Intercettazioni e trojan di Stato, strumenti per la sicurezza nazionale
Buon sabato e ben ritrovato caro cyber User. La settimana appena trascorsa, segnata dall'arresto di uno dei più rilevanti boss mafiosi della storia d'Italia, Matteo Messina Denaro, ha generato un importante flame mediato che credo valga la pena analizzare. Le intercettazioni e i trojan (captatori) utilizzati ai fini d'indagine.
Il flame di cui accennavo si è riacceso proprio a seguito di alcune affermazioni fatte dall'attuale ministro della giustizia (governo Meloni 2022) Carlo Nordio già nel mese di dicembre 2022. La sua proposta è di "una revisione" della legge normativa che regolamenta le intercettazioni sia in ambito di quando e come possono essere operate, sia in ambito di loro utilizzo e diffusione a mezzo stampa. Già al tempo queste affermazioni preoccuparono non poco esperti e magistrati, ma da lunedì appena dopo lo storico arresto, il riflettore si è automaticamente rivolto a Nordio con le parole del procuratore capo di Palermo, Maurizio De Lucia che afferma, "senza intercettazioni non si possono fare le indagini di mafia. Sono uno strumento indispensabile e irrinunciabile nel contrasto alla criminalità organizzata e alla mafia". Da li in poi una serie di scuse e correzioni di tiro a livello politico, hanno cercato di mitigare quella che il destino ha confezionato come sventure, per il ministro Nordio.
Questa premessa era doverosa per inquadrare il clima di questa settimana che, anche a livello tecnico, si è fatto sentire sul tema intercettazioni. Tanto che in Senato, questo martedì 17/01 si è svolta una interessante audizione in Commissione Giustizia. Di questa audizione consiglio l'ascolto dell'intervento di Paolo Dal Checco (consulente informatico forense), che ne delucida le criticità che necessitano di essere normate. Qui trovate il video (dal minuto 1:26:00).
L'intercettazione investigativa è una delle tecniche utilizzate dalle forze dell'ordine e dai servizi segreti per raccogliere informazioni su individui sospettati di attività illegali. Queste tecniche possono includere l'utilizzo di apparecchiature di ascolto e di sorveglianza, nonché l'accesso ai dati personali e alle comunicazioni degli individui sospettati.
Un trojan di stato, o malware di stato, è un software dannoso progettato e utilizzato dalle autorità governative per raccogliere informazioni su individui o organizzazioni. Questi programmi possono essere installati sui dispositivi degli individui sospettati attraverso una varietà di mezzi, come l'ingegneria sociale o la vulnerabilità del sistema. E fare praticamente tutto su quel dispositivo.
Quello che invece accade attualmente (e non solo in Italia), non rispecchia esattamente questo concetto appena espresso. In effetti il software dannoso, normalmente viene progettato da società terze (esterne allo Stato) e utilizzato non solo da tecnici di autorità governative, ma inevitabilmente anche da tecnici delle società che lo hanno progettato. In generale, l'utilizzo di intercettazioni investigative e di trojan di stato è una questione complessa che solleva preoccupazioni importanti per la privacy, le libertà civili e la sicurezza dei dati. A parer mio, le solleva esattamente per questa messa in pratica del concetto di trojan di Stato, che di Stato in fin dei conti non è. A questo punto sarebbe interessante, oltre che implementare norme essenziali come quelle relative alla tracciatura certificata di tutto quello che fa (e che gli si chiede di fare) il captatore, suggerite da Dal Checco, anche chiedersi come mai il trojan di Stato è di società private estranee alle autorità statali? Potrebbe essere utile strutturare tali software internamente allo Stato, farli diventare una cosa governativa, e non più in mano ad una manciata di aziende private terze, delle quali non abbiamo contezza e garanzia in termini di utilizzo (o potenziale utilizzo), esattamente come un'arma in mano unicamente a nuclei speciali di determinati autorità statali. Se posso fidarmi di entrare in ascensore con un poliziotto armato (in servizio), posso fidarmi anche di un nucleo che fa indagini con malware, contro individui sospetti.
A questo proposito segnalo la puntata di questo venerdì 19/01 di Agorà RAI che, con Pierluigi Paganini e Umberto Rapetto, che affrontano proprio questo tema (minuto 11 circa).
Ci sono infatti anche preoccupazioni per la sicurezza dei dati raccolti attraverso queste tecniche. Gli hacker e le organizzazioni criminali possono utilizzare le informazioni raccolte dalle autorità governative (per il tramite delle società terze) per commettere atti illeciti, come il furto di identità o l'estorsione, compromettendo l'azienda terza o chi ne gestisce i dati. Se il tutto fosse confinato ad un perimetro statale (piuttosto che a tante piccole realtà), presumibilmente il rischio dovrebbe venir mitigato proprio dallo Stato che, grazie alle strategie di sicurezza delle quali dispone (ACN, CSIRT, Agid, CERT-Agid), potrebbe effettivamente minimizzarne le mani che ci entrerebbero a contatto. Lo chiamiamo trojan di Stato, ma per ora, di Stato non è.
Sicuramente è (e sarà sempre) importante che le autorità governative adottino le misure necessarie per garantire che queste tecniche vengano utilizzate in modo responsabile e trasparente, e che vengano rispettati i diritti delle persone, proprio perché non siamo in Qatar e, se il pericolo è diventare tali, è bene che vengano mantenute tutte le attuali norme in materia di sviluppo tecnologie per la pubblica amministrazione, sotto forma di open source, affinché venga mantenuta la trasparenza.
Ovviamente queste sono mie riflessioni, nate dal mio interesse di ricerca sulla sicurezza informatica e dagli eventi che hanno segnato la cronaca recente, fatemi sapere cosa ne pensate, anche tramite canali social.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.