Prodotti e tecnologie dual use, tra UE e giurisprudenza interna: sicurezza degli stati membri Vs esigenze di privacy

A cura di:Michelangelo Di Stefano Ore

Il 2017 segna la mediaticizzazione del c.d. “captatore informatico”, un particolare cavallo di troia che, per esigenze di spionaggio d’intelligence, si trova al centro della disputa su diversi tavoli tecnici, siano essi giuridici, di ricerca scientifica, di tutela della privacy o di business commerciale.

La cromaticità di detti distinguo si riverbera, in un contesto comunitario, negli interessi che l’UE destina alle tante architetture legislative che, almeno agli occhi di un profano, sembrano cautelare aspetti commerciali piuttosto che di carattere giudiziario.

In precedenza ci eravamo soffermati sull’evoluzione de Il captatore informatico “Trojan”: stato dell’arte e profili giuridici, poi addentrandoci negli interessi del legislatore interno verso  I devices elettronici quali appendici bioniche ed il DDL sui trojan.

La comunità europea, nel trattare in linea generale le tecnologie comunicative,  aveva votato una Risoluzione (CE L.I. 17.1.1995)  rivolta a disciplinare gli obblighi dei gestori di servizi telefonici nei riguardi degli interessi di giustizia comunitari, attraverso l’ installazione di idonee L.I.G.(Legal Interception Gateway) lungo i L.I.N. (Legal Interception Nodes).

Una risoluzione che avrebbe trovato adozione solo 7 anni più tardi, con la Direttiva CE 2002/ 19-20-21-22,  recepita in Italia con il Codice delle Comunicazioni elettroniche (Dlgs 259/2003) che, all’art. 97, disegna il concetto di “gestore telefonico e di prestazione obbligatoria per fini di Giustizia”.

Una tematica di interesse delle Lawtuful Interceptions, che influenza le linee guida a puntello dei protocolli ETSI (European Telecommunication standard institute), rivolti a disciplinare gli standards comunitari per esigenze commerciali.

Questioni che, nel concreto, sono state oggetto di attuazioni miopi quanto isteriche: per un verso in quanto i gestori telefonici, interessati ad introiti miliardari hanno, si, offerto delle “prestazioni” per ragioni giudiziarie ma, parallelamente, hanno maturato un fatturato commerciale per ragioni istituzionali sempre in vorticosa crescita con una fatturazione di spesa che, nella realtà interna, vede i “capitoli per le spese di giustizia” implodere alla voce “intercettazioni”.

Però, ammesso il disinteresse comunitario nelle spese di giustizia degli stati membri a favore delle multinazionali della telefonia, quel legislatore non si è minimamente posto, ad oggi, il problema dell’individuazione reale dei “gestori telefonici”,  un lessico stringato che vede attori i soliti brand di settore, da TIM, a VODAFONE, a WIND TRE, e le tante altre società che, fino alla COOP ed alla RFI si interessano di telecomunicazione; dimenticando, non si comprende come, i loghi di quelle aziende, con fatturati a troppi zeri che utilizzano, in modalità di default,  sistemi di comunicazione proprietari sui devices commercializzati – dalla California, alla Cina, ai quattro continenti – così come quelle applicazioni dei social media che gestiscono oltre il 80% delle comunicazioni di messaggistica, di scambio multimediale e di comunicazione attraverso protocolli di Voice over Internet Protocol.

Accade allora che in Italia, ad oggi,  le Procure della Repubblica si trovano a rimborsare cartelle pazze per spese di intercettazione di flussi telematici ex art. 266 bis cpp, che contengono, al loro interno, il peso di “dati” non fruibili in quanto coperti da sistemi HTTPS che non sempre si riesce a vulnerare con i tradizionali sistemi di intercettazione.

Ecco, de plano, il ricorso al trojan horse in grado di insinuarsi – tra operazioni di root e di jailbreak – nei sistemi operativi a portata di taschino, divenendo anonimo e fidato amministratore di sistema per ragioni di spionaggio, con una richiesta sempre più crescente a dispetto di una offerta alle volte sprovveduta (come le criticità di sistema sofferte qualche tempo addietro da una nota azienda di hacking di Milano) e con potenzialità ridotte ed in affanno rispetto allo sviluppo tecnologico ed agli aggiornamenti di sistema sempre più frequenti.

