Lo Stato nei PC dei cittadini: legittima compressione della privacy?
Lo scorso febbraio un avvocato statunitense ha denunciato di essere stato vittima di un’elaborata frode informatica tramite la quale degli hacker sarebbero riusciti a impadronirsi di circa 300 mila dollari sottraendoli dal conto intestato al suo studio professionale (qui la notizia). La frode sarebbe stata perpetrata nel modo seguente: il professionista riceve una email apparentemente spedita da un ufficio postale statunitense; la email contiene delle istruzioni con l’indicazione di aprire un documento allegato per proseguire nella lettura, cosa che il professionista fa cliccando sul documento allegato che si apre dopo essersi scaricato in automatico sul suo computer. Successivamente l’avvocato, dopo essere tornato al lavoro, cerca tramite il suo computer di accedere al conto corrente bancario dello studio, non riuscendoci immediatamente perchè dirottato su un’altra pagina internet che, invece di chiedergli la propria password di accesso (come usualmente richiesto dal servizio bancario online) gli chiede di inserire il suo codice PIN. Contemporaneamente, l’avvocato viene contattato telefonicamente da un signore che si spaccia per un tecnico della banca il quale dice di aver verificato che il professionista ha delle difficoltà di accesso, e gli chiede quindi di ridigitare il suo codice PIN e il suo “token”, cioè un ulteriore codice di sicurezza di solito associato ai servizi bancari online che prevedono trasferimento di denaro; l’operazione tuttavia porta il professionista verso una nuova pagina internet in cui si afferma che il servizio è temporaneamente fuori uso per manutenzione. Due giorni dopo, l’avvocato viene nuovamente contattato dall’apparente tecnico della banca e viene richiesto di ripetere nuovamente l’operazione di inserimento dei codici, venendo però nuovamente informato che il sistema non funzionava e che avrebbe avuto l’accesso disabilitato per 24 ore. Qualche ora dopo, il professionista scopre che dal conto corrente online a cui aveva cercato di accedere erano stati sottratti quasi 300 mila dollari.
Quello che è successo al malcapitato avvocato è un banale caso di phishing dove, tuttavia, i cybercriminali hanno utilizzato uno strumento prodigioso: il key-logger. Cosa è il keylogger? Non è altro che una sorta di “cimice” che, una volta installata occultamente all’interno del computer “bersaglio” supera qualsiasi misura di sicurezza presente sul device e permette di intercettare ogni singolo tasto digitato sulla tastiera del computer da parte dell’utente. Questo tipo di strumento permette di avere un controllo totale sull’attività svolta da un soggetto all’interno del suo personal computer, tablet o smartphone. Da alcuni anni si dibatte a livello politico, legislativo e giudiziario se tale strumento possa essere utilizzato anche dalle forze dell’ordine per poter svolgere la loro attività investigativa. Secondo alcuni, il key-logger non è altro che una “cimice informatica” anche definito “captatore informatico” che potrebbe tranquillamente essere disciplinato dalla normativa relativa alle intercettazioni telematiche e/o ambientali. Secondo altri, invece, il captatore informatico rappresenta un quid pluris, in quanto attraverso il pieno controllo del computer è possibile analizzare le attività svolte dall’indagato per un arco temporale ben più ampio di quello previsto in caso di un’intercettazione telefonica o ambientale.
Si pensi ad esempio ad una persona che non abbia mai cancellato la propria posta elettronica dal 2003: in questo caso, attraverso l’utilizzo del captatore informatico sarebbe possibile ricostruire più di dieci anni di storia della sua vita leggendo le sue email. Qualcuno potrebbe sostenere che attraverso il sequestro del personal computer si ottiene lo stesso risultato. Questo è vero, ma è anche vero che il sequestro è un atto effettuato con la piena consapevolezza dell’indagato e non in modo occulto come invece avviene con il “captatore informatico”.
In questo contesto, il recente disegno di legge “antiterrorismo” teso a “rafforzare gli strumenti di prevenzione delle nuove minacce terroristiche, anche di matrice internazionale” aveva previsto una modifica all’art. 266-bis in tema di intercettazioni telematiche che consentiva “l’impiego di strumenti o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico”.
In parole povere, il decreto antiterrorismo aveva inizialmente legittimato l’utilizzo del “captatore informatico” consentendone un ampio utilizzo. L’aspetto più inquietante era che non veniva previsto l’utilizzo di tale strumento per i soli reati con finalità terroristiche, ma per tutti i reati anche quelli comuni come truffa, diffamazione o violazione della privacy (qui un approfondimento).
La previsione normativa è stata osteggiata da alcuni esperti e il Primo Ministro ha suggerito un provvidenziale stralcio posticipando la decisione durante la discussione del disegno di legge in tema di intercettazioni (qui un approfondimento).
Una previsione normativa quindi posticipata, ma che sicuramente dovrà essere presa in seria considerazione nei prossimi mesi. La ragione è semplice: chi combatte il crimine non può avere strumenti tecnologici inferiori a chi li commette. La preoccupazione però è che tali strumenti siano potenzialmente in grado di generare una sorveglianza massiva di portata anche più ampia di quella avuta nel noto scandalo “DataGate”.
In conclusione, ritengo personalmente comprensibile l’esigenza di dotare l’autorità giudiziaria di un key-logger nella fase investigativa a condizione che siano ben definite le tipologie di illecito per cui ne è ammissibile un suo utilizzo e che venga garantita la privacy del cittadino attraverso, ad esempio, la distruzione dei dati non pertinenti alle indagini che potrebbero venire acquisiti attraverso l’utilizzo del captatore informatico.