Innovazione

Perché deve far riflettere il primo arresto per lo spyware Exodus

di

A preoccupare è anzitutto la destinazione di quanto veniva “intercettato” dal software-spia Exodus confezionato dall’azienda catanzarese. Il commento di Umberto Rapetto

Solo le fiabe finiscono con l’immarcescibile “e vissero felici e contenti”. Ma la nostra riservatezza personale non vive nelle favole e deve fare ogni giorno i conti con veri e propri stupri, quasi l’intimità della nostra vita sia la naturale destinataria di violenze e soprusi.

Difficile gioire di un arresto, ma è lecito compiacersi che la giustizia riesca a riconquistare i suoi spazi. E la soddisfazione è ancora maggiore in un caso in cui la turbativa della quiete digitale è stata involontariamente innescata da magistratura e intelligence con la richiesta di una soluzione tecnologica per acquisire dati e conversazioni di utilizzatori di smartphone e tablet.

L’arresto di uno dei titolari dell’azienda catanzarese che aveva confezionato “Exodus” è un segnale forte che testimonia la determinazione di ristabilire il giusto equilibrio tra le esigenze investigative, il diritto di ciascun cittadino alla tutela della riservatezza dei propri dati e il ristretto perimetro in cui devono essere mantenute le prove di reità di chi è stato sottoposto ad indagine.

Lo spyware in questione – realizzato per finalità istituzionali – ha finito con il trasformarsi in un micidiale strumento di indebita acquisizione e raccolta di informazioni, di loro successiva conservazione fraudolenta e infine di utilizzo “contra legem” di elementi la cui divulgazione o comunicazione potrebbe recare pregiudizio anche alle stesse indagini.

Sono almeno due gli input che inducono a riflettere su quanto è accaduto. Il dove sono finiti i dati e il come si innescava lo spyware.

IL DOVE

A preoccupare è, anzitutto, la destinazione di quanto veniva “intercettato” dal software-spia. I file ottenuti dalla forte capacità estrattiva e di “ascolto” del famoso e ormai famigerato programma venivano memorizzati su server “in cloud” geograficamente dislocati fuori dai confini nazionali.

Non inquieta una presumibile violazione in termini di privacy, ma terrorizza l’idea che dati ad elevata criticità come quelli giudiziari debbano essere trattati fuori dai sistemi informativi (peraltro abbondanti di risorse) del Ministero della Giustizia.

Sotto il profilo della disciplina in tema di protezione dei dati personali, infatti, sappiamo bene che è vietato il trasferimento di dati personali all’estero fuori dall’ambito comunitario, che risulta invece consentito solo nei Paesi che – extra UE – offrono garanzie di protezione proporzionali alle prescrizioni vigenti in Europa.

Proprio quelle “garanzie” fanno superare il limite territoriale. Una “decisione di adeguatezza” (atto di riconoscimento formale regolarmente previsto proprio per estendere le aree di legittimo trattamento laddove, anche extra UE, vi siano le medesime tutele su cui i cittadini europei possono contare in territorio comunitario) sbriciola il veto. Sulla base di quanto appena detto sono possibili i trasferimenti all’estero di dati personali se destinati ad Andorra, Australia – PNR, Canada, Faer Oer, Guersney, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera ed Uruguay.

I dati risucchiati da “Exodus” finivano in Oregon e – esclusi gli Stati Uniti d’America dall’elenco di qualche riga fa – l’infrazione alla disciplina in materia di privacy sembrerebbe planare. In realtà esistono ben due decisioni di esecuzione della Commissione Europea (la 1250 e la 2295, entrambe del 2016) che stabiliscono l’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.

Il problema, però, non è la sola riservatezza formalmente salvata da un intreccio di norme e provvedimenti. E’ mai possibile che materiale così delicato non possa essere custodito in server italiani a diretta disposizione dell’Autorità giudiziaria o degli organi di polizia da questa delegati? Per quale recondita ragione operazioni di una così evidente fragilità devono essere affidate a soggetti esterni di cui poco si sa e per i quali magari non si dispone di alcuna fondata referenza?

IL COME

La seconda fonte di timore è connessa alle modalità operative dello spyware.

Il programma spia era nascosto in uno o più cavalli di Troia, consistenti in app che – più o meno farlocche – offrivano servizi normalmente richiesti da chi utilizza lo smartphone non solo per telefonare.

Le app “avvelenate” venivano piazzate su Google Play e rese disponibili anche agli utenti Apple con piccoli sotterfugi. Il soggetto nel mirino degli investigatori riceveva un messaggio sms o su WhatsApp o tramite mail che – a volte apparentemente da parte di un amico o conoscente – suggeriva l’uso di una certa applicazione fornendo il link per l’agevole rintraccio online e la successiva rapida installazione. Dopo il trucco, entra in gioco la curiosità: la sollecitazione si trasforma rapidamente in una manciata di clic e il gioco è fatto. Lo spyware – veicolato attraverso la app “innocente” – finisce sul dispositivo target e il bersaglio è pronto per essere …”cucinato”.

Peccato che le app con la funzione di cavallo di Troia fossero pronte per il download da parte di chiunque. Migliaia di persone estranee ad inchieste o procedimenti, approdate sullo store di Google o incantante da un link per possessori di iPhone, hanno così scaricato e installato una o più app venefiche finendo con l’essere spiate…

Possibile che questa