Da un punto di vista regolamentativo, la Comunità Europea si interessa di tecnologie “dual use” ormai dal nuovo millennio allorquando, nel 2000, varò il primo Regolamento CE 1334/2000, sul controllo delle esportazioni di prodotti e tecnologie dual use: un esempio tra i tanti è quello dei tanti IMSI Catcher,  quelle valigette in un primo momento idonee ad identificare l’accoppiamento macchina/numero (IMEI/IMSI) di un telefono cellulare e, di lì a poco, in grado di intercettare le comunicazioni GSM: l’Italia avrebbe poi recepito le direttive europee  sulle tecnologie dual use, con l’adozione del D.Lgs. 96/2003.

Uno scenario che, ormai da tempo, sta spostando la focale di spettro verso la sentiment analysis ed il monitoraggio delle fonti aperte attraverso invasivi software in grado di effettuare massive ricerche di social media intelligence con monitoraggi strategici della ragnatela sui macronodi di comunicazione.

Ma alle tecnologie a duplice utilizzo, negli anni a venire la comunità internazionale avrebbe introdotto un altro concetto semantico: “il software di intrusione”, regolamentato nell’ Unione Europea con il Regolamento UE 1382/2014 ed ulteriormente disciplinato dal recente  Regolamento UE 1996/2016, in tema di esportazione di prodotti “dual use”.

Un’accezione semantica che, nella giurisprudenza interna, ha trovato recente compendio, questa volta con il termine di “captatore informatico”, come già richiamato con gli articoli che precedono facendo cenno alla nota “Sentenza Scurato” ( SS.UU. Pen. n. 26889 del 28.4.2016).

Si tratta di questioni che si intersecano, tra dinamiche commerciali seguite passo passo nello scenario  comunitario e che, cum grano salis, trovano riscontro nella legislazione interna rivolta a disciplinare ex novo le intercettazioni, nell’alveo giudiziario, attraverso il DDL di cui abbiamo diffusamente trattato e che sta già registrando articolate critiche ed osservazioni nel contesto di più approfondimenti giuridici sul tema, come avvenuto, ad esempio, lo scorso 21 luglio in occasione di un evento di alta formazione organizzato dalla Scuola Superiore di Magistratura a Reggio Calabria sul tema “Il captatore informatico: cos’è e come funziona”.

Si tratta, nel concludere il breve inciso sulle tecnologie dual use, di una questione “polemogena” – utilizzando qui il lessico del noto Giovanni Fiandaca – che vede configgere interessi interni di amministrazione della Giustizia, di sicurezza nazionale, di rispetto della privacy, di salvaguardia dei diritti fondamentali dell’uomo, di abbattimento dei muri e di costruzione di reti sociali virtuali, ma che da ultimo, seppur non per ultimo, deve fare i conti con una esplosione terroristica attraverso le nuove tecnologie con attacchi informatici e tecniche avanzate di comunicazione sul web che sono anni luce avanti rispetto agli strumenti oggi fruibili da intelligence e corpi d’elite delle forze di polizia e di sicurezza comunitarie.

Una focale che merita, ad avviso di chi scrive, una oculata interpretazione e revisione – per ragioni di sicurezza geopolitica globale – di quella nota di biasimo che la Grande Camera della Corte di Strasburgo aveva fatto lo scorso anno  nel procedimento RUSSIA/ZAKAROV, indicando che la Russia andrebbe tecnologicamente oltre ciò che è necessario.

