Trojan di Stato: perché serve una base giuridica adeguata – di Monica A. Senor

Grazie all’uso di malware gli inquirenti possono accedere a qualunque contenuto di un dispositivo elettronico all’insaputa del proprietario. Urge colmare il pericoloso vuoto normativo che lascia i cittadini senza tutele dalla capacità invasiva e pervasiva dei captatori

Il codice di procedura penale prevede una puntuale disciplina dei mezzi di ricerca della prova al fine di garantire il rispetto della riserva di legge e, in alcuni casi di giurisdizione previsti dalla Costituzione, l’inviolabilità di alcuni diritti fondamentali. Queste norme costituiscono la base giuridica per distinguere il lecito dall’illecito, lo spartiacque che separa un arresto dal sequestro di persona, la perquisizione locale da una violazione di domicilio o le intercettazioni telematiche dal reato di cui all’art.617 quater c.p.

Quando parliamo di trojan di Stato, questa base giuridica non c’è. Eppure le Procure fanno ormai grande uso di tali strumenti di indagine i quali, giova ricordarlo, sono malware inoculati in dispositivi elettronici che consentono agli inquirenti, all’insaputa del destinatario (che può anche non essere la persona sottoposta ad indagini), di assumere il totale controllo da remoto dell’apparecchio infettato con conseguente possibilità di accedere a tutto il suo contenuto – contatti, email, dati di navigazione, comunicazioni telefoniche, chat, file, foto e via dicendo – storico e live, nonché di attivare, sempre da remoto, il microfono o la telecamera, trasformando il device in uno strumento atto ad intercettare (audio e video).

Possiamo ritenere che, sebbene manchi una espressa base normativa di riferimento, i trojan rientrino in taluno dei mezzi di ricerca della prova già esistenti? La risposta è negativa, sebbene sia proprio su questo assunto che ha ragionato la Corte di Cassazione per legittimarne l’uso. Partiamo dalla sentenza a sezioni unite n.26889/16, con cui la Corte ha sancito la legittimità, limitatamente ai procedimenti di criminalità organizzata, dell’uso dei captatori informatici al fine di effettuare intercettazioni di conversazioni tra presenti in luoghi di privata dimora.

Presupposto logico della decisione dei Giudici di legittimità è stata un’analisi fattuale dello strumento captatore informatico che ha preso in considerazione unicamente la sua funzione di microspia, considerazione a cui è seguita, con ineccepibile motivazione giuridica, l’applicazione letterale del disposto di cui dall’art.13, D.L. 13 maggio 1991 n.132. In base a questa norma, nei procedimenti relativi a delitti di criminalità organizzata, l’intercettazione di comunicazione tra presenti che avvenga nei luoghi indicati dall’articolo 614 codice penale (il domicilio privato) è consentita anche di fuori dei limiti di cui all’art. 266, ult. co., c.p.p., il quale, a sua volta, prevede che le intercettazione ambientali possono svolgersi in luoghi di privata dimora solo se vi è fondato motivo di ritenere che ivi si stia svolgendo l’attività criminosa.

Se sul principio giuridico, in astratto, si può convenire con la Corte, non altrettanto può dirsi sulla premessa in fatto che, errata, ha falsato tutto il percorso logico-argomentativo susseguente. Altre due pronunce confermano l’impostazione seguita dalla nostra Corte Suprema. Con la sentenza n.27100/2015 i Giudici di legittimità hanno infatti ritenuto lecito l’utilizzo di un captatore informatico per attivare da remoto la telecamera di un telefono cellulare nella misura in cui siano rispettati i principi elaborati nella nota sentenza Prisco (n.26795/2006), secondo cui le videoriprese di immagini non comunicative (cioè un video senza audio) non rientrano nel concetto di intercettazione e possono essere assunte nel processo penale come prove atipiche, salva l’ipotesi in cui la videoregistrazione sia stata effettuata in luoghi di privata dimora.

La seconda è la sentenza n.40902/2016, con la quale un trojan attivato come keylogger non è stato dalla Corte qualificato tale in quanto non avrebbe svolto (la citazione testuale è doverosa) “come fanno normalmente i trojan, un’attività di monitoraggio in tempo reale dell’attività svolta sullo schermo”, con conseguente legittimazione di tutto il materiale probatorio ad esso correlato.

Questi tre arresti sono esemplificativi della posizione che sta tenendo la Cassazione, con il chiaro intento di salvare, sulla scorta dell’ormai bulimico principio di “non dispersione della prova”, gli esiti dell’attività investigativa eseguita dalla magistratura inquirente mediante i captatori informatici: in assenza di un riferimento normativo che ne regolamenti ed autorizzi l’utilizzo, la legittimazione dei trojan è passata attraverso la frammentazione delle loro funzionalità al fine di ricondurre il singolo, specifico ambito operativo di volta in volta da valutare nel contesto legislativo esistente.

Si tratta, tuttavia, di un’interpretazione assai miope che priva i cittadini di un’adeguata tutela in relazione ad alcuni tra i più essenziali diritti fondamentali. La Cassazione, infatti, scegliendo di non prendere in esame i captatori nella loro interezza, ha rinunciato tout court ad affrontare la questione giuridica dei trojan sotto il profilo della cd. prova incostituzionale, concetto espresso per la prima volta dalla Corte Costituzionale nel 1973 (sentenza n.34/1973), stando al quale “le attività compiute in spregio dei fondamentali diritti del cittadino non possono essere assunte a carico di chi quelle attività costituzionalmente illegittime abbia subito”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *