La parola agli esperti

Il trojan nel telefono

Il captatore informatico: cos'è, come funziona, e perché è lo strumento di sorveglianza più invasivo mai introdotto nel nostro ordinamento

By in collaborazione con Studio Legale Giordano e Partners
trojan
avv. Stefano Giordano, Studio Legale Giordano & Partners — Milano / Palermo

Text with image

Each element can be added and moved around within any page effortlessly. All the features you need are just one click away.

View all elements
Reading Time: 4 minutes

LA PAROLA ALL’AVVOCATO

Rubrica di diritto per tutti — a cura dell’Avv. Stefano Giordano

LA DOMANDA

«Nella puntata precedente avete parlato di un trojan che trasforma il telefono in una microspia. Ma di cosa si tratta esattamente? È legale? Chi può usarlo? E come può difendersi un cittadino comune?»

LA RISPOSTA

Nella puntata precedente abbiamo parlato delle intercettazioni telefoniche e ambientali tradizionali — quelle che captano le conversazioni nel momento in cui avvengono. Il captatore informatico, comunemente chiamato trojan, è qualcosa di radicalmente diverso, e per molti versi molto più inquietante. Non si limita ad ascoltare: si installa nel dispositivo, ci vive dentro, e da lì può fare quasi tutto.

Tecnicamente, il trojan è un software malevolo — un programma informatico — che viene installato a distanza sul telefono o sul computer dell’indagato, a sua insaputa, sfruttando vulnerabilità del sistema operativo. Una volta attivo, può intercettare conversazioni telefoniche, messaggi di ogni tipo — inclusi quelli cifrati, come WhatsApp — attivare il microfono del dispositivo anche quando non si sta telefonando, accendere la fotocamera, acquisire file, fotografie, documenti, e persino tracciare gli spostamenti GPS in tempo reale. Non è un’intercettazione: è un’occupazione. Il vostro telefono diventa una microspia che vi accompagna ovunque, dentro casa, in studio medico, nel confessionale, nell’ufficio dell’avvocato.

In Italia il captatore informatico è stato introdotto normativamente con la riforma del 2017 — il cosiddetto decreto Orlando — e successivamente modificato dalla legge Bonafede del 2019. La disciplina è contenuta nell’art. 266-bis del codice di procedura penale. La norma consente l’uso del trojan per i reati di criminalità organizzata — quelli per cui si presume l’associazione di tipo mafioso ai sensi dell’art. 416-bis c.p. — senza particolari limitazioni di luogo. Per tutti gli altri reati, l’intercettazione ambientale tramite captatore è consentita solo se vi è «fondato motivo di ritenere che in quel luogo si stia svolgendo l’attività criminosa». Una distinzione che nella prassi si è rivelata molto più porosa di quanto il legislatore avesse inteso.

Il punto più critico è proprio questo: il trojan attivato per un procedimento di criminalità organizzata può captare conversazioni in qualsiasi luogo, inclusi i luoghi tradizionalmente protetti — il domicilio, lo studio del medico, quello dell’avvocato. La tutela del segreto professionale, già fragile nelle intercettazioni tradizionali, con il captatore rischia di diventare una tutela meramente nominale. Quante conversazioni riservate tra un indagato e il proprio difensore finiscono nei server della procura? La domanda non è retorica.

Sul piano delle garanzie formali, la legge prevede che anche per il trojan sia necessaria l’autorizzazione del giudice per le indagini preliminari, su richiesta del pubblico ministero, con la sussistenza dei gravi indizi di reato e dell’indispensabilità dello strumento. Gli stessi presupposti delle intercettazioni tradizionali — con la stessa elasticità applicativa che abbiamo già descritto. La Corte di Cassazione, con la sentenza delle Sezioni Unite Scurato del 2016, ha fissato alcuni paletti importanti sull’uso del captatore, ma il quadro normativo resta ancora largamente incompleto rispetto alla portata dello strumento.

La Corte Europea dei Diritti dell’Uomo ha guardato ai captatori informatici con attenzione crescente. Il principio che emerge dalla sua giurisprudenza è chiaro: per uno strumento di sorveglianza così invasivo, la legge nazionale deve soddisfare quello che la Corte chiama il requisito della «qualità della legge». Non è un concetto astratto: significa tre cose concrete. Prima: la legge deve essere accessibile, cioè il cittadino deve poterla conoscere, deve essere pubblica e comprensibile. Seconda: deve essere prevedibile, cioè il cittadino deve poter capire — prima di agire — quali comportamenti possono esporlo a sorveglianza e in quali circostanze lo Stato può intervenire sulla sua vita privata. Terza: deve essere tassativa, cioè i presupposti, i limiti e le modalità di uso dello strumento devono essere definiti dalla legge in modo preciso, senza lasciare all’autorità giudiziaria margini di discrezionalità eccessivi. Quando una legge non soddisfa questi requisiti, l’ingerenza dello Stato nella vita privata — per quanto motivata da esigenze di sicurezza — non è compatibile con l’art. 8 CEDU. E uno strumento che può attivare il microfono di un telefono in una camera da letto è, per definizione, quello che più di ogni altro esige una legge di qualità altissima.

Per il cittadino comune — quello che non è né indagato né mafioso — il rischio diretto è limitato ma non inesistente. Chi entra in contatto con un indagato, chi gli telefona, chi lo incontra, può involontariamente finire nelle registrazioni del captatore. E a differenza delle intercettazioni tradizionali, dove almeno la conversazione avviene consapevolmente, con il trojan non si sa mai quando il microfono è attivo. La risposta alla domanda del nostro lettore — «come ci si può difendere?» — è scomoda ma onesta: nella maggior parte dei casi, non ci si può difendere. Non esiste strumento tecnico accessibile al cittadino medio che rilevi con certezza la presenza di un captatore su un dispositivo. La prevenzione migliore resta la consapevolezza: sapere che questo strumento esiste, sapere che è legale, e pretendere — come cittadini — che la legge che lo disciplina sia seria, rigorosa, e rispettata.

Abbiamo percorso un cammino lungo tre puntate: dalla registrazione privata che ciascuno di noi può fare lecitamente, alle intercettazioni disposte dallo Stato con tutte le loro criticità, fino al captatore informatico che abita nei nostri dispositivi. Il filo conduttore è sempre lo stesso: la privacy non è un privilegio, è un diritto fondamentale sancito dall’art. 15 della Costituzione e dall’art. 8 della Convenzione Europea. Ogni limitazione di quel diritto deve essere giustificata, proporzionata, e soggetta a controllo. Quando non lo è, lo Stato di diritto perde un pezzo di sé.

Ci riserviamo di tornare su questo tema in un prossimo appuntamento video: potremmo approfondire proprio questo aspetto: la differenza radicale tra una intercettazione tradizionale — che cattura una conversazione nel momento in cui avviene — e il trojan, che non è una intercettazione fissa ma una presenza continua e silenziosa. Una presenza che non distingue tra ciò che è rilevante per le indagini e ciò che non lo è, tra la telefonata di lavoro e quella con il medico, tra la riunione professionale e la conversazione intima. Invade tutto, indiscriminatamente, ventiquattro ore su ventiquattro. È questa la differenza che più di ogni altra dovrebbe farci riflettere.

Avv. Stefano Giordano

Studio Legale Giordano & Partners (Milano – Palermo)

Post Views: 4
in collaborazione con Studio Legale Giordano e Partners
in collaborazione con Studio Legale Giordano e Partners

Contenuti [hide]

Ultimi Articoli