Trojan a domicilio

La Corte di Cassazione a Sezioni Unite si è pronunciata sull’uso nelle indagini penali dei cosiddetto trojan di Stato o captatori informatici: sono i software altamente intrusivi che si impossessano occultamente dei nostri dispositivi rendendoli trasparenti e accessibili agli inquirenti e che trasformano smartphone, tablet e computer, grazie ai loro sensori, in onnipresenti microspie.

Al di là dei tecnicismi, dal quesito che era stato posto alle Sezioni Unite e dal principio di diritto espresso dalla Corte (le motivazioni ancora non sono disponibili) pare potersi dedurre che l’uso dei cosiddetto trojan di Stato è legittimo ma con un limite: non può esser utilizzato per intercettazioni ambientali quando il target (o meglio il dispositivo) si trovi nei luoghi di privata dimora. In quel caso, fatte salve le eccezioni già previste per le tradizionali intercettazioni ambientali, la tutela della riservatezza del domicilio fisico, “inviolabile” nella Costituzione all’art.14, impedisce il legittimo uso dei captatori remoti.

Ora, il fatto che, a fronte dell’invasività di tali strumenti d’indagine, l’unico limite individuato dalla giurisprudenza sia, nel caso di captazione ambientale, l’inviolabilità del domicilio fisico è circostanza piuttosto stupefacente e merita qualche riflessione.

La casa può esser fragile, il suo tetto può esser traballante, il vento può soffiare e la tempesta e la pioggia possono entrare, ma il Re d’Inghilterra non può entrare: tutte le sue forze non osano attraversare la soglia della casa in rovina.

Quando nel 1763 William Pitt, Conte di Chatham, scrisse che anche il più povero degli uomini poteva dalla sua capanna lanciare una sfida opponendosi a tutte le forze della Corona, non riconosceva un banale diritto individuale alla riservatezza, ma poneva le basi per lo statuto politico che ancora oggi regola (o dovrebbe regolare) il rapporto dei cittadini con gli Stati cosiddetti democratici.

Il rapporto tra il potere e il cittadino ha alla base il rispetto della vita privata, presupposto di ogni libertà, e per secoli la casa, la tutela del domicilio fisico definito inviolabile, ne ha rappresentato l’essenza. Seguirono poi la riservatezza della corrispondenza, quella delle comunicazioni, e in ultimo la protezione dei dati personali, ma la casa e il domicilio restano la più antica e consolidata delle garanzie, almeno negli stati democratici: quella che tutti noi (giudici compresi) percepiamo con maggior concretezza. D’altra parte l’incubo della casa di vetro ricorre nelle visioni distopiche dello stato totalitario, e lì rimarrà almeno fino a che l’internet of things e il mito della trasparenza non avrà concluso il suo tragico ciclo.

Solo che oggi la nostra vita, privata e non, è altrove, e senza nulla togliere alle sacrosante garanzie dovute al domicilio fisico, è indubbio che la nostra “casa” sia oggi (anche) digitalizzata sui nostri dispositivi.

Se vi autorizzassi a entrare fisicamente in casa mia, a frugare per giorni in ogni cassetto, in ogni armadio, in ogni anfratto, e a leggere qualsiasi documento possiate trovare tra le mie carte, otterreste meno informazioni su di me e sulla mia vita privata di quante ne ricavereste in pochi minuti accedendo al mio smartphone.
Con il mio cellulare tra le mani, avreste accesso a tutta la mia corrispondenza, ai miei contatti, a tutte le mie conversazioni, a ciò che ho archiviato sul dispositivo e a ciò che ho archiviato in remoto; potreste scoprire ogni mio spostamento, gli appuntamenti degli ultimi anni e trovereste traccia di buona parte degli accadimenti della mia vita. Ma soprattutto, le informazioni sarebbero catalogate, datate e pronte all’uso: tutto è molto più ordinato e leggibile (dall’uomo o da software di ricerca ed estrazione dati) di quanto non lo sia casa mia, purtroppo.
Se poi, invece che darvi in mano il mio smartphone, vi concedessi l’accesso al dispositivo da remoto in tempo reale attraverso una porta di servizio informatica, una backdoor, la stessa utilizzata dai captatori remoti oggetto della sentenza della Cassazione, otterreste lo stesso effetto di piazzarvi h7/24 al mio fianco, come ombre invisibili, ma col vantaggio di poter memorizzare e archiviare da remoto ogni informazione acquisita in tempo reale, audio e video compresi.

