Questo intervento è a cura di Marianna Vintiadis e Antonio Giuseppe Di Pietro – Co-founders di “36 Brains”
Nel 2021 abbiamo assistito all’istituzione di una task force congiunta per le intercettazioni e le indagini tra le forze di polizia europee. Grazie all’uso di trojan e altre tecniche investigative avanzate, l’operazione Eureka ha portato a una delle più importanti vittorie nella lotta alla ‘Ndrangheta, conclusa nel maggio 2023 con 150 perquisizioni e 13 arresti in 8 diversi paesi.
Il panorama delle tecniche investigative non può che andare di pari passo con la tecnologia. Un ruolo fondamentale, in questo come in molti altri casi, è stato giocato dall’uso di strumenti informatici specializzati nell’estrazione silenziosa di informazioni dagli smartphone delle persone sottoposte alle indagini.
Un trojan è un tipo di virus informatico capace di infiltrare computer e smartphone senza che l’utente ne sia a conoscenza, per esfiltrare informazioni da remoto come messaggi, e-mail, immagini e contatti, ma anche accendere la fotocamera, il microfono o i servizi di localizzazione. Deve il suo nome al celebre Cavallo di Troia in quanto, per l’installazione, viene camuffato da una applicazione comune o da un servizio richiesto dall’utente.
I benefici di questa tecnologia per le attività di indagine sono molteplici.
Sul punto investigativo, il beneficio di queste tecnologie sta anche nella quantità e nella tempestività delle informazioni raccolte. Potendo acquisire informazioni sulla posizione in tempo reale, o aprendo il microfono per ascoltare conversazioni, rendono qualsiasi smartphone una “cimice mobile”, dando la possibilità alle forze dell’ordine di accedere ad informazioni utili prima di dover disporre pedinamenti, interrogatori o sequestri.
Da non sottovalutare, poi, è la capacità di incrociare le informazioni estratte dai dispositivi con quelle acquisite sul campo, dando alle forze dell’ordine la possibilità di sorvegliare sospettati a distanza o ricostruire rapidamente la rete di contatti.
Dal lato tecnico, poi, i trojan risiedono sul dispositivo, e possono quindi accedere alle stesse informazioni accessibili all’utente. I sistemi di sicurezza presenti ormai su qualsiasi dispositivo, infatti, usano la crittografia per rendere privati i nostri messaggi o le informazioni sulla navigazione on-line. Infatti, se intercettare un documento nel momento in cui viene caricato on-line può non essere un’operazione impossibile, i sistemi di crittografia utilizzati dai nostri dispositivi rendono il documento illeggibile da una persona diversa dall’utente. Poiché il trojan estrae l’informazione direttamente dall’interno del dispositivo, riesce ad accedere al documento come se ne fosse il legittimo proprietario.
Uno dei trojan più famosi attualmente in circolazione – Pegasus – è stato sviluppato nel 2011 da una società israeliana e venduto a moltissimi governi di tutto il mondo, portando all’intercettazione di centinaia di migliaia di smartphone, non solo nell’ambito della lotta alla criminalità o al terrorismo, ma anche per operazioni di sorveglianza a fini politici o autoritari. Esempi recenti, come l’intercettazione nell’ottobre 2023 di almeno due giornalisti indiani da parte del loro governo per conoscere le loro attività, sollevano giustamente domande sull’abuso di queste tecnologie.
Anche l’Italia ha il suo “trojan di Stato”, utilizzato quotidianamente nel contrasto alla criminalità organizzata e al terrorismo. Sono numerose le norme che ne regolano l’utilizzo, ma il funzionamento specifico di questi programmi non è ovviamente divulgato, comportando dei rischi importanti.
Regola fondamentale delle indagini digitali, se non di qualsiasi indagine, è l’inalterabilità della prova. Infatti, come l’arma del delitto deve essere prelevata con i guanti e riposta in un sacchetto di nylon, allo stesso modo i dati informatici devono essere trattati seguendo procedure tecniche specifiche che garantiscano la conservazione e che nessuno, nel corso dell’indagine, ha avuto modo di modificarli.
L’esempio estremo del trojan Pegasus ci ha mostrato come attraverso questi strumenti sia teoricamente possibile modificare, o addirittura inserire, dati su un dispositivo.
Per quanto la Polizia Giudiziaria e le aziende private che offrono servizi di intercettazione allo Stato siano serie, è importante che siano offerte garanzie normative e procedurali sulle modalità di estrazione delle prove digitali tramite i trojan.
Ad oggi, la tecnica di esfiltrazione dei dati più comune prevede che le prove acquisite vengano spostate in un’area nascosta del dispositivo, creata dal trojan, in attesa di essere estratte quando lo smartphone o il computer si collegano a una rete, wi-fi o cellulare. I dati, crittografati, vengono trasferiti al centro di controllo che provvede alla decrittazione e alla lettura, garantendo la riservatezza del trasferimento.
Il comportamento del trojan sul dispositivo, però, non è regolato in maniera puntuale, e tale informazione non è chiaramente esposta al vaglio pubblico.