predetti si stia svolgendo l’attività criminosa.

Infine rimetteva la questione indicando due possibili questioni di contrasto giurisprudenziale da dirimere:

  • se il decreto che dispone l’intercettazione di conversazioni o comunicazioni attraverso l’installazione in congegni elettronici di un virus informatico debba indicare, a pena di inutilizzabilità dei relativi risultati, i luoghi ove deve avvenire la relativa captazione;
  • se, in mancanza di tale indicazione, la eventuale sanzione di inutilizzabilità riguardi in concreto solo le captazioni che avvengano in luoghi di privata dimora al di fuori dei presupposti indicati dall’art. 266, comma 2, cod. proc. pen.; se possa comunque prescindersi da tale indicazione nel caso in cui l’intercettazione per mezzo di virus informatico sia disposta in un procedimento relativo a delitti di criminalità organizzata;

Successivamente le Sezioni Unite, investite della questione, facevano proprie le premesse e le considerazioni tecnico – giuridiche della sezione rimettente, arricchendone i contenuti e citando le varie proposte di legge al riguardo che vorrebbero codificate questo strumento di intercettazione (chiamato captatore legale, sic!) ed esteso l’uso anche per i reati dei pubblici ufficiali contro la pubblica amministrazione; si prevede anche la disciplina del “sequestro da remoto” che permetterà alla P.G. ed all’A.G. di fissare le prove senza attendere il sequestro fisico dell’apparecchiatura.

Continuando, la Corte precisa che, in più occasioni, è stata dichiarata la manifesta infondatezza della questione di illegittimità costituzionale dell’art. 266 co. 2 in riferimento all’art. 14 Cost. in quanto il legislatore costituente, non potendo prevedere lo sviluppo tecnologico in tema di intercettazioni, non aveva previsto una inviolabilità assoluta del domicilio; inoltre la norma è in contrasto con le convenzioni internazionali in tema di diritti fondamentali.

I supremi giudici precisano che la specificazione del luogo in cui debba essere eseguita la intercettazione, contenuta ne decreto autorizzativo, non va intesa come modalità di esecuzione dell’investigazione, ma come tecnica di captazione con specifiche peculiarità in grado di attribuire maggiore potenzialità all’intercettazione ammettendo anche alla modifica “in itinere” dei luoghi, come da giurisprudenza consolidata già indicata.

Infatti l’individuazione di uno specifico luogo non è prevista all’art. 266 co. 2 né si rinviene un contrasto con la giurisprudenza CEDU secondo cui fra le garanzie minime previste dalla legge non c’è l’indicazione del luogo che assurge a sola modalità tecnica (cioè dove vanno piazzate fisicamente le microspie) e che, quindi, non è applicabile ai al software in questione.

Detto ciò, la Corte critica la sentenza Musumeci, rea di non aver valorizzato sufficientemente il dato relativo ai reati per cui si procede; difatti se il reato è quello associativo, scatta in automatico un doppia deroga: possono essere disposte le intercettazioni anche nei luoghi di privata dimora benché non ci sia il sospetto di un’attività criminosa in atto.

La captazione di conversazioni tra presenti anche nei luoghi di privata dimora, a prescindere dal compimento di reati o meno è giustificata, richiamando la normativa speciale del D.L. 152/1991, da un corretto bilanciamento fra la tutela della segretezza in luoghi privati e la pericolosità sociale derivante dai reati per cui si procede, anche perché la corte si affanna a dire che le organizzazioni criminali sono dotate sempre di maggiori tecnologie di contrasto alle investigazioni pertanto, una interpretazione “restrittiva” dell’art. 266 co, 2 c.p.p. depotenzierebbe gli strumenti investigativi.

Va detto che la locuzione di criminalità organizzata racchiude in sé moltissime ipotesi di reato che la Corte ha, doverosamente, specificato dicendo che i delitti di criminalità organizzata vanno ascritti al catalogo legale previsto dall’art. 51 commi 3-bis e 3-quater c.p.p.  ed all’associazione a delinquere ex art. 416 c.p. escludendo le mere ipotesi di concorso nel reato mancante del requisito dell’organizzazione stabile.

Confermando, infine, l’ordinanza di custodia cautelare in toto, i supremi giudici hanno stabilito i seguenti principi di diritto, fondati sui principi di proporzionalità e ragionevolezza:

  • deve escludersi la possibilità di compiere intercettazioni nei luoghi indicati dall’art. 614 cod. pen., con il mezzo indicato in precedenza, al di fuori della disciplina derogatoria per la criminalità organizzata di cui all’art. 13 d.l. n. 152 del 1991, convertito in legge n. 203 del 1991, non potendosi prevedere, all’atto dell’autorizzazione, i luoghi di privata dimora nei quali il dispositivo elettronico verrà introdotto, con conseguente impossibilità di effettuare un adeguato controllo circa l’effettivo rispetto del presupposto, previsto dall’art. 266, comma 2, cod. proc. pen., che in detto luogo «si stia svolgendo l’attività criminosa»;

  • è invece consentita la captazione nei luoghi di privata dimora ex art. 614 cod. pen., pure se non singolarmente individuati e se ivi non si stia svolgendo l’attività criminosa, per i procedimenti relativi a delitti di criminalità organizzata, anche terroristica, secondo la previsione dell’art. 13 d.l. n. 152 del 1991;

  • per procedimenti relativi a delitti di criminalità organizzata devono intendersi quelli elencati nell’art. 51, commi 3-bis e 3-quater, cod. proc. pen. nonché quelli comunque facenti capo a un’associazione per delinquere, con esclusione del mero concorso di persone nel reato.

Credits:

http://www.lettera43.it/tecnologia/informatica/hacking-team-come-funziona-il-software-galileo_43675178342.htm

http://mgpf.it/2015/07/09/hackingteam-di-cosa-dovete-davvero-aver-paura.html

http://www.repubblica.it/tecnologia/sicurezza/2016/04/21/news/hacking_team_revocata_licenza_di_distribuzione_internazionale_del_software_spia_galileo-138087996/

http://www.giurisprudenzapenale.com/2016/04/08/intercettazioni-tramite-virus-informatici-la-parola-alle-sezioni-unite/

http://www.giurisprudenzapenale.com/2016/07/02/intercettazioni-su-dispositivi-elettronici-mediante-captatore-informatico-depositate-le-motivazioni-delle-sezioni-unite-268892016/

Scarica la sentenza:

Sentenza Cass. Pen. SS.UU. n° 29889 dell’1/07/2016

About the Author

Avv. Marco Cartisano
Avvocato penalista, si occupa di diritto delle reti e di reati telematici. Fonda nel 2003 il proprio blog occupandosi di vari temi di diritto ad uso e consumo per i più.