I malware ed i trojan sono da sempre la minaccia principale per un utente Android, ma a quanto pare a partire dai prossimi mesi anche lo Stato Italiano sarà autorizzato a servirsene a scopri investigativi, i cosiddetti “trojan di Stato“. Si tratta di una procedura in uso in molti Paesi e che parrebbe finalmente adeguare l’apparato giudiziario alle nuove forme di comunicazione, ma che preoccupa – specialmente le associazioni per i diritti civili – per via della vaghezza di molte sezioni del testo, approvato all’interno del decreto legge Orlando lo scorso martedì.
Siete pronti per scoprire tutto ciò che occorre sapere sui nuovi “trojan di Stato”?
I trojan di Stato approvati tramite il DDL Orlando, ma non tutti sono d’accordo
Chi ci segue da tempo, ma anche chi si limita a rimanere informato sulle ultime novità del mondo Android, sa bene che i trojan ed i malware possono essere un grave pericolo per la sicurezza e la privacy dell’utente. Solitamente i virus diffusi nel sistema operativo di Google si “limitano” – in termini molto eufemistici, naturalmente – a rootare lo smartphone, prelevare informazioni personali, derubarlo di credenziali d’accesso ma non si servono dei permessi di accesso ai microfoni per intercettare le comunicazioni della malcapitata vittima.
La spiegazione è semplice: un hacker non conosce l’identità della vittima sino a quando il malware non riesce ad infettarne il dispositivo, e persino in quel momento se ne interesserà poco – al contrario dell’attrattiva costituita da informazioni più redditizie come, appunto, i dati di login all’account bancario. A meno che non ricopriate ruoli di prestigio in ambienti ad alto tasso concorrenziale, il vostro nome non sarà che uno dei tanti capitati nel fascio dei device recisi dal falcetto del malware.
I “trojan di Stato”, invece, agiscono esattamente al contrario: si trattano di captatori utilizzati dalle forze dell’ordine per intercettare le conversazioni circostanti lo smartphone – questo, naturalmente, nel caso dei “trojan di Stato” previsti dal decreto legge Orlando approvato lo scorso martedì. Paesi molto meno liberali dell’Italia non si fanno scrupoli a servirsi di virus, malware, persino di app di chat (come WeChat, così come succede in Cina) per spiare i propri cittadini senza alcun vincolo giuridico a freno.
Il DDL, che è liberamente consultabile direttamente sul sito del Senato, contiene alcuni espliciti riferimenti all’uso dei cosiddetti captatori informatici, comunemente riferiti come “trojan di Stato”. Si trattano naturalmente di malware i cui compiti sono limitati dalla legge all’intercettazione dei soggetti indagati in determinati momenti della giornata, ad orari stabiliti e segnalati dalle forze dell’ordine competenti e interessate all’indagine.
Le controversie sui trojan di Stato
I trojan di Stato, così come appaiono nel DDL già approvato, sono però solo parzialmente regolati nel loro uso, segnalando da una parte le modalità d’utilizzo (per esempio, le intercettazioni devono essere inviate solo attraverso i server della procura) ma dall’altra evitando di menzionare aspetti decisamente più inquietanti.
I trojan di Stato (o “dispositivi”, così come vengono riferiti nel testo) hanno poteri che vanno ben al di là della semplice intercettazione, e persino questa può comportare la registrazione di soggetti completamente estranei all’indagine violandone la privacy – e difatti il DDL vieta di disporre dei materiali che includano il loro coinvolgimento o di diffonderne il contenuto. Ad esempio, siamo certi che un malware non possa controllare anche i contenuti di uno smartphone tra cui le immagini, i video, le fotografie?
“Non possano essere in alcun modo conoscibili, divulgabili e pubblicabili i risultati di intercettazioni che abbiano coinvolto occasionalmente soggetti estranei ai fatti per cui si procede“
Si tratta naturalmente di una domanda retorica, ma non scontata per la Legge la quale identificherebbe in un’azione simile un atto di perquisizione che, come tale, richiede un mandato specifico. Non solo: chi assicura che il trojan non vada ad impattare sulle prestazioni dello smartphone, o che non si tratti veramente di un virus sviluppato da una società terza che poi potrebbe servirsene per i propri scopi?
Le modalità di realizzazione dei trojan di Stato non sono ancora state rese note poiché, come recita il testo, “siano utilizzati soltanto programmi informatici conformi a requisiti tecnici stabiliti con decreto ministeriale da emanare entro trenta giorni dalla data di entrata in vigore dei decreti legislativi di cui al presente comma”, ma i desideri delle forze giudiziarie sono ben note. La produzione dei malware dovrebbe essere affidata direttamente ad aziende certificate e preferibilmente affiliate alla magistratura, per togliere qualsiasi influenza esterna poco piacevole per la privacy degli indagati e la credibilità dell’istituzione.
Non solo: come cita La Stampa, si prevede anche l’istituzione di un sistema di certificazione che prevede – tra le altre cose – il deposito del codice sorgente del trojan (un trojan open-source?) per consentire alla difesa di accedere a tutti i dati relativi prima del processo, così da non avvantaggiare nessuna delle parti. Lo stesso dicasi per il contenuto delle intercettazioni: non potrà essere utilizzato sino alla notifica degli atti all’indagato.
I decalogo di reati per i quali l’uso dei captatori è previsto è molto più vasto rispetto a quelli inizialmente regolati dalle leggi relative alle classiche cimici: gravi reati associativi, terrorismo, pedofilia, prostituzione minorile, omicidio, rapina ed estorsione, sequestro di persona, delitti da parte di pubblici ufficiali contro la pubblica amministrazione, delitti informatici e tanti altri ancora.
Ciò che però è necessario ora è definire i confini, labili, del DDL. Associazioni ed esperti hanno criticato il provvedimento per la scarsa discussione avuta in merito a causa della decisione da parte del governo di porre la fiducia sul testo; ora si spera che possano essere approvati nuovi decreti che vadano a “correggere” il DDL, ma si tratteranno comunque di pezze tardive, e forse anche pericolose perchè lasceranno comunque qualche mese di margini veramente poco limitati ai trojan di Stato.
Scopri QUI tutti i trucchi per proteggere la privacy da Facebook!
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a myjob@appelmo.com, e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!