Intercettazioni mediante captatore informatico: la segnalazione al Parlamento e al Governo del Garante per la protezione dei dati personali
Pubblichiamo la segnalazione inviata dal Garante per la protezione dei dati personali al Presidente del Senato della Repubblica, al Presidente della Camera dei Deputati, al Presidente del Consiglio dei ministri e al Ministro della giustizia sulla disciplina delle intercettazioni mediante captatore informatico.
«L’utilizzo a fini intercettativi in sede giudiziaria dei captatori informatici – si legge nella segnalazione – è una misura indubbiamente utile alla luce dell’evoluzione delle tecnologie disponibili consentendo di prescindere dall’installazione fisica dei dispositivi di captazione per realizzare intercettazioni di comunicazioni e conversazioni tra presenti, inoculando direttamente nel dispositivo ospite il software-spia».
Tuttavia «le caratteristiche innovative proprie di questi software – e, più in generale, dell’attività intercettativa telematica su terminali mobili di tipo smartphone o su dispositivi informatici assimilabili – sono tali da determinare un sostanziale, rilevantissimo mutamento negli effetti e nelle potenzialità di un mezzo di ricerca della prova, quale quello intercettativo, pensato e normato con riferimento a ben altre realtà» dal momento che «alcuni agenti intrusori sarebbero, infatti, in grado non solo di “concentrare“, in un unico atto, una pluralità di strumenti investigativi (perquisizioni del contenuto del pc, pedinamenti con il sistema satellitare, intercettazioni di ogni tipo, acquisizioni di tabulati) ma anche, in talune ipotesi, di eliminare le tracce delle operazioni effettuate, a volte anche alterando i dati acquisiti».
Le garanzie stabilite a tutela dell’indagato – osserva il Garante – «risulterebbero, così, fortemente depotenziate dal ricorso, non adeguatamente circoscritto, a tali metodologie di indagine, in ragione delle peculiari caratteristiche che le rendono difficilmente inquadrabili nelle categorie gius-processuali tradizionali», come riconosciuto dalle Sezioni Unite della Corte di Cassazione, che hanno precisato le condizioni di utilizzo dei captatori informatici per realizzare intercettazioni di conversazioni e comunicazioni tra presenti, anche in ambito domiciliare.
Cogliendo molte delle indicazioni delle Sezioni Unite – si legge nel documento – «il legislatore ha recentemente disciplinato il ricorso ai captatori informatici, ammettendolo in particolare per le sole intercettazioni tra presenti e demandando a un successivo decreto ministeriale la definizione dei requisiti tecnici dei programmi informatici funzionali all’esecuzione di tali operazioni investigative».
Tuttavia, la maggior parte delle indicazioni provenienti dal Garante – sia in sede di parere sullo schema di decreto legislativo sia in sede di parere sullo schema di decreto ministeriale – non sono state recepite dai testi definitivamente approvati, nei quali «manca, soprattutto, la previsione di garanzie adeguate per impedire che, in ragione delle loro straordinarie potenzialità intrusive, questi strumenti investigativi, da preziosi ausiliari degli organi inquirenti, degenerino invece in mezzi di sorveglianza massiva o, per converso, in fattori di moltiplicazione esponenziale delle vulnerabilità del compendio probatorio, rendendolo estremamente permeabile se allocato in server non sicuri o, peggio, delocalizzati anche al di fuori dei confini nazionali».
La necessità di tali garanzie – continua il Garante nella sua segnalazione – «sembra asseverata dalle notizie diffuse dagli organi di stampa, in relazione alle particolari modalità di realizzazione delle captazioni mediante malware, da parte delle società incaricate ex art. 348, comma quarto, c.p.p. Le indagini giudiziarie in corso, di cui ha dato notizia la stampa, hanno infatti dimostrato i rischi connessi all’utilizzo di captatori informatici in assenza delle necessarie garanzie e, soprattutto, con il ricorso, da parte delle società incaricate, a tecniche particolari, meritevoli di cautele ulteriori, in ragione delle loro peculiari caratteristiche e specifiche potenzialità. Ci si riferisce, in particolare, all’utilizzo, ai fini intercettativi, di software connessi ad app, che quindi non sono direttamente inoculati nel solo dispositivo dell’indagato, ma posti su piattaforme (come Google play store) accessibili a tutti. Ove rese disponibili sul mercato, anche solo per errore in assenza dei filtri necessari a limitarne l’acquisizione da parte dei terzi – come parrebbe avvenuto nei casi noti alle cronache – queste app-spia rischierebbero, infatti, di trasformarsi in pericolosi strumenti di sorveglianza massiva».
Secondo il Garante, sarebbe «estremamente pericoloso l’utilizzo – che, pure, parrebbe essere stato fatto nei casi all’esame degli inquirenti – di sistemi cloud per l’archiviazione, addirittura in Stati extraeuropei, dei dati captati. La delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale costituisce, infatti, un evidente vulnus non soltanto per la tutela dei diritti degli interessati, ma anche per la stessa efficacia e segretezza dell’azione investigativa».
In ogni caso, «anche in ragione della rapida evoluzione delle caratteristiche e delle funzionalità dei software disponibili a fini intercettativi, sarebbe opportuno introdurre – in sede legislativa o anche soltanto novellando il citato decreto ministeriale – un espresso divieto di ricorso a captatori idonei a cancellare le tracce delle operazioni svolte sul dispositivo ospite. Ai fini della corretta ricostruzione probatoria e della completezza e veridicità del materiale investigativo raccolto è, infatti, indispensabile disporre di software idonei a ricostruire nel dettaglio ogni attività svolta sul sistema ospite e sui dati ivi presenti, senza alterarne il contenuto».