Negli ultimi giorni hanno suscitato ampio dibattito le dichiarazioni del Ministro della Giustizia Carlo Nordio sull’uso dei cosiddetti “trojan”, rilasciate in occasione della presentazione del suo libro e poi ribadite pubblicamente. Secondo il Ministro, l’impiego di questi strumenti investigativi sarebbe una “vergogna” quando utilizzato anche per indagare casi di corruzione definiti come “modestissime mazzette”, e andrebbe quindi fortemente limitato, se non eliminato.
Le parole di Nordio sembrano prefigurare un intervento selettivo: una restrizione dell’uso delle intercettazioni informatiche solo per alcuni reati contro la Pubblica Amministrazione, lasciando invece invariata la disciplina per altri ambiti investigativi. Una posizione che si inserisce in un quadro più ampio di scelte politiche del governo attuale in materia di reati contro la PA, come l’abolizione del reato di abuso d’ufficio o l’atteggiamento tenuto in casi giudiziari che coinvolgono membri dell’esecutivo.
Per valutare il senso e l’impatto di queste affermazioni, è utile fare chiarezza su cosa siano realmente i “trojan” di cui si parla e su quale sia oggi la disciplina giuridica che ne regola l’utilizzo.
Che cos’è un “trojan” nelle indagini penali
Nel linguaggio tecnico-giuridico, gli spyware utilizzati dalle forze dell’ordine sono definiti captatori informatici. Si tratta di software che vengono installati, con autorizzazione giudiziaria, sui dispositivi elettronici di una persona indagata per acquisire informazioni utili all’indagine.
Dal punto di vista funzionale, il captatore informatico può svolgere tre principali attività:
- Intercettazione tra presenti, trasformando il dispositivo (ad esempio uno smartphone) in una vera e propria microspia, attraverso l’attivazione del microfono.
- Perquisizione da remoto, cioè l’accesso ai dati memorizzati sul dispositivo.
- Pedinamento elettronico, mediante la raccolta di dati di localizzazione, come quelli provenienti dal GPS.
Di queste funzioni, quella che ha ricevuto la maggiore attenzione normativa è l’intercettazione tra presenti, oggetto di interventi legislativi specifici, da ultimo il decreto legislativo n. 105 del 2023.
La disciplina delle intercettazioni con captatore informatico
L’uso del captatore per intercettare conversazioni rientra nella disciplina generale delle intercettazioni, regolata dall’articolo 266 del codice di procedura penale. La legge consente questo strumento per una serie di reati tassativamente indicati, che includono anche fattispecie non particolarmente gravi.
Il limite più rilevante riguarda l’utilizzo del captatore nei luoghi di privata dimora, dove la tutela della riservatezza è più intensa. In questi casi:
- per i reati di criminalità organizzata e per i reati contro la Pubblica Amministrazione commessi da pubblici ufficiali e puniti con pena superiore a cinque anni, l’intercettazione è ammessa, purché il provvedimento indichi in modo puntuale le ragioni che ne giustificano l’uso;
- per gli altri reati, l’intercettazione in luoghi di privata dimora è consentita solo se vi è fondato motivo di ritenere che proprio in quel luogo si stia svolgendo l’attività criminosa.
È importante chiarire che per “criminalità organizzata” non si intende esclusivamente la mafia: è sufficiente la partecipazione di almeno tre persone a un’attività criminosa strutturata.
Presupposti, durata e controlli
L’attivazione del captatore richiede un decreto motivato del pubblico ministero, che deve indicare tempi e modalità dell’intercettazione, e l’autorizzazione del giudice per le indagini preliminari. Due sono le condizioni imprescindibili: la presenza di gravi indizi di reato e l’assoluta indispensabilità dello strumento per la prosecuzione delle indagini, un requisito più stringente della semplice utilità.
In casi di urgenza, il pubblico ministero può disporre l’intercettazione immediatamente, ma il provvedimento deve essere trasmesso al giudice entro 24 ore e convalidato entro le successive 48. In mancanza di convalida, l’intercettazione deve cessare e i risultati non possono essere utilizzati.
Quanto alla durata, l’intercettazione può protrarsi per un massimo di 15 giorni, prorogabili di ulteriori 15 giorni se permangono i presupposti. In linea generale, non può superare i 45 giorni, salvo casi eccezionali di assoluta indispensabilità, che devono essere specificamente motivati.
Sono inoltre previste misure di controllo sui contenuti raccolti: devono essere omesse le comunicazioni irrilevanti, lesive della reputazione o attinenti alla vita privata, così come quelle che coinvolgono soggetti estranei all’indagine, salvo che siano rilevanti. Il difensore ha diritto di accedere alle registrazioni.
Messaggi, perquisizioni e pedinamento: le zone meno regolate
Accanto all’intercettazione tra presenti, vi sono altre funzioni del captatore che presentano profili più problematici dal punto di vista delle garanzie.
L’acquisizione dei messaggi può avvenire in due modi: se i messaggi sono “in transito”, si applicano le regole delle intercettazioni; se invece sono già memorizzati sul dispositivo, l’acquisizione è assimilata a quella dei documenti, con tutele decisamente più deboli per l’indagato.
Ancora più critica è la perquisizione da remoto, che non è disciplinata in modo specifico dalla legge. L’accesso ai contenuti di un dispositivo può rivelare aspetti estremamente intimi della vita di una persona e di soggetti terzi non coinvolti nell’indagine. In linea di principio, per rendere utilizzabili in giudizio i risultati di una perquisizione sarebbe necessario il sequestro fisico del dispositivo, ma nella pratica la valutazione sull’utilizzabilità è rimessa al giudice, e i casi giurisprudenziali sono ancora pochi.
Situazione analoga riguarda il pedinamento elettronico, anch’esso privo di una disciplina ad hoc e affidato, quanto all’utilizzabilità dei risultati, alla valutazione giudiziale caso per caso.
Vuoti normativi e rischi sistemici
L’assenza di una regolamentazione dettagliata per molte delle funzioni del captatore informatico apre spazi significativi di opacità. La principale “sanzione” per un uso illegittimo è spesso l’inutilizzabilità processuale dei risultati, che non impedisce però che lo strumento venga comunque utilizzato per monitorare una persona senza che ciò sfoci necessariamente in un processo.
Un ruolo centrale nella definizione delle regole resta affidato ai giudici, mentre le tutele per i soggetti terzi coinvolti indirettamente sono quasi inesistenti. Inoltre, le modalità concrete di utilizzo dei captatori da parte delle forze di polizia restano in larga parte non trasparenti.
Va infine segnalato che non esistono divieti tecnici espliciti che impediscano l’upload di file su un dispositivo infettato. Non risultano casi noti di utilizzo improprio di questo tipo, ma la possibilità teorica esiste ed è un ulteriore elemento che evidenzia la fragilità del quadro di garanzie.
Lasciano perplessi, dunque, proposte di riforma che tenderebbero a depotenziare lo strumento nei casi di indagine per corruzione, senza tuttavia sanare le criticità esistenti.
Potrebbe interessarti anche
Comunicato ufficiale sulla Riforma GDPR e Digital Omnibus
Perché rompere la crittografia è un rischio
Approvata la 1° legge italiana sull’Intelligenza Artificiale
“Pay or OK”: le nostre osservazioni per il Garante
Diciamo NO al modello “Pay or OK”
Comunicato ufficiale sulla riforma al GDPR
Report annuale 2024-2025
Riconoscimento Facciale nello stadio di Milano