A cura di: Michelangelo Di Stefano

Profilo Autore
Michelangelo Di Stefano

Dottore in Giurisprudenza,  in Comunicazione Internazionale, specialista in Scienze delle Pubbliche Amministrazioni ed esperto in Criminologia, è un appartenente ai ruoli della Polizia di Stato.
Si interessa da oltre venti anni di tecnologie avanzate nelle intercettazioni audio video e localizzazioni, con approfondite ricerche nel settore della comunicazione in ambito investigativo e forense.
E’ esperto di balistica a tiro curvo, di topografia e cartografia militare, di analisi e profiling, con specializzazioni in campo nautico, subacqueo e nel settore delle operazioni investigative speciali sotto copertura.
Ha maturato esperienza trentennale nella P.A. presso i Ministeri della Difesa, del Tesoro ed Interno, è stato formatore e componente di comitati scientifici di  alcuni atenei,  scuole internazionali di management e di riviste di informazione e formazione giuridica, nel settore delle scienze criminologiche applicate alle investigazioni, all’intelligence ed al contrasto al terrorismo.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Workstation e lavoro da remoto, soluzioni di sicurezza centralizzata a protezione dell’infrastruttura bancaria

Workstation e lavoro da remoto, soluzioni di sicurezza centralizzata a protezione dell’infrastruttura bancaria

A cura di:Redazione Ore Pubblicato il

Oggi il concetto di sicurezza, del quale si va affermando una visione via via più olistica e integrata, risulta oggetto di una metamorfosi profonda: Intelligenza artificiale (AI), Internet delle Cose (IoT) e tecnologie Cloud, così come lavoro agile, ibrido o da remoto, sono infatti espressioni di una trasformazione digitale inarrestabile che pervade la vita lavorativa…

Nel Report GEPD interessanti indicazioni sull’utilizzo della DPIA da parte delle istituzioni UE

Nel Report GEPD interessanti indicazioni sull’utilizzo della DPIA da parte delle istituzioni UE

A cura di:Sergio Guida Ore Pubblicato il

Qualche giorno fa il Garante europeo della protezione dei dati (GEPD) ha pubblicato un report su come le istituzioni, gli organi e le agenzie dell’UE (EUI) effettuano le valutazioni d’impatto sulla protezione dei dati (DPIA) per il trattamento di informazioni che presentano un rischio elevato per i diritti e la libertà delle persone fisiche. Wojciech…

Blockchain e Data Protection: prospettive future nelle policy UE

Blockchain e Data Protection: prospettive future nelle policy UE

A cura di:Redazione Ore Pubblicato il

I precedenti articoli dedicati al rapporto fra tecnologie DLT e tutela dei dati personali hanno rispettivamente esposto il contesto giuridico-terminologico di riferimento e i punti di contatto, nonché di potenziale contrasto, fra tali strumenti e la cornice comunitaria. Quest’ultima, rappresentata in primo luogo dal GDPR, oggi risulta peraltro ampliata dal Regolamento 2022/858 che istituisce un…

Gli emendamenti alla direttiva 6 luglio 2023 alla Strategia Nazionale di Cybersicurezza

Gli emendamenti alla direttiva 6 luglio 2023 alla Strategia Nazionale di Cybersicurezza

A cura di:Ranieri Razzante Ore Pubblicato il

La ricerca scientifica e lo sviluppo industriale hanno determinato l’incremento delle emerging and disruptive technologies. La complessità di questo sistema rappresenta terreno fertile per i soggetti malevoli intenti ad indurre in errore gli addetti alla sicurezza dei software. In un mondo sempre più digitalizzato, la cybersicurezza ha assunto un ruolo di fondamentale importanza, motivo per…

Intervista a Enrico Pelino – Cyber Crime Conference 2019

Intervista a Enrico Pelino – Cyber Crime Conference 2019

A cura di:Redazione Ore Pubblicato il

[video_embed video=”334017692″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] 10° CYBER CRIME CONFERENCE Enrico Pelino – Privacy Expert e componente del consiglio direttivo ANORC Professioni Algoritmi predittivi al servizio della giustizia penale (negli USA il caso Loomis, ricostruito nell’intervento di Pelino in CCC, ha recentemente visto una pesante condanna), algoritmi di raccomandazione che influenzano risultati di…

Framework dell’analisi digitale forense

Framework dell’analisi digitale forense

A cura di:Francesco Costanzo Ore Pubblicato il

Introduzione Emersa a partire dai primi nei anni 80, quando i personal computer cominciavano ad essere più accessibili ai consumatori accrescendone però l’utilizzo in attività criminali, il campo dell’informatica forense è relativamente giovane rispetto ad altre scienze forensi. Nonostante intervenga oramai in moltissimi procedimenti giudiziari come uno dei principali mezzi di investigazione legato a diversi…