Uno spyware installato su uno smartphone (Getty Images)

Quattro euro al giorno per un’intercettazione telefonica, 60 euro al giorno per l’ambientale, 150 per l’utilizzo di un trojan. Sono queste le cifre delle intercettazioni italiane, che le procure pagano ogni giorno per condurre indagini su terrorismo, criminalità organizzata e corruzione e che costituiscono complessivamente una spesa di 205 milioni di euro all’anno. A ricostruire il prezzario non ufficiale di quanto costa spiare è stata la trasmissione Report, andata in onda il 18 novembre su Rai Tre. La puntata si è concentrata sul mercato dei software utilizzati per acquisire informazioni dai telefoni di cittadini sottoposti a indagine – i cosiddetti captatori informatici – e del malware Exodus, oggetto di un’inchiesta esclusiva pubblicata da Wired in collaborazione con Irpi.

I dati raccolti con Exodus finivano su server negli Stati Uniti, accessibili da qualsiasi dispositivo e browser, in una sorta di caveau da cui – questa è una delle piste su cui lavorano le procure che indagano sul caso, rivelata da Wired – chi aveva le chiavi avrebbe potuto ottenere informazioni sensibili per attività di dossieraggio. O da cui sono scomparsi gigabyte su importanti processi, anche sulla ‘Ndrangheta.

Tecnologie estremamente invasive

Grazie all’utilizzo dei captatori informatici, la procura potrebbe essere in grado di acquisire qualsiasi informazione contenuta all’interno del telefono del bersaglio. Email, fotografie, messaggi, password: la gran parte dei malware in commercio, compatibilmente con le caratteristiche tecniche del dispositivo-bersaglio, è virtualmente in grado di sostituirsi a qualsiasi operazione condotta dal legittimo proprietario dello smartphone. Questo comprende sia la possibilità di attivare da remoto il microfono e la fotocamera del dispositivo, sia di controllarlo anche quando è spento, come ricostruito anche da Report in trasmissione.

Armi digitali dunque, di tale portata da essere state limitate, fino all’anno scorso, allo scopo di investigare esclusivamente casi di criminalità organizzata e terrorismo. È stata la riforma della giustizia varata dal ministro Alfonso Bonafede, a gennaio 2019, ad aver allargato l’orizzonte d’uso dei trojan anche alle indagini per corruzione.

Ma di questi limiti sembrerebbe non essersi curata la società calabrese E-Surv, che ha sviluppato Exodus e che, tramite le società che commercializzavano il malware ha raggiunto più dell’80% delle procure italiane, come dichiarato dall’ex amministratore delegato dell’azienda, Diego Fasano, a Report. La E-Surv avrebbe disatteso le prescrizioni di legge e tradito il mandato di responsabilità di cui era investita nel suo ruolo, diffondendo il malware attraverso il Google Play Store ed esponendo una quantità imprecisata di cittadini a intercettazioni illegali, come già raccontato da Wired.

Le preoccupazioni del garante

“È un fatto gravissimo. La notizia dell’avvenuta intercettazione di centinaia di cittadini del tutto estranei ad indagini giudiziarie, per un mero errore nel funzionamento di un captatore informatico utilizzato a fini investigativi, desta grande preoccupazione e sarà oggetto dei dovuti approfondimenti, anche da parte del Garante, per le proprie competenze. La vicenda presenta contorni ancora assai incerti ed è indispensabile chiarirne l’esatta dinamica”, aveva commentato all’epoca dei fatti il Garante della privacy Antonello Soro all’Ansa.

Le stesse lamentele erano state oggetto, a luglio 2019, di una segnalazione ufficiale al parlamento e al governo da parte dell’Autorità, che ha chiesto che i decreti autorizzativi delle intercettazioni includessero “l’indicazione dei luoghi e del tempo della captazione al fine di rafforzare, anche in questo ambito, le garanzie connesse ad un più incisivo controllo del giudice sull´attività investigativa”. Una misura indispensabile per circoscrivere l’attività d’indagine e impedire che si trasformi in “un’inaccettabile violazione della libertà dei cittadini”.

Sembra essere proprio il caso di Exodus: mascherato da innocua app tra quelle del Play Store, il software esponeva chiunque lo scaricasse a un’intercettazione illegale. Come ha raccontato Wired, le informazioni così raccolte venivano raggruppate in due cartelle: demo e volontari. I volontari sarebbero stati i soggetti che avevano installato il malware per caso e che probabilmente servivano per testarne l’operatività su dispositivi diversi per modello o sistema operativo.

Una pratica apparentemente irregolare ma giustificata, stando alle dichiarazioni di un dipendente della stessa E-surv, sulla base di presunte garanzie funzionali. Ovvero di un esonero da responsabilità penali durante l’attività istituzionale accordato ai servizi segreti e ai privati, “qualora la loro attività sia indispensabile e avvenga in concorso con il personale delle Agenzie”.

Vuoto normativo

Ma le perplessità della massima autorità per la protezione dei dati personali sembra trovare conforto anche nelle parole del capo della Direzione distrettuale antimafia di Milano, Alessandra Dolci, che a Report ha dichiarato: “Mancano i decreti ministeriali che indichino quelle che devono essere le caratteristiche tecniche dell’intrusore informatico, perché noi ci poniamo il problema dell’inoculazione, ma l’ulteriore problema è quello della disattivazione”. Mentre un altro aspetto, precisa Dolci, riguarda la funzione cosiddetta di perquisizione: ovvero quella che avviene quando si acquisiscono tutti i dati nella memoria del dispositivo, che superano ampiamente la definizione di intercettazione, andando a costituire una vera e propria perquisizione digitale.

Come ricostruito da Report, le intercettazioni telefoniche tradizionali nel 2017 sono state 106mila, 16.600 le ambientali, 4.500 le telematiche, per un costo complessivo di 205 milioni di euro nel 2018. Cifre estremamente variabili e di fronte alle quali da anni le stesse procure chiedono un tariffario nazionale e un albo dei fornitori del servizio. Soprattutto se si considera a quali informazioni possono accedere i dipendenti di chi fornisce il servizio, i quali gestiscono procedure estremamente complesse che neanche le stesse procure possono verificare, come ammette la stessa Dolci. Procedure che rischiano di compromettere la libertà dei cittadini, a meno che non sia chiaramente limitato il potere delle società che le governano.

The post Exodus e non solo: le ombre sul mercato dei trojan di stato appeared first on Wired.



Leggi l’articolo su wired.it