Home page Articoli e reportage

Riecco il trojan di Stato: sulla cybersicurezza una partita di potere

Di Stefania Maurizi

Pubblicato su espressonline, 26 gennaio 2016

(http://espresso.repubblica.it/palazzo/2016/01/26/news/riecco-il-trojan-di-stato-sulla-cybersicurezza-una-partita-di-potere-1.247718)

Buttato fuori dalla porta, rispunta dalla finestra. Riecco il trojan di Stato. Cacciato a furor di popolo dal decreto antiterrorismo, nel marzo scorso, è riapparso in una proposta di legge della deputata del Pd, Maria Gaetano Greco, proprio mentre la probabile nomina di Marco Carrai a “zar” della cybersicurezza italiana sta facendo discutere a destra come a sinistra. Viene da chiedersi se il provvedimento proposto sia l'iniziativa isolata di una parlamentare, che peraltro non risulta essersi mai occupata di questi temi, o se sia invece solo un tassello di quella grande partita di potere che si sta giocando sulla cybersecurity.

La proposta di legge della Greco è la riproposizione esatta, tale e quale, della “modifica all'articolo 266-bis del codice di procedura penale in materia di intercettazioni e di comunicazioni informatiche o telematiche”, che è saltata l'anno scorso, dopo una vera e propria mobilitazione popolare. E ancora una volta, come aveva denunciato il deputato di Scelta civica, Stefano Quintarelli , se passa questa proposta, l'Italia diventa il primo paese europeo a rendere completamente legale l'utilizzo estesissimo di una tecnologia estremamente controversa, di cui il Garante della privacy, Antonello Soro, ha messo in dubbio la costituzionalità.

I trojan sono subdoli e non danno scampo all'obiettivo preso di mira. Sono software capaci di installarsi in modo invisibile nei computer e nei telefonini degli utenti e di prenderne possesso. Rubano email, chat, conversazioni telefoniche e via Skype, attivano la telecamera per filmare e fotografare le vittime anche nei momenti più privati. Si chiamano “trojan” proprio perché riescono a installarsi sui dispositivi elettronici in modo completamente ingannevole e aggirando qualsiasi protezione: dagli antivirus alla crittografia. L'anno scorso, il nostro Paese è finito al centro del dibattito internazionale sui trojan a causa dello scandalo Hacking Team, azienda milanese che produce e commercializza uno dei software più noti: Rcs, ovvero Remote Control System.

Proprio in occasione del clamore mediatico del caso Hacking Team, il Garante della privacy, Antonello Soro, usò parole molto nette sulla tecnologia dei trojan : «Nel perimetro della nostra Costituzione possiamo delegare un potere così grande e delicato a una simile tecnologia?». Il garante della privacy puntava il dito su questi software che bypassano tutte le modalità tradizionali e la garanzie costituzionali previste dalle tecniche classiche di intercettazione, perquisizione, sequestro di documenti, pedinamento fisico del target preso di mira. Le tecniche classiche, infatti, prevedono procedure che, come sottolineava Soro, sono definite in modo rigoroso, limitate nel tempo, prorogabili solo dal magistrato, sottoposte a severe misure previste dal codice penale e completamente tracciate.

I trojan, invece, operano nel modo invisibile e ingannevole tipico degli strumenti di intelligence: dopo aver penetrato i computer o i telefonini del soggetto preso di mira, possono intercettare conversazioni, email e qualsiasi scambio di dati, sequestrare documenti, filmati e video e poi sparire senza lasciare tracce. Non solo: possono modificare il contenuto dei file e dei dati presenti nei computer e nei telefonini, come ha spiegato efficacemente a l'Espresso Bruce Schneier, esperto americano che il settimanale “Economist” definisce “il guru della sicurezza informatica” . Sul fatto che i trojan permettano di piazzare dati falsi e quindi false prove nei computer o nei telefonini Schneier non ha dubbi: «E' vero. Quando qualcuno arriva a prendere il controllo di un computer, può fare molto di più che copiare dati: può anche aggiungerli o cancellarli. Questo significa che può piantare false prove nel computer dell'obiettivo e questo pone problemi per le forze dell'ordine che operano con integrità, mentre fornisce soluzioni alle forze dell'ordine che operano in maniera illegale».

In altre parole, i trojan possono fare, a livello informatico, quello che un poliziotto corrotto può fare durante una perquisizione: piantare la bustina di cocaina nell'appartamento di un innocente o di un sospetto per incastrarlo. Per questo motivo l'uso dei trojan, già discutibile nel mondo dell'intelligence, diventa estremamente controverso nell'arena giudiziaria, come strumento di acquisizione della prova. Già in Germania il caso “Bundestrojaner” (trojan di Stato) ha sollevato un vero e proprio vespaio di polemiche.

In Italia, invece, nonostante le denunce fin dal lontano 2011 , il dibattito è praticamente insistente, come sottolinea anche l'avvocato Giovanni Battista Gallus, presidente del Circolo dei giuristi telematici, che nota come la riproposizione del trojan di Stato ad opera della piddina Maria Gaetana Greco ripropone esattamente i problemi del vecchio tentativo: la proposta di legge non prevede che l'uso del trojan sia circoscritto esclusivamente a reati gravissimi come il terrorismo, ma l'autorizza per una vastissima serie di reati anche minori. «Teniamo presente», spiega Giovanni Battista Gallus a l'Espresso, «che questa norma addirittura consentirebbe di utilizzare il trojan per una diffamazione online, che è una follia».

La cronaca più recente dimostra dove si può arrivare, una volta aperto il vaso di Pandora dei trojan. A finire nel mirino può essere chiunque. Un trojan è stato trovato perfino nel cellulare del procuratore argentino, Alberto Nisman, morto in circostanze misteriose mentre indagava su un attentato contro un centro ebraico a Buenos Aires. Il software si era installato nel telefonino poco prima della sua morte : chi ce l'ha piantato, cosa ha scoperto, e come può aver contribuito alla sua oscura morte rimangono segreti che solo le spie che utilizzano i cavalli di Troia del Cyberspazio conoscono.