Nell'ecosistema della sorveglianza informatica, l’Italia è già famosa in tutto il mondo grazie ad alcune aziende private che nel tempo si sono specializzate nella produzione di software e tecnologie per la sorveglianza — come Hacking Team e Area Spa, giusto per citarne due coinvolte nella vendita di software di sorveglianza a regimi autoritari.Anche gli operatori telefonici italiani sono direttamente coinvolti nelle operazioni di intercettazione e sorveglianza, e il Ministero della Giustizia ha anche un listino prezzi per queste prestazioni: un vero e proprio catalogo attraverso il quale le autorità possono, per esempio, pagare un operatore telefonico 15€ per intercettare l'SMS di un sospettato.
Pubblicità
Segui Motherboard Italia su Facebook e Twitter.A rivelare alcuni dettagli su queste operazioni è stata un’audizione del Company Security Governance di Wind Tre Spa riportata dal Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR). Nel documento si legge che per quanto riguarda la sfera dei captatori informatici — meglio definiti come malware di Stato — gli operatori di telecomunicazioni vengono interpellati per facilitare l'infezione di dispositivi di terzi con il software infetto.Queste operazioni “consistono soprattutto nell’ampliamento della banda e nell’invio di messaggi per richiedere determinate attività di manutenzione,” prosegue il testo.
Da questo passaggio sembra quindi che gli operatori telefonici possano inviare SMS di manutenzione per facilitare l’installazione del malware sui dispositivi degli utenti. In pratica, quando le autorità lo ritengono opportuno ai fini delle investigazioni, potrebbero interpellare gli operatori telefonici per chiedere direttamente a loro di infettare un telefono di un loro cliente.Non ci troviamo di fronte al primo caso in cui un operatore di telecomunicazioni partecipa attivamente all’inoculazione di malware: a settembre dello scorso anno, in un report di ESET, un’azienda di sicurezza informatica, è stata segnalata la possibilità che due provider internet di due diverse nazioni stessero inserendo lo spyware prodotto dall’azienda FinFisher all’interno di connessioni internet degli utenti quando questi stavano scaricando software per Windows.
Pubblicità
Se in quel caso non sono stati rivelati i paesi coinvolti, a marzo 2018 il Citizen Lab ha pubblicato un’altra ricerca in cui si dimostra che operatori telefonici presenti in Turchia e in Egitto introducono attivamente malware all’interno delle connessioni degli utenti.
Questo tipo di attività di inoculazione potrebbe effettivamente essere plausibile in quanto, per legge, gli operatori telefonici sono tenuti a offrire delle prestazioni obbligatorie di giustizia.All’interno del codice delle comunicazioni elettroniche, infatti, l’articolo 96 introduce le prestazioni obbligatorie a fini di giustizia “effettuate a fronte di richieste di intercettazioni e di informazioni da parte delle competenti autorità giudiziarie.”Rientrano in queste prestazioni la richiesta di informazioni relative alle chiamate effettuate, quelle senza risposta, la localizzazione delle celle a cui si è connesso il cellulare, ma anche tutti i metadati relativi alle intercettazioni dei flussi internet e ora, secondo quanto emerso dall’audizione, anche la possibilità di inviare sms per facilitare l’installazione di captatori informatici.Secondo la recente modifica al codice di procedura penale, l’uso dei captatori informatici per l’acquisizione di audio ambientali è previsto anche per reati minori, come quelli correlati a sostanze stupefacenti e crimini la cui pena non supera i cinque anni di reclusione — oltre ai casi di mafia e terrorismo. Purtroppo, però, come abbiamo già sottolineato in precedenza, la nuova legge non regola chiaramente molti aspetti dell’uso dei malware di Stato, come ad esempio la raccolta degli screenshot dai dispositivi.Quando le autorità lo ritengono opportuno ai fini delle investigazioni, potrebbero interpellare gli operatori telefonici per chiedere direttamente a loro di infettare un telefono di un loro cliente.
Pubblicità
Gli operatori telefonici, a livello pratico, sono dei concessionari di un servizio pubblico: la rete telefonica nazionale infatti è di proprietà dello stato e viene concessa in gestione ad aziende private, come con le aziende locali per servizi acqua e gas. Per questo motivo, gli operatori telefonici si trovano nella posizione di essere soggetti a degli obblighi di giustizia, e pertanto vengono simbolicamente compensati per il servizio richiesto dalle autorità.Nel decreto del 28 dicembre 2017, relativo al riordino delle spese per le prestazioni di giustizia, si specifica infatti il listino dei prezzi per queste prestazioni obbligatorie: si vanno dai 15€ per le intercettazioni telefoniche e di flusso di comunicazione internet ai 45€ per “l’oscuramento dei siti o dei servizi allocati o comunque riferibili al dominio di un operatore italiano.”
Una voce del listino delle autorità.
Fra le varie tipologie di prestazioni obbligatorie vi è anche l’assistenza per ogni tipo di attività necessaria per “le funzionalità dei servizi di intercettazione o monitoraggio di comunicazioni elettroniche non diversamente realizzabili.” Incluse in questa tipologia vi è anche l’aumento del bundle dei dati internet, citato anche nell’audizione al COPASIR — necessario per evitare che il soggetto che si vede monitorato dal malware si accorga del traffico in eccesso generato dal proprio dispositivo. Non vi è però alcun riferimento esplicito alle attività di inoculazione.
Pubblicità
Abbiamo contattato gli uffici stampa di Wind, Tim, Vodafone e Fastweb per chiedere se effettivamente si trovano a dover inviare sms per facilitare l’installazione dei malware nei dispositivi degli utenti e per chiedere statistiche relative alle prestazioni obbligatorie di giustizia che svolgono annualmente.Vuoi restare sempre aggiornato sulle cose più belle pubblicate da MOTHERBOARD e gli altri canali? Iscriviti alla nostra newsletter settimanale.Allo stesso tempo abbiamo inviato richieste di chiarimenti al Ministero della Giustizia, presso il quale, secondo il decreto di dicembre 2017, dovrebbe essere stato istituito un tavolo tecnico permanente “per consentire un costante monitoraggio del sistema delle prestazioni obbligatorie.”L’ufficio stampa di Fastweb ha precisato: le attività di inoculazione “non sono svolte da Fastweb ma direttamente dall’autorità giudiziaria. Quando richiesto, noi mettiamo solo a disposizione la rete.” Per tutte le altre informazioni o servizi, invece, hanno suggerito di contattare direttamente il Ministero della giustizia.Al momento della pubblicazione di questo articolo non abbiamo ancora ricevuto risposte né dagli altri operatori telefonici né dal Ministero.Segui Riccardo su Twitter: @ORARiccardo