Trojan Horse: com’è facile controllarci [di Francesco Paolo Micozzi]

La Collina Anno X. N.1 Gennaio-Marzo 2017. Nella puntata “Shut up and dance” della terza stagione di Black Mirror (serie televisiva britannica in cui si evidenziano gli aspetti paradossali e problematici delle nuove tecnologie) si racconta la storia di un giovane ragazzo che, attraverso computer e smartphone, viene controllato da remoto e ricattato sino al punto da costringerlo a commettere crimini di ogni sorta e, infine, a tentare il suicidio.

Lo spettatore viene portato in uno stato di tensione che dipende direttamente dal fatto che nella narrazione non si ricorre  un solo aspetto fantascientifico o surreale, né vengono impiegate tecnologie futuribili. Tutto ciò che viene rappresentato nella fiction, invece, consiste in strumenti e tecnologie già esistenti e largamente diffuse (da anni).

Si tratta di tecnologie che appartengono alla famiglia dei RAT (Remote Administration Tools – Strumenti di amministrazione remota) ma che, per semplicità, chiameremo trojan. Il trojan prende il nome dal celebre cavallo di Troia che ha consentito a Ulisse e ai suoi compagni di introdursi, con l’inganno, entro le mura della città di Troia per poi dare ai soldati greci la possibilità di invadere e distruggere la città. Trojan, quindi, è un nome abbastanza calzante per questo genere di software (viste le sue potenzialità).

Il RAT può essere genericamente descritto come un software che si compone di due parti: un client e un server. Il client viene installato nella macchina controllante, il server nella macchina controllata. Il client si collegherà al server e potrà, per l’appunto, controllarlo da remoto.

In alcuni casi il controllato sa che, attraverso la connessione internet, qualcuno ne sta controllando il computer: pensate all’assistenza tecnico-informatica fatta da chi, da remoto (usando un software di tipo RAT), corregge errori di funzionamento, esegue l’aggiornamento del software o altro. Nella maggior parte dei casi in cui vengano usati trojan, però, il controllato non sa di esserlo: non sa che, dall’altra parte del mondo, potrebbe esserci qualcuno che vede attraverso la telecamera del suo smartphone, sente attraverso il suo microfono, nota i suoi spostamenti attraverso le informazioni GPS…

Ma chi potrebbe avere interesse a installare un trojan sul nostro device? I casi in cui questi strumenti vengono impiegati sono tantissimi (e, non sempre, leciti). I casi in cui qualcuno possa voler impiegare un sistema di controllo remoto sono praticamente infiniti: dal marito geloso che installa un trojan sul telefono della moglie per poterne controllare i movimenti al malintenzionato che intenda estorcere dei soldi al malcapitato di turno, dal trojan usato per le intercettazioni ambientali nell’ambito di un’indagine al trojan che colpisca uno smart device per poterlo impiegare come zombie in attività di spam. Le possibilità sono davvero infinite e rimesse alla fantasia dell’attaccante.

I dispositivi “bersaglio” del controllo remoto, inoltre, possono essere i più disparati. Quelli statisticamente più “colpiti” sono, storicamente, i personal computer e, più recentemente, gli smartphone. Ma già oggi vengono sfruttati per il controllo remoto anche altri dispositivi dell’Internet of Things (IoT, internet delle cose). Con l’avvento dell’IoT, infatti, gli oggetti diventano “smart” grazie ad una connessione alla rete Internet che ne amplifica, così, le potenzialità.

Pensiamo, ad esempio, alle smart TV: si tratta di televisori evoluti che consistono, sostanzialmente, in computer “specializzati” nell’offerta di programmi televisivi ma dotati di periferiche del tutto analoghe a quelle disponibili in personal computer e smartphone (ossia telecamera e microfono fra tutti). Chi volesse, ad esempio, intercettare i suoni dell’ambiente antistante la smart TV non dovrebbe, oggi, introdursi “fisicamente” nei locali in cui si trovi e, successivamente, “piazzare” furtivamente una cimice: potrebbe riuscire a violare il sistema software della Smart TV connessa in rete standosene comodamente altrove, e riuscire, così, a captare l’audio attraverso il microfono della Smart TV – bersaglio. Si consideri, addirittura, che nel manuale d’uso di alcune Smart TV veniva appositamente suggerito di non parlare di argomenti sensibili vicino alla televisione (https://twitter.com/xor/status/564356757007261696).

