Qual è il problema?

Torno sulla vicenda Hacking Team dopo l’audizione avvenuta la scorsa settimana al COPASIR del capo della polizia Alessandro Pansa: ciò che è trapelato dalle agenzie di stampa e sui media mi lascia senza parole.

Davanti al Comitato Parlamentare per la Sicurezza della Repubblica, organo di garanzia che deve costantemente verificare che il nostro sistema di prevenzione agisca nel rispetto delle leggi e della Costituzione, l’unico problema affrontato pare esser quello dei danni conseguenti la compromissione del software spia creato dell’azienda milanese e soprattutto le difficoltà a reperire sul mercato un prodotto analogo.

Nessuno, in quella o in altre sedi istituzionali, sembra esser interessato a sapere se la produzione, la cessione e l’uso di quel software sia o meno legale, né a quali condizioni e per quali finalità sia stato utilizzato sino ad oggi da diversi organi dello Stato italiano.

Al COPASIR, il Dr. Pansa avrebbe genericamente spiegato che molte amministrazioni sin dal 2004 hanno utilizzato il malware di Hacking Team ma che, a seguito della diffusione del codice, tutte le indagini sarebbero state bloccate con grave danno per la mancata raccolta di ulteriori informazioni.
Ad aggravare la situazione, secondo il Capo della polizia, vi sarebbe il fatto che sul mercato non esiste un prodotto simile per poter riprendere l’attività di spionaggio.

In sintesi il problema è che per colpa degli hacker cattivi -non quelli di Hacking Team, gli altri- enti e organi vari dello Stato sono oggi senza mezzi per intrufolarsi nelle vite degli altri.

Al Dr. Pansa ed al COPASIR non è venuto il dubbio che la ragione per cui “sul mercato” non è reperibile un prodotto simile al software Galileo di Hacking Team sta nel fatto che, nei paesi democratici aderenti alla Convenzione di Budapest sulla criminalità informatica del 2001, la produzione e commercializzazione di quel software è illegale ed integra reato se non strettamente regolamentata dallo Stato?

L’Italia nel 2008 ha dato piena esecuzione a tale Convenzione, che all’art.6 impone agli Stati aderenti di prevedere che sia sanzionata penalmente, se non espressamente autorizzata dall’Autorità, “la fabbricazione, la vendita, l’approvvigionamento per l’uso, l’importazione, la distribuzione o l’utilizzabilità in altro modo di un’apparecchiatura, incluso un programma per computer, destinato o utilizzato principalmente al fine di commettere i reati di accesso abusivo a sistemi informatici, di intercettazione e captazione e di alterazione di sistemi e dati”.

Per produrre quelle che sono armi digitali è necessaria un’autorizzazione. Se l’autorizzazione non c’è, la semplice produzione o la vendita di tali software sono punite, in Italia, fino a due anni di reclusione (art. 615 quinques c.p.).

Ecco perché “sul mercato” non si trova un sostituto al software di Hacking Team. È illegale. Punto.

Come ha potuto Hacking Team produrre e commercializzare sul libero mercato un (unico) prodotto destinato a violare sistemi, dati e identità? C’era una autorizzazione oppure, visto che era un’eccellenza italiana e a utilizzare il micidiale software erano (anche) Carabinieri, Guardia di Finanza e chissà quali altri poteri dello Stato, si è scientemente deciso di fregarsene della Convenzione di Budapest, degli obblighi internazionali e del nostro codice penale?

Nella scialba (se non assente) discussione istituzionale intorno alla vicenda Hacking Team la cosa pare irrilevante.

Come altrettanto irrilevante pare esser il fatto che ad oggi l’uso di quei captatori remoti non può esser autorizzato neppure dalla magistratura, né per attività di polizia giudiziaria, né per le attività di intelligence delle nostre agenzie di prevenzione.

