Chi si rivede: lo spyware di Stato

Uno degli aspetti più duri della vita, secondo Elias Canetti, è tornare sempre a scoprire ciò che già si sa. Nemmeno a lui quindi sarebbe piaciuto l’andirivieni della proposta di modifica all’articolo 266-bis del codice di procedura penale che di fatto consentirebbe allo Stato di usare i software spia nelle intercettazioni informatiche. Dopo la cancellazione dal decreto antiterrorismo l’anno scorso, lo stesso concetto è tornato sotto le spoglie di una proposta di legge a firma di una deputata del PD, identica all’originale nei pressupposti: siccome esiste il terrorismo bisogna poter spiare dentro i device di ogni singolo cittadino sospettato di un reato.

Secondo la proponente, l’onorevole Maria Gaetana Greco, avvocato siciliano che fino a poche settimane fa si era occupata soprattutto del riordino degli uffici giudiziari e di varie riforme di codici, il decreto antiterrorismo del 2015 ha provveduto a rafforzare la legge in materia di terrorismo internazionale introducendo le famose aggravanti quando l’apologia jahadista è commessa “tramite strumenti informatici e telematici”. Nel decreto, diventato legge nella scorsa primavera e strumento alla base degli arresti ed espulsioni di alcune decine di persone accusate di essere potenziali foreign fighters, era stata anche introdotta la famosa blacklist in capo a polizia postale e Isp. Che fine ha fatto? Rimasta soltanto sulla carta. Nessun sito è stato finora rimosso od oscurato secondo questa procedura. Adesso però, dice la Greco, «i tempi sembrano purtroppo maturi per compiere un ulteriore passo in avanti». Sull’avverbio un po’ farisaico si può sorvolare, sul resto no.

[embed_fb]https://www.facebook.com/photo.php?fbid=10208399691257710&set=a.1572702605333.214508.1468586106&type=3&theater[/embed_fb]

La proposta di legge è davvero identica a quella scongiurata da Stefano Quintarelli, prevede senza altro aggiungere che l’intercettazione sia consentita «anche attraverso l’impiego di strumenti o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico». Poche righe. Fu proprio a causa di questo passaggio che all’epoca il deputato di Scelta civica denunciò il pericolo concreto che si generalizzasse l’autorizzazione all’utilizzo di software occulti da parte dello Stato. Lo stesso tipo di sofware di cui tanto si è parlato a proposito del caso Hacking Team, lo stesso genere di tecnologia che aveva messo in allarme il garante della privacy, Antonello Soro.

Cosa c’è dietro questa proposta

Difficile dire se si tratti di una proposta da collegare alle strane manovre attorno alla cybersecurity italiana, oppure di una specie di fuga solitaria di una singola deputata, con una proposta di legge che assai difficilmente potrebbe trovare spazio nell’iter legislativo italiano, notoriamente assorbito dalle conversioni dei decreti governativi. L’unica certezza è che essendo identico a quel passaggio già stroncato un anno fa sono identiche anche le ragioni per criticarlo, con la stessa forza. A partire da Quintarelli, che col solito equilibrio esamina la tendenza in cui iscrivere questo tipo di proposte sottolineandone gli effetti indesiderabili:

Venendo meno un luogo di commutazione centrale dove fare intercettazioni, spostata l’intelligenza in periferia grazie all’evoluzione dell’elettronica che fa comunicare P2P, c’è una notevole pressione. Possiamo pensare che il comparto della giustizia non possa più fare intercettazioni? Il problema non è banale, tuttavia non si possono certo eliminare le garanzie costituzionali con un colpo di penna.

Qui sta il primo punto. Le intercettazioni prevedono che una persona non sia informata, mentre per la perquisizione sì. Il problema costituzionale sollevato dall’habeas data: se si parte dal presupposto che i nostri dispositivi e gli account coi nostri dati sensibili sono parte integrale della nostra stessa dignità intangibile, la loro violazione è illegittima. Se si aggiunge che questi software sono in grado di introdurre anche elementi fittizi di prova in questi sistemi, hackerando i dispositivi, lo Stato si trasformerebbe nel peggior incubo della privacy rimasta ai cittadini, già strattonati dalle proposte e dai timori più incredibili in questi tempi di forti tensioni.

C’è inoltre la debolezza della norma in sé (voluta per estenderne al massimo l’interpretazione?). L’avvocato Francesco Paolo Micozzi ad esempio ritiene non sia neppure una modifica che riguarda le intercettazioni tra le persone. Insomma, un equivoco dettato dall’insensibilità con cui ancora oggi in Parlamento viene trattata la distinzione fondamentale tra i captatori informatici e le intercettazioni generalmente intese. Le seconde sono regolate da principi costituzionali più solidi, mentre con la scusa dell’emergenza terrorismo e della novità specifica delle tecnologie, i primi sembrano vivere sotto una costante eccezione che spalanca ai peggiori scenari.

Il 266-bis riguarda le intercettazioni informatiche. La norma sembra non considerare che le intercettazioni del 266-bis riguardano necessariamente due sistemi informatici, e che oggetto dell’intercettazione sono i flussi informatici diversi dalle comunicazioni tra soggetti. Per intenderci: non si intercetta la chiamata VoIP con il 266-bis ma con l’articolo 266, che almeno ha delle garanzie e dei limiti rafforzati.

Per capire il trucco dietro questa proposta di legge, basta considerare una delle sentenze più recenti della Cassazione, la num. 27100 della sesta sezione del 2015, che ha considerato giuridicamente inammissibile un virus intrusore installato sullo smartphone di un indagato:

Utilizzando il sistema del virus informatico sul telefono cellulare, le intercettazioni effettuate non sono soggette ad alcuna restrizione né temporale né spaziale. Il telefono cellulare è divenuto ormai oggetto che accompagna ogni nostro movimento ed è in grado, se utilizzato con finalità captatorie, di sottoporre l’individuo ad un indiscriminato controllo, non solo di tutta la sua vita privata ma anche dei soggetti che gli stanno vicino.

I trojan di Stato non sono una “intercettazione” e basta, sono strumenti che estendono così tanto la loro potenzialità da fare a pezzi tutte le salvaguardie previste dall’articolo 266 – quello normale – a proposito dei reati ammessi, i limiti del domicilio, il rapporto con il proprio legale. Il 266-bis è da questo punto di vista l’ingresso ideale perché non contempla reati specifici e non dà istruzioni neppure su chi gestisce questi strumenti, avviando così il rapporto tra inquirenti e società esterne.

I nemici di Internet

Spiace dirlo, ma questa idea entra perfettamente nel novero delle proposte monstre del rumore dei nemici, la lunga storia del rapporto complicato fra Rete e politica italiana. Nonostante abbia scarse possibilità di concretizzarsi – almeno si spera – è comunque un segnale della vivacità di questa cultura, della sua diffusione nelle alte sfere. E per l’ennesima volta si è anche capito come questa sia trasversale nell’arco costituzionale.