Premetto che questo post è una pura speculazione, non ho alcuna evidenza di ciò che scrivo.

Però il crimine contro la povera Yara a Bergamo mi ha fatto pensare, un esperimento mentale che condivido con voi.

Ho iniziato a rifletterci dopo avere visto online un link a questo articolo sul Giornale:

Nell’aula del processo a Massimo Bossetti per la morte di Yara Gambirasio questa mattina è andato in scena un duro scontro tra accusa e difesa su una serie di email, spedite dall’Ad di Hacking Team David Vincenzetti a collaboratori e investitori, nelle quali si parlava di eventuali congratulazioni da parte dei carabinieri del Ros per il ruolo decisivo del software Galileo, prodotto dal gruppo milanese, nelle indagini sul caso Yara.

…La corrispondenza di HackingTeam è stata utilizzata per illustrare alla Corte d’Assise e d’Appello di Bergamo la possibilità in astratto che sul PC di Bossetti fossero stati caricati file o filmati che lui non aveva mai cercato o scaricato da internet».

Per essere precisi, nei files leaked da Hacking Team queste mail di complimenti da David Vincenzetti al suo staff ci sono, e riportano presunte congratulazioni da parte delle forze dell’ordine per il contributo fornito nella soluzione del caso.

Questo è strano, dato che sull’uso dei trojan ci sono fondati dubbi di costituzionalità (tanto che periodicamente arrivano proposte di legge alle Camere per consentirne un uso ad ampio spettro, questa l’ultima) e quindi una prova acquisita in questo modo, se ammessa, potrebbe non resistere nei vari gradi di giudizio.

È strano anche perchè non ho letto da nessuna parte che una tale prova risulti agli atti del processo.

Un’altra cosa che non risulta agli atti del processo pare essere il video del furgone di Bossetti, secondo quanto è riportato da Il Post.

Il video del furgone di Bossetti vicino alla palestra di Yara Gambirasio “è stato fatto per esigenze di comunicazione”

Lo ha detto durante il processo il comandante del Ris di Parma: il video circola da mesi, ma non risulta negli atti processuali

Anche sul DNA, avevo sentito in TV, c’erano dei dubbi in quanto DNA nucleare e DNA mitocondriale secondo quanto riportato anche da Panorama pare che non corrispondano e non sia possibile riverificare che quello nucleare sia effettivamente di Bossetti:

L’originaria traccia di DNA nucleare che ha portato all’identificazione di Massimo Bossetti si è esaurita. Una tesi che era già stata avanzata ma che ora viene confermata. Quindi, posto che Bossetti non compare nel DNA mitocondriale estratto dalla traccia degli slip, resta in piedi la prova del DNA nucleare. Ma se si volesse ripeterla in sede processuale non sarebbe più possibile. La procura di Bergamo non affidò l’incarico al Ris con la formula dell’accertamento irripetibile; non vennero cioè convocate le parti

La Cassazione ha confermato l’ammissibilità della prova

«Laddove al momento dell’accertamento tecnico irripetibile si procede contro ignoti o contro un soggetto diverso da quello successivamente indagato (come nell’ipotesi che si sta considerando) nessuna garanzia difensiva deve essere rispettata, non essendo stato identificato l’indagato eventualmente beneficiario delle garanzie previste dall’art. 360 cod.proc.pen»,

Ma, da quanto capisco, di recente la difesa ha cercato di insinuare dei dubbi

La difesa di Bossetti ha spiegato anche come HackingTeam potesse contare trai suoi clienti una società israeliana che produce DNA artificiale

Questo per quanto riguarda le notizie di cronaca.

In altri paesi, quando si intercetta qualcuno, l’intercettazione non è una prova in sé ma uno strumento investigativo che deve portare alla prova. Quindi, se ad esempio vengo a sapere qualcosa da una intercettazione, poi vado sul campo, attuo un sequestro e trovo la prova.

Queste le premesse.

Veniamo all’esperimento mentale:

Supponiamo che i trojan di un sistema tipo Galileo di Hacking Team vengano usati per entrare su smartphone e/o computer di un indagato e supponiamo che così facendo si trovino contenuti che dimostrino la sua colpevolezza e che siano essenziali per l’impianto accusatorio, altrimenti solo indiziario. Supponiamo che le forze dell’ordine in un secondo momento, con le procedure e garanzie di legge, procedano al sequestro di smartphone/computer e, una volta sequestrati non trovino più questi contenuti, perchè nel frattempo l’indagato li abbia cancellati.