Quanto a invasività nella vita privata di un cittadino, l’uso di un captatore informatico remoto che infetta i nostri dispositivi, violando il nostro domicilio informatico, assume un grado di lesività incomparabile con qualsivoglia tradizionale violazione del domicilio fisico.

Trovo inquietante che la preoccupazione della Suprema Corte sia unicamente la tutela della privata dimora, e non il fatto che per arrivar lì, a intercettare tramite smartphone, si sia preso possesso, senza alcuna specifica garanzia di legge, della casa della nostra vita digitale.

Prima di preoccuparsi del fatto che attraverso uno smartphone sia possibile violare il domicilio fisico, bisognerebbe preoccuparsi del fatto che una pubblica autorità, attraverso un software malevolo, possa nel XXI secolo, denudare come mai prima d’ora la vita privata di chiunque possegga un dispositivo elettronico. William Pitt avrebbe qualcosa da dire.

Il diritto al rispetto della vita privata passa oggi, quanto meno in egual misura, tanto dalla consolidata tutela della privata dimora, quanto, o soprattutto, dalla riservatezza del domicilio informatico; e nelle nostre Costituzioni si legge che non può esservi ingerenza di una autorità pubblica nell’esercizio dei tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura necessaria in una società democratica (art. 8 CEDU).
A oggi nessuna legge prevede casi, tempi e modi affinché una Procura, con o senza autorizzazione del Giudice, possa in modalità occulta e senza garanzie difensive violare il nostro domicilio informatico.

Nel 2004 Giorgio Agamben, rifiutandosi di entrare negli Stati Uniti dopo le misure adottate a seguito dell’11 settembre scriveva:

Ormai da anni, in modo dapprima occasionale e subliminare, e poi sempre più esplicito e insistente, si cerca di persuadere i cittadini ad accettare come normali ed umani dispositivi e pratiche di controllo che sono state sempre considerati eccezionali e inumani… Le ragioni di sicurezza che vengono addotte per giustificarle non devono trarre in inganno. Ciò che qui è in questione è la nuova relazione biopolitica «normale» fra i cittadini e lo stato

Il solo fatto che si assista, in paesi democratici, alla sfacciata richiesta di aprire by default backdoor nei sistemi operativi dei nostri dispositivi per consentirvi l’accesso occulto da parte dello Stato dà il segno di quanto sta accadendo.
Prenderemmo mai in considerazione una legge che imponesse a tutti i costruttori edili di consegnare in Prefettura una copia delle chiavi degli appartamenti, giusto perché lo Stato – per ottime ragioni eh!, e sempre per la nostra sicurezza – potrebbe avere un domani la necessità di dare un’occhiata nella nostra camera da letto senza doverci avvisare?
È normale che, per inoculare i suoi virus, lo Stato sia il principale acquirente di vulnerabilità dei nostri sistemi operativi, trattando con soggetti che girano metaforicamente per le strade di internet con piedi porco e grimaldelli provando a forzare porte e finestre? Paghiamo migliaia di euro per acquistare i famosi zero-day da gente che nel mondo analogico finirebbe in galera quanto meno per possesso ingiustificato di strumenti atti allo scasso.

Dobbiamo esser vigili, non recedere. Il mondo è cambiato dai tempi del Conte di Chatham, ma lo Stato avrà sempre un’ottima ragione per metter mano nelle nostre vite.

Carlo Blengino

Avvocato penalista, affronta nelle aule giudiziarie il diritto delle nuove tecnologie, le questioni di copyright e di data protection. È fellow del NEXA Center for Internet & Society del Politecnico di Torino. @CBlengio su Twitter