Intervista a Giovanni Ziccardi, professore di Informatica Giuridica all’Università degli Studi di Milano: ‘L’invasione della privacy dell’indagato è totale, sono intercettate anche tutte quelle comunicazioni, ad esempio, che non sono afferenti al reato per cui si sta indagando o personali’.
Key4biz. Iniziamo da una curiosità. La notte gli smartphone, se intercettati, non “dormono”? E che fanno?
Giovanni Ziccardi. La sensazione diffusa è che si sia ormai perso il controllo dei propri dati. Lo si è perso sui social network (i casi di Cambridge Analytica e dell’uso della profilazione a fini politici ne sono stati un chiaro esempio), e lo si è perso anche sui propri dispositivi personali. Uno smartphone, oggi, effettua un gran numero di attività, anche quando non è utilizzato dall’utente, che sono volte a comunicare i nostri dati, o informazioni sulle nostre app, a qualcuno. Un’azienda, un sito, un servizio pubblicitario. Anche quando non è intercettato, lo smartphone comunica, a cadenza regolare, un gran numero di dati che, ad esempio, ci geolocalizzano, o informano sui nostri percorsi di navigazione, e spesso lo fanno senza anonimizzare i nostri dati. Ben diverso è, ovviamente, il caso in cui sullo smartphone sia inoculato un trojan a fini investigativi. In quel caso lo smartphone non è più nel dominio dell’utente, che continua a usarlo ma non sa che ogni azione effettuata viene trasmessa alle Forze dell’Ordine.
Key4biz. Come è possibile scoprire se il proprio cellulare è intercettato?
Giovanni Ziccardi. Dipende dallo strumento che viene utilizzato per intercettare. Vi sono alcuni software che sono proprio pensati per evitare di essere scoperti. Altri, invece, più semplici (si pensi a quelli che sono installati dai genitori a fini di controllo sui telefoni dei figli) che possono essere rilevati dagli antivirus più comuni o osservando le attività in corso in memoria.
Key4biz. Partiamo dall’inizio
Giovanni Ziccardi. Per scoprire se il proprio cellulare sia intercettato con un captatore informatico o meno occorre valutare, innanzitutto, quando il captatore può essere entrato nel nostro smartphone e se vi è un sospetto sul punto. Si pensi a uno smartphone che è stato regalato da qualcuno (quindi non abbiamo avuto il controllo sull’acquisto e qualcuno potrebbe averlo “preparato” prima), oppure una mail strana cui abbiamo risposto, o un allegato che abbiamo aperto (quindi il captatore può essere stato inviato in quel modo) o, infine, il nostro smartphone è stato per un periodo, anche breve, in possesso di un’altra persona (la disponibilità fisica consente di inserire un captatore in pochi minuti su uno strumento altrui). Se vi è il dubbio che lo smartphone sia stato attaccato in quel modo, una buona difesa può essere il riportarlo allo stato di fabbrica con una cancellazione seria di tutti i dati, anche in memoria, oppure il procurarsi uno smartphone nuovo acquistato direttamente dal futuro proprietario. Si noti che alcuni captatori più sofisticati, oggi, resistono anche a operazioni di cancellazione.
Key4biz. Lo smartphone del pm Palamara, indagato per corruzione dalla procura di Perugia, è stato intercettato con un trojan, quali i vantaggi e rischi? L’invasione della privacy è totale?
Giovanni Ziccardi. I vantaggi investigativi sono enormi. Si ha il possesso del telefono e di tutti i flussi di comunicazione, anche di quelli cifrati, perché l’intercettazione avviene prima della cifratura delle informazioni (sono pensati anche per questo). L’invasione della privacy dell’indagato è totale, sono intercettate anche tutte quelle comunicazioni, ad esempio, che non sono afferenti al reato per cui si sta indagando o personali. I rischi sono la perdita di controllo di questi dati, ossia una gestione di questi che possa essere non corretta o che porti a una diffusione indiscriminata di tali informazioni, soprattutto se la custodia è gestita da realtà esterne senza misure di sicurezza adeguate.
Key4biz. Il Garante Privacy ha indicato dei rilievi (eccoli) sui captatori informatici perché ad oggi l’utilizzo presenta molti limiti che non garantiscono le “garanzie stabilite dal codice di rito penale a tutela dell’indagato”, scrive il Garante. Qual è il suo giudizio?
Giovanni Ziccardi. Sono d’accordo, è un tema delicatissimo che andrebbe ben regolamentato soprattutto dal punto di vista tecnico, un aspetto che in Italia manca. Il timore che si generi un controllo di massa, e che la “catena di custodia” del materiale intercettato non sia assicurata, sono reali, così come l’esigenza che il “pilota” del captatore sia persona con polso e sensibilità investigative.
Key4biz. Dunque, il trojan sta rivoluzionando le indagini degli inquirenti. Chi lo gestisce ha un potere enorme, per questo non possono essere affidato a società private?
Giovanni Ziccardi. È un punto cruciale. Non solo per il potere, ma anche per la parità delle armi in processo tra accusa e difesa e per i pericoli di un’automatizzazione delle indagini che può portare a violazioni dei diritti. Un rischio di data breach, come si è visto, è sempre alla porta, così come di un uso illegale dei dati raccolti.
Key4biz. Quindi, cosa propone?
Giovanni Ziccardi. Non ci si rende conto che il sistema del captatore informatico coinvolge direttamente la protezione dei diritti umani delle persone. Non è mai esistito un sistema investigativo così potente e totale, che inevitabilmente travolge tutti gli aspetti della vita della persona nella società. Ciò porta la necessità di regole ben definite e anche di una regolamentazione tecnica che sia impeccabile, pena un’alta possibilità di un uso indiscriminato e di costanti violazioni dei diritti.