Ci troveremmo così in un caso in cui sarebbe noto chi ha commesso il reato (1), ma non sarebbe dimostrabile in giudizio per impossibilità di fare affidamento su prove acquisite in modo non ortodosso.

Facciamo adesso un altro esperimento mentale:

Immaginiamo che i trojan di un sistema tipo Galileo vengano usati per fare delle intercettazioni ambientali e si attivi il microfono per registrare le conversazioni (magari in una abitazione, dove la legge esclude le intercettazioni ambientali a meno che non si abbia fondati elementi per ritenere che in quel momento si stia commettendo un crimine).

Ci troveremmo in un caso in cui esisterebbe una registrazione ambientale ma che, per le stesse ragioni del caso precedente, non potrebbe essere messo agli atti di un procedimento.

Sulla base di questi esperimenti mentali, faccio alcune considerazioni:

Oggi, e sempre di più in futuro, la commutazione di circuito (le telefonate tradizionali) e la corrispondenza cartacea sono sostituite da mezzi di comunicazione elettronica che facilmente non transita più attraverso un centro di commutazione “intercettabile”.

Possiamo pensare che, in futuro, metodi di indagine previsti nella nostra Costituzione non siano più utilizzabili per obsolescenza tecnologica e che le forze dell’ordine nella dimensione immateriale non abbiano più questi mezzi di contrasto al crimine ?

A complicare la situazione c’è il fatto che, un trojan non è un semplice “captatore” ma un oggetto che prende pieno controllo del dispositivo e conseguentemente, chi lo installa, tecnicamente, può (a insaputa del titolare del dispositivo)

fare telefonate

leggere l’elenco delle telefonate (e modificarlo)

mandare SMS e leggerne l’archivio

mandare messaggini e leggerne l’archivio

leggere e mandare posta elettronica

tracciare la posizione

attivare il microfono per ascoltare e registrare

attivare la telecamera per vedere, scattare foto e filmare

frugare e copiare files

tracciare consultazioni web

ecc.

e anche.. inserirvi files (documenti, mail, foto, registrazioni, ecc.)

e il tutto, contemporaneamente.

Ma la cosa non si limita al dispositivo: attraverso smartphone e computer, è possibile accedere non solo ai dispositivi stessi, ma ad archivi personali e aziendali (server, cloud, ecc.), ove viene archiviata – di fatto – tutta la vita di una persona.

Ci troviamo quindi di fronte a una situazione di particolare delicatezza e che, rispetto ai meccanismi tradizionali, ha quattro profili che impongono molta attenzione:

il fatto che un solo strumento consenta di fare – tutte assieme – tutte queste cose, anche quando il decreto autorizzativo ne permetta formalmente una sola; il fatto che – a differenza della dimensione materiale – nell’immateriale si mantengano anche microcomunicazioni private (dalle barzellette a smileys, a ..tutto); il fatto che – a differenza della dimensione materiale – si archivi una quantità di dati immensa, tutta la vita di una persona; il fatto che lo strumento tecnicamente possa essere usato non solo per osservare ma anche per modificare, aggiungere o cancellare contenuti

Il punto 4 precedente è una possibilità intrinseca nella mediazione tecnologica ad ampio spettro degli strumenti di accesso ad un dispositivo, ammesso e non concesso che il personale che li utilizza sia integro, che lo strumento stesso sia integro e che le procedure siano documentate e verificabili.

Relativamente ai punti 1-3, è bene ricordare che la Corte Suprema Americana (Riley vs California), ha reso obbligatoria, salve determinate eccezioni, l’autorizzazione giudiziale anche solo per perquisire uno smartphone:

“Modern cell phones are not just another technological convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life”. The fact that technology now allows an individual to carry such information in his hand does not make the information any less worthy of the protection for which the Founders fought” (Roberts J.)

La nostra Costituzione prevede dei limiti per l’acquisizione delle prove (Art. 13, 14, 15) che sono sono codificate nel codice di procedura penale, come perquisizioni, intercettazioni, pedinamenti, ecc., meccanismi che sono stati disciplinati in modo dettagliato nel tempo.