Come viene installato il trojan che potrebbe consentire a qualcuno di controllare da remoto il nostro dispositivo-bersaglio (smartphone, pc, tv, smart camera, nanny cam…)? In tanti modi. Ad esempio mediante l’inganno (una falsa email con un allegato “strano”, con un link, con un messaggio whatsapp, un messaggio curioso…) o grazie a una vulnerabilità del sistema operativo del dispositivo-bersaglio. Le possibilità sono tante e, spesso, senza rendercene conto siamo noi stessi che, inconsapevolmente, installiamo nel nostro dispositivo un qualcosa che, poi, potrebbe consentire ad altri di controllarne le funzionalità.

I trojan, abbiamo detto, possono differenziarsi molto l’uno dall’altro ma, in genere, consentono al suo utilizzatore (controllante) di effettuare ogni genere di attività sulla macchina-bersaglio: intercettare telefonate Skype; copiare, modificare, cancellare o creare file all’interno della macchina-bersaglio; ascoltare da remoto i suoni catturati dal microfono o vedere le immagini catturate attraverso videocamera del dispositivo-bersaglio etc.

Praticamente consentono al “controllante” di fare tutto ciò che vuole sulla macchina-bersaglio anche in modalità invisibile. I trojan consentono, inoltre, di nascondere le tracce del loro passaggio o della loro presenza andando a modificare determinati file o applicazioni di sistema necessari per il monitoraggio delle attività di sistema.

I trojan o, comunque, i programmi della famiglia RAT sono in uso, da anni, anche nell’ambito dei procedimenti penali. Anche in Italia. Tuttavia il riflettore dell’opinione pubblica sull’uso di tali strumenti anche nel procedimento penale è stato puntato solo di recente e si è intensificato dopo la violazione informatica, nel luglio dello scorso anno, dei server di una delle più grandi aziende italiane che produceva e vendeva in Italia (e all’estero) un sistema di controllo remoto denominato RCS (Remote Control System) “Galileo”.

Non è possibile comprendere quali siano i “numeri” della diffusione dell’impiego di tali strumenti nelle indagini penali ma sappiamo, per certo, che vengono impiegati. In Sardegna, ad esempio, si è avuta notizia che siano stati impiegati nel caso noto come “sindacopoli” e nell’ambito delle indagini per le rapine ai furgoni portavalori.

La giurisprudenza (che ha “battezzato” questi strumenti con il nome di “captatori informatici”), nella maggior parte dei casi, vengono trattati al pari di una qualsiasi “cimice”). In realtà, si è visto, il trojan consente di eseguire operazioni che non sono nemmeno lontanamente equiparabili all’unica operazione nelle possibilità della cimice (ossia la mera registrazione audio).

Questa equiparazione tra strumenti differenti è dovuta, essenzialmente, al fatto che nel nostro Ordinamento non esiste una disciplina normativa creata appositamente per i “captatori informatici” e che la giurisprudenza sia costretta a ricorrere a situazioni analoghe. Di recente (sentenza “Scurato” del 1 luglio 2016), addirittura, sono intervenute le Sezioni Unite  le quali – dirimendo un contrasto giurisprudenziale sorto tra le sezioni semplici della Corte di Cassazione –  hanno stabilito che “limitatamente ai procedimenti per delitti di criminalità organizzata è consentita l’intercettazione di conversazioni o comunicazioni tra presenti – mediante l’installazione di un ‘captatore informatico’ in dispositivi elettronici portatili (ad es. personal computer, tablet, smartphone ecc) – anche nei luoghi di privata dimora… pure non singolarmente individuati e anche se ivi non si stia svolgendo l’attività criminosa”.

E il procuratore generale, nella sua requisitoria alle Sezioni Unite, invocava la possibilità di utilizzo di tali “virus informatici” come modalità per consentire alle tradizionali tecniche di indagine di recuperare terreno nei confronti di più moderni sistemi di comunicazione.

