Cybersecurity: Tornano i Trojan di stato: ma quanto sono sicuri?

cyber_securityTornano i Trojan di stato: ma quanto sono sicuri?

Una proposta di legge non ancora presentata fa discutere sulla legittimità dei Trojan di stato per perseguire i criminali. Non si tratta solo di tutelare i diritti costituzionali, ma anche quelli delle aziende
Arturo Di Corinto 24 giugno 2016

Per garantire la sicurezza informatica di aziende, individui e infrastrutture critiche si possono usare gli stessi mezzi dei criminali? Sì, no, forse. E se questi strumenti hanno una funzione più comprensibile ai semplici cittadini, come prevenire reati di pedofilia e terrorismo?

Il dibattito è aperto. Anzi, è stato riaperto da alcuni rumors circa la possibilità di usare dei “trojan di stato” per impedire reati grandi e piccoli.

Che cos’è un trojan di stato?

Ma che cos’è un trojan di stato? Il trojan è un tipo di software, un virus, che si installa di nascosto dentro il proprio computer, pc, tablet o smartphone, e, a seconda della famiglia di appartenenza, ce ne sono circa 130, può registrare le conversazioni, attivare una ripresa audiovisiva, collegare il pc a una botnet per realizzare un Ddos, trasferire keyword e file a un utente terzo per fini criminali o di indagine giudiziaria, appunto. In questo ultimo caso parliamo di Trojan di stato: servono a prendere il controllo del computer di un criminale, certo o presunto, e registrarne le attività come con i pedinamenti, le perquisizioni e le intercettazioni telefoniche ed ambientali. Però lo si fa con le comunicazioni Voip, l’email, il browsing, lo storage e il trasferimento di file digitali.

Trojan di stato: i tentativi di adottarli

L’anno scorso un emendamento al decreto antiterrorismo voluto dal governo Renzi voleva legittimare il ricorso ai trojan di stato per ripetere l’exploit di un caso in cui il trojan era servito a raccogliere prove in un famoso caso di corruzione e sull’onda emotiva di alcuni attentati terroristici. Però dopo il governo aveva chiesto al relatore del provvedimento e alla commissione competente di fare un passo indietro per le preoccupazioni sollevate da un deputato, Stefano Quintarelli, e dal decano italiano della privacy, Stefano Rodotà, pubblicate sul giornale La Repubblica proprio da chi scrive.

Oggi il dibattito torna attuale.

Qualche giorno fa una corte Usa che doveva processare un presunto pedofilo sulla base di prove raccolte con un “captatore informatico”, un trojan, appunto, ha dovuto lasciare cadere l’accusa perché il giudice si è rifiutato di ammettere come prova il captatore stesso visto che non poteva accettare la richiesta della difesa dell’imputato di poter analizzare il trojan le cui registrazioni lo collegavano ad altri 134 presunti appartenenti alla rete dei pedofili.

Trojan di stato: perchè no

A parte la logica della giustizia Usa, il fatto ci permette di riflettere su tre questioni importanti dal punto di vista etico e costituzionale:

A) i trojan sono pensati per aggirare le difese informatiche dei dispositivi digitali, contraddicendo il principio dell’inviolabilità del domicilio informatico su cui diverse Corti Costituzionali si sono già pronunciate;
B) la loro fabbricazione e gestione dipende da aziende e contractor privati che non sono tenuti a rispettare le leggi degli stati che li adottano e le prassi dei tribunali che ne giudicano l’utilizzo;
C) non essendo noto al pubblico il loro funzionamento, si ritiene che non possano offrire garanzie rispetto ad eventuali abusi.

Che sono proprio i motivi per cui finora non si è voluto adottarli su larga scala.

Forse sì. La proposta di legge in pillole

Una proposta di legge che potrebbe affrontare il problema sarebbe stata abbozzata proprio da uno dei più fieri avversari dei trojan di stato, Stefano Quintarelli.

Dalle indiscrezioni emerse, la proposta si baserebbe su questi elementi:

1. PERQUISIZIONE
I trojan possono essere usati solo nelle indagini di reati molto gravi: associazione mafiosa, terrorismo, pedofilia, prostituzione minorile, omicidio, sequestro di persona, ma anche delitti contro la PA e alcuni delitti informatici.

2. REGISTRAZIONE
Il sequestro a distanza dei dati dovrebbe garantire la conformità con gli originali, la loro immodificabilità e protezione.

3. ANALISI
Ogni operazione di gestione del software e di acquisizione del suo output e dei dati deve rimanere in capo alla polizia giudiziaria e non ad aziende esterne come accade con le intercettazioni.

4. SEGRETEZZA
L’output deve rimanere inaccessibile alle parti prima della notifica giudiziaria.

5. INTEGRITÀ DEI DISPOSITIVI
Garantire che il trojan non modifichi il funzionamento del computer residente e non lo danneggi, e quindi che il software sia certificato e inserito in un catalogo pubblico nazionale.

Sono tutte previsioni di legge difficili da realizzare senza intaccare diritti costituzionali come quello alla riservatezza delle comunicazioni, ma anche il diritto delle aziende di tenere nascosto il codice sorgente del captatore per ragioni di mercato. A questi si sommano due problemi pratici: l’effettiva capacità delle forze di polizia di gestire tecnicamente e da un punto di vista pratico e organizzativo l’utilizzo del software, ma anche la difficoltà per i tecnici di garantire che i trojan non facciamo cose diverse da quello per cui sono stati pensati.

Insomma, l’iniziativa è lodevole, ma pone problemi difficili da affrontare anche con un decreto ad hoc. Staremo a vedere.

 

Lascia un commento