Sono norme che prevedono esplicite autorizzazioni, che stabiliscono dei confini concettuali tra le varie fattispecie, ciascuna con un proprio insieme di garanzie, anche procedurali, per assicurare che non siano fabbricate prove, che siano integre e che gli interventi non siano eccessivi.

È stata ratificata in Italia, con legge approvata nel 2008, la Convenzione di Budapest 23 novembre 2001 del Consiglio d’Europa sulla criminalità informatica.

Pur non disciplinando nel dettaglio (trattandosi di convenzione internazionale) gli strumenti di acquisizione della prova, pone comunque l’accento sia sul necessario rispetto dei diritti e delle libertà fondamentali garantite dalla CEDU e dalla Convenzione Internazionale delle Nazioni Unite del 1966 sui diritti civili e politici; obbliga al rispetto delle libertà fondamentali, alla supervisione giudiziale (o di altra autorità indipendente) e alla predeterrminazione del campo di applicazione e della durata, oltre che sulla imprescindibile necessità di salvaguardare l’integrità dei dati.

Anche nel preambolo della Convenzione si richiama la necessità di “garantire un equo bilanciamento tra l’interesse per l’azione repressiva ed il rispetto dei diritti umani fondamentali” come previsto nella Convenzione del Consiglio d’Europa del 1950 per la Tutela dei Diritti Umani e le Libertà Fondamentali, la Convenzione Internazionale delle Nazioni Unite del 1966 sui Diritti Civili e Politici.

È già successo che la Cassazione annullasse ordinanze perché l’uso di captatori sfugge alle garanzie previste:

2. Nel caso di specie, la tecnica utilizzata consente, attraverso l’attivazione del microfono del telefono cellulare, la captazione di comunicazioni in qualsiasi luogo si rechi il soggetto, portando con sè l’apparecchio: ciò che, come poc’anzi evidenziato , non è giuridicamente ammissibile. Non si tratta pertanto, come erroneamente ritenuto dal Tribunale, di una semplice modalità attuativa del mezzo di ricerca della prova, costituito dalle intercettazioni. Si tratta invece di una tecnica di captazione che presenta delle specifiche peculiarità e che aggiunge un quid pluris, rispetto alle ordinarie potenzialità dell’intercettazione, costituito, per l’appunto, dalla possibilità di captare conversazioni tra presenti non solo in una pluralità di luoghi , a seconda degli spostamenti del soggetto, ma – ciò che costituisce il fulcro problematico della questione- senza limitazione di luogo. Ciò è inibito, prima ancora che dalla normativa codicistica, dal precetto costituzionale di cui all’art. 15 Cost..

La conclusione che traggo da tutto questo è che oggi l’uso di trojan travalicherebbe i vincoli attuali a tutela delle garanzie costituzionali

Antonello Soro, Presidente della Autorità Garante della Protezione dei Dati Personali, ha affermato in un recente convegno alla Camera che

…la privacy come libertà dal controllo è condizione della democrazia e del pluralismo, presupposto di dignità e garanzia contro ogni discriminazione. E garanzie ancor più stringenti devono essere previste rispetto al potere investigativo, tanto più in un tempo in cui la minaccia del terrorismo rischia di diventare un dato strutturale della nostra quotidianità.

Certo, di fronte a chi usa le stragi quale strumento di affermazione e reclutamento, unendo la capacità simmetrica (militare) e asimmetrica (attentati), diventa forte la tentazione di scorciatoie emergenziali. Penso al paradosso della Francia che in questi tempi vuole inserire l’emergenza in Costituzione.

Ma questo vorrebbe dire non solo tradire la nostra stessa identità ma anche fare il gioco dei terroristi, che puntano alla negazione dei principi su cui si fondano le democrazie occidentali.

Non è un tema da poco.

Penso che più passa il tempo e più diventerà ineludibile la necessità di trovare una soluzione tecnica e una regolamentazione stretta, che assicuri il pieno rispetto delle garanzie costituzionali a vantaggio del processo, sia per la possibilità di contrasto efficace alla criminalità, sia per chi è sottoposto ad indagine.