Che fine ha fatto il trojan di Stato?

Dopo esser stato sbattuto fuori dalla porta circa un anno fa, il dibattito sul cosiddetto "trojan di stato" è rientrato in queste settimane dalla finestra come se niente fosse successo e non fossero già stati espressi forti dubbi sul suo impiego.

Prima di continuare facciamo un passo indietro: in informatica i trojan sono programmi che si installano in maniera silenziosa all'interno di un computer, magari nascosti dentro un eseguibile occultato in un file di testo o in un finto programma per il file sharing — da cui il riferimento al Cavallo di Troia ·— e permettono a un soggetto esterno di monitorare in vari modi le attività all'interno di un computer.

I file di questo tipo sono tantissimi: i keylogger, per esempio, registrano ogni tasto premuto dall'utente—Ci sono poi gli sniffer, che analizzano i pacchetti di dati per capire dove siano diretto e da quale terminale arrivino, mentre altri permettono invece il controllo totale della macchina infetta, con accesso ai dati e possibilità di modificarli o crearne di nuovi. L'utilizzo nel mondo degli hacker va dall'ottenimento di password o codici bancari fino al controllo delle webcam, passando per il banale furto di dati.

Si tratta, quindi, di uno strumento per violare, intercettare e perquisire i computer senza dare nell'occhio—Proprio per questo i trojan possono anche essere un potente mezzo investigativo e di controllo. Grazie a Wikileaks sappiamo che sono moltissimi i governi che lo utilizzano abitualmente non solo nell'ambito di operazioni anti-terrorismo, ma anche per lo spionaggio industriale o per tenere sotto controllo eventuali nemici politici.

Nel luglio del 2015, quando scoppiò il caso Hacking Team si scoprì che l'azienda italiana di sorveglianza informatica aveva tra i suoi clienti i governi del Sudan, del Bahrein e del Kazakistan, ai quali aveva venduto software di monitoraggio per tenere sotto controllo email, conversazioni sui social network, sms, telefonate, cronologia internet, videocamere e sistemi GPS di eventuali obiettivi politici. Fu proprio in quei giorni che il Garante per la Privacy Antonello Soro si espresse a sfavore dei trojan di Stato, "Il quadro di garanzie del nostro ordinamento è stato pensato per tecnologie in cui il confine tra uso lecito e illecito era evidente. Ora il limite è sfumato, per cui un simile prodotto tecnologico mi fa una grande paura."

E proprio Soro, insieme all'ex deputato di Scelta Civica Stefano Quintarelli, fu nel marzo dell'anno scorso uno dei principali oppositori dell'introduzione del trojan di Stato anche in Italia. Sull'onda mediatica generata dagli attacchi terroristici degli ultimi anni si cercò infatti di legalizzarne l'utilizzo indiscriminato da parte delle Forze dell'Ordine, modificando col Decreto Antiterrorismo il comma 1 dell'articolo 266-bis del codice di procedura penale, dando il via libera al famigerato "trojan di Stato".

La modifica così recitava: "All'articolo 266-bis, comma 1, del codice di procedura penale, dopo le parole: «è consentita l'intercettazione del flusso di comunicazioni relativo a sistemi informatici o telematici ovvero intercorrente tra più sistemi», sono aggiunte le seguenti: anche attraverso l'impiego di strumenti o di programmi informatici per l'acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico."

Lo Stato avrebbe avuto dunque via libera per qualunque tipo di intercettazione informatica, non solo quelle legate strettamente al terrorismo. In un paese come il nostro, che da sempre ha dimostrato un utilizzo decisamente disinvolto di uno strumento come quelloo delle intercettazioni telefoniche — solo due anni fa erano il doppio rispetto a quelle degli altri tre principali paesi europei messi insieme — dare il via libera a uno strumento così potente potrebbe generare ripercussioni non solo sulla privacy dei cittadini, ma anche sulle politiche sociali riguardanti il tema.

Nonostante lo stop arrivato l'anno passato, causato da due emendamenti di Quintarelli, e il parere sfavorevole di Matteo Renzi, i sostenitori del trojan di Stato non hanno fatto passare neppure un anno e a fine gennaio è comparsa in aula una proposta di legge che ha seguito di poco la discussa nomina (poi congelata) di Marco Carrai come capo della neonata Agenzia per la sicurezza informatica, che avrà poteri equiparabili a quelli dei servizi segreti.

L'attuale proposta di legge è promossa da Maria Gaetana Greco, deputata del PD e sindaco del paese di Agira, , che finora non si era mai espressa in materia ed è sostanzialmente un copia e incolla di quanto proposto a marzo 2015, "Al comma 1 dell'articolo 266-bis del codice di procedura penale sono aggiunte, in fine, le seguenti parole: «anche attraverso l'impiego di strumenti o di programmi informatici per l'acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico»."

Quindi, la deputata Greco ha pensato bene di ignorare le osservazioni fatte circa un anno fa e un dibattito che dura ormai da diverso tempo, riproponendo in maniera quasi identica la proposta dell'anno scorso, ovvero quella che prevede un utilizzo deglistrumenti informatici senza alcun tipo di limitazione o controllo. In teoria, dunque, si potrebbero utilizzare trojan di Stato anche per i reati minori, come la diffamazione online, senza alcuna garanzia, però, sul modo in cui vengono trattati i dati. Che succede se, per esempio, spiando nelle mail vengono rivelati dati sensibili di persone terze? Chi ci assicura che un trojan non venga usato per fabbricare delle prove?

Domande a cui ovviamente la proposta di legge non risponde e che probabilmente rimarranno inascoltate, nella speranza che anche stavolta non se ne faccia di niente.