In assenza di normativa specifica per i captatori informatici, infatti, la giurisprudenza ha richiamato la disciplina prevista per le cosiddette “intercettazioni ambientali”. In questa tipologia di intercettazione, infatti, non è possibile captare l’audio, mediante cimici, in luoghi di privata dimora salvo che lì si stia svolgendo l’attività criminosa. Tuttavia per le ipotesi di criminalità organizzata esistono già, da decenni, norme speciali che derogano a questi limiti consentendo le intercettazioni ambientali nei luoghi di privata dimora anche se lì non si stia svolgendo l’attività criminosa. Le Sezioni Unite, pertanto, ritenendo applicabile lo stesso principio hanno, però, limitato la loro analisi solo a una delle infinite funzioni dei trojan (ossia alla registrazione di audio ambientale).

Da un punto giuridico, infatti, esistono dei limiti all’uso indiscriminato di strumenti simili. Dobbiamo partire da norme come quelle contenute nell’art. 14 della Costituzione – in base alla quale il domicilio (oggi anche quello informatico è un domicilio) “è inviolabile e non vi si possono eseguire ispezioni o perquisizioni o sequestri se non nei casi e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della libertà personale” – e, ancora, 15 Cost. che tutela la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione (quindi anche quella telematica) prevedendo la loro inviolabilità derogabile solo per atto motivato dell’Autorità giudiziaria e con le garanzie stabilite dalla legge.

In tutte queste ipotesi si afferma un diritto fondamentale (libertà personale, domicilio e corrispondenza) e si pongono i “paletti” alle sue limitazioni. Questi “paletti” prevedono sempre un doppio limite: da un lato si richiede che sia una legge a prevedere la possibilità di porre limitazioni alle libertà fondamentali e, dall’altro, si richiede che siano disposte con provvedimento motivato dell’autorità giudiziaria (con ciò intendendosi sia il giudice che il pubblico ministero).

Con un captatore informatico potrebbero contemporaneamente aversi più attività: intercettazioni ambientali (col microfono e la fotocamera dello smartphone-bersaglio è possibile sentire tutto quello che avviene in quell’ambiente e documentarlo con immagini); intercettazioni tradizionali (ad esempio intercettazione delle telefonate via Skype); ispezioni telematiche; sequestri di corrispondenza etc.

Ciascuna di queste attività di ricerca della prova ha però dei limiti (normativi), e questi limiti non possono essere scavalcati (pena l’inutilizzabilità dei risultati). Nel caso in cui l’autorità giudiziaria disponga, ad esempio, l’utilizzo di un captatore informatico si dovrà aver cura di non eccedere i limiti già previsti per quel tipo di attività dal codice di rito.

Attualmente esistono almeno tre disegni di legge che ambiscono a descrivere la disciplina dell’uso dei trojan nel processo penale. Tuttavia, ancora, nessuno di questi ha raggiunto una maturità sufficiente a convincere, circa la sua bontà, la maggior parte della dottrina.

Come possiamo avere la certezza che non si abusi di questi strumenti? È molto difficile se si considera che tecnicamente questi strumenti consentirebbero di fare qualsiasi cosa e di nascondere persino le tracce del loro passaggio o della loro attività. E di tali rischi dà atto anche la memoria del Procuratore generale alle Sezioni Unite nel caso “Scurato”, in cui si evocano “strumenti onnipervasivi e onnipotenti, suscettibili di dar vita ad un potere invasivo esercitabile senza limiti o in forme incontrollabili sotto il profilo tecnico o giuridico” per poi individuarne “l’antidoto” nelle eccezioni processuali. Queste ultime, però, saranno difficilmente sollevabili ove ogni prova sia stata alterata o eliminata dallo stesso captatore informatico.

Tuttavia «il pericolo insito nell’azione segreta di una parte dell’apparato dello Stato sul cittadino» è una eventualità già prospettata, addirittura, dalla Corte Europea dei Diritti dell’Uomo.

La questione dell’utilizzo dei captatori informatici nell’ambito dei procedimenti penali è abbastanza (per usare un eufemismo) delicata. Per questo motivo sarà di fondamentale importanza monitorare l’iter normativo dei ddl sulle “intercettazioni” e sui captatori informatici nell’auspicio che le esigenze di accertamento siano effettivamente rispettose delle garanzie processuali (in primis quella al contraddittorio tra le parti nella formazione della prova) e non comprimano in modo eccessivo le libertà dei cittadini.

Purtroppo le sempre più frequenti e intense attività criminali di forte allarme sociale potrebbero essere determinanti nell’imporre un’accelerazione improvvisa all’iter dei ddl a discapito dell’approfondimento e della cura delle libertà fondamentali.