Giovedì 26 marzo è iniziata alla Camera la discussione per la conversione in legge del cosiddetto decreto “antiterrorismo” presentato lo scorso febbraio dal presidente del Consiglio Matteo Renzi e altri ministri del governo. Nella giornata di ieri l’esame era stato rimandato perché mancava il parere della commissione Bilancio sul decreto stesso e sulla copertura di alcuni emendamenti. E sempre ieri si è discusso molto online di una particolare norma che consentirebbe alla polizia di utilizzare programmi per acquisire «da remoto» le comunicazioni e i dati presenti in un sistema informatico tramite il cosiddetto “Trojan di Stato”. E cioè, di accedere al computer di ogni singolo cittadino sospettato di vari reati e non solo di quelli di matrice terroristica. Secondo le ultime notizie, il presidente del Consiglio ha chiesto e ottenuto giovedì lo stralcio di quella norma.

Il decreto “antiterrorismo” (il numero 7/2015, 21 articoli suddivisi in 5 capi) ha come obiettivo principale quello di «fornire una risposta globale alla minaccia terroristica, anche di matrice internazionale, che negli ultimi mesi si è manifestata con episodi di inusitata violenza sia in Paesi europei che in Medio Oriente». Interviene su alcuni reati in materia di terrorismo, introduce misure per prevenire e punire diversamente l’istigazione e il proselitismo, anche attraverso internet, modifica il Codice antimafia, semplifica il lavoro delle Forze di polizia nella raccolta dei dati e nell’analisi delle informazioni acquisite, proroga varie missioni internazionali.

In commissione è stato però introdotto un emendamento che modifica il codice di procedura penale all’articolo 266-bis, comma 1, che si occupa di intercettazioni di comunicazioni informatiche o telematiche. Dopo le parole «è consentita l’intercettazione del flusso di comunicazioni relativo a sistemi informatici o telematici ovvero intercorrente tra più sistemi» si prevede di aggiungere: «anche attraverso l’impiego di strumenti o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico». I reati per cui l’applicazione dell’articolo 266-bis sono previsti sono stabiliti dall’articolo 266 e sono molto più ampi rispetto a quelli di terrorismo (vanno dai delitti contro la pubblica amministrazione a quelli «concernenti sostanze stupefacenti o psicotrope», dai reati di contrabbando a quelli di ingiuria, minaccia, usura, molestia).

L’acquisizione da remoto avviene attraverso i captatori informatici (trojan, keylogger, sniffer). Le perquisizioni online vengono fatte cioè attraverso l’invio, generalmente tramite e-mail, di un programma con funzionalità note all’utente ma che nasconde al suo interno un codice “segreto” che viene installato sul computer da controllare, creando un particolare collegamento tra quel computer e un computer remoto che avrà a quel punto un pieno controllo del secondo sistema informatico. Il programma può essere installato anche fisicamente sul computer che si vuole controllare, in modo simile all’installazione di microspie ai fini delle intercettazioni ambientali. La possibilità in Europa di utilizzare questo tipo di programmi è stata introdotta per la prima volta in Germania. Nel 2008 è però intervenuta la Corte costituzionale tedesca giudicando negativamente la nuova normativa in quanto non rispettosa di una serie di principi (rischio di controllo pervasivo dei sistemi, possibilità di comportamenti estranei ai reati perseguiti, invasione della sfera privata e della riservatezza) e chiedendo di conseguenza maggiori tutele. Dell’ipotesi di ammettere l’uso di tali strumenti di indagine si è parlato anche nei Paesi Bassi e in Spagna, ma sempre con precise e severe limitazioni (l’autorizzazione di un giudice, innanzitutto).

La questione è piuttosto complessa e ha a che fare da una parte con l’esigenza di reprimere e prevenire i reati, dall’altra con l’esigenza di tutelare e rispettare i diritti fondamentali della persona garantiti in Italia dagli articoli 13, 14 e 15 della Costituzione che parlano dell’inviolabilità della libertà personale, del domicilio e della segretezza della corrispondenza e di ogni altra forma di comunicazione.

Secondo Stefano Quintarelli (deputato di Scelta civica e esperto di Internet che ha anche un blog sul Post), con questo emendamento l’Italia diventerebbe «il primo Paese europeo che rende esplicitamente ed in via generalizzata legale e autorizzato la “remote computer searches” e l’utilizzo di captatori occulti da parte dello Stato». E questo, spiega Quintarelli, non in relazione «a specifici reati di matrice terroristica (come fa pensare il provvedimento), ma per tutti i reati “commessi mediante l’impiego di tecnologie informatiche o telematiche” (articolo 266 bis)». La conseguenza è che, dopo l’approvazione del decreto, «per qualsiasi reato commesso a mezzo del computer – dalla diffamazione alla violazione del copyright o ai reati di opinione o all’ingiuria – sarà consentito violare da remoto in modo occulto il domicilio informatico dei cittadini» per i quali è prevista intercettazione.

Intervistato da Repubblica, Quintarelli ha spiegato: «Non si tratta di una semplice intercettazione, che parte da un certo momento in poi, ma si tratta dell’acquisizione di tutte le comunicazioni fatte in digitale dal proprio computer violando il domicilio informatico dei cittadini e riunendo quattro differenti metodologie di indagine: le ispezioni, le perquisizioni, l’intercettazione delle comunicazioni e l’acquisizione occulta di documenti e dati anche personali. In pratica si rende possibile entrare nei computer delle persone e di guardare nel loro passato usando software nascosti. Significa che fra dieci anni qualcuno potrà leggere quello che Matteo Renzi ha scritto quando stava al liceo o ‘acquisire tutta la vita’ della persona oggetto di indagine». Quintarelli ha quindi depositato due proposte di modifica al disegno di legge: una ha a che fare con l’abrogazione del comma, l’altra chiede di precisare che il motivo generale dell’intervento del disegno di legge debba essere limitato ai reati di terrorismo.