Manca infatti una legge che determini i casi, i modi e le procedure che possano scongiurare l’indiscriminata violazione di diritti fondamentali costituzionalmente protetti; manca una legge che possa altresì evitare che si verifichino le macroscopiche falle di sicurezza a cui abbiamo assistito, ed i cui danni sono ora evidenti (poi ci stupiamo se intercettazioni imbarazzanti appaiono e scompaiono senza lasciare traccia negli atti processuali).

Sul punto, persino la Corte di Cassazione, che è sempre restia a distruggere prove di reato illecitamente acquisite e tenta sempre di salvare “la verità” con il noto brocardo male captum bene retentur, il 26 maggio scorso si arrende e in relazione all’uso di captatori remoti per le intercettazioni -che nel caso erano comunque stati autorizzati dall’Autorità Giudiziaria- scrive:

“la tecnica utilizzata consente, attraverso l’attivazione del microfono del telefono cellulare, la captazione di comunicazioni in qualsiasi luogo si rechi il soggetto, portando con sè l’apparecchio: ciò che, come poc’anzi evidenziato , non è giuridicamente ammissibile. Non si tratta pertanto, come erroneamente ritenuto dal Tribunale, di una semplice modalità attuativa del mezzo di ricerca della prova, costituito dalle intercettazioni. Si tratta invece di una tecnica di captazione che presenta delle specifiche peculiarità e che aggiunge un quid pluris, rispetto alle ordinarie potenzialità dell’intercettazione, costituito, per l’appunto, dalla possibilità di captare conversazioni tra presenti non solo in una pluralità di luoghi, a seconda degli spostamenti del soggetto, ma – ciò che costituisce il fulcro problematico della questione- senza limitazione di luogo. Ciò è inibito, prima ancora che dalla normativa codicistica, dal precetto costituzionale di cui all’art. 15 Cost”.

E si badi che Galileo non faceva solo “intercettazioni”: il software di Hacking Team si impossessava fisicamente del dispositivo, di tutti i dati, e di tutte le sue utilità. Si impadroniva delle protesi del nostro corpo digitale.
Per quanto a mia conoscenza, nessuna legge dello stato oggi disciplina e autorizza una simile violazione di molteplici diritti fondamentali.

E se proprio debbo dirla tutta, io penso che nessuna legge dello Stato potrà mai legittimamente autorizzare l’utilizzo di un software come quello di Hacking Team. Non in un paese democratico.

Quando il Parlamento tedesco nel 2008 autorizzò per legge l’uso dei Keylogger -software capace di captare solo ciò che l’utente digita sulla tastiera, una robetta ridicola rispetto a Galileo di Hacking Team- la Corte Costituzionale tedesca dichiarò quella legge, democraticamente approvata, illegittima. Vi sono limiti che nei paesi democratici non possono esser valicati, se democratici voglion continuare a definirsi.

In Italia questi limiti sono stati superati, ma all’italiana, in ordine sparso, ogni polizia a modo suo, quasi casualmente, giusto perché sul mercato c’era il prodotto perfetto, un po’ caro, ma un’eccellenza italiana; e così, sin dal 2004, non si sa bene da chi, per quali finalità, e in quali casi, ma certamente contra legem, sono stati infettati computer, smartphone e dispositivi vari.

Ora il problema, al COPASIR, in Parlamento, e sui media, è che quel software è compromesso, tutto si è bloccato e non c’è sul mercato un altro servizio come quello di Hacking Team.
Davvero è quello il problema che abbiamo?

Tag: alessandro pansa-copasir-corte di cassazione-hacking team-Trojan di Stato

Carlo Blengino

Avvocato penalista, affronta nelle aule giudiziarie il diritto delle nuove tecnologie, le questioni di copyright e di data protection. È fellow del NEXA Center for Internet & Society del Politecnico di Torino. @CBlengio su Twitter

Qual è il problema?

Consigliati

Perché il buddhismo ha ragione

Il problema di comunicare con chi ci sarà tra centomila anni

Ogni maledetto mercoledì, se sei il Papa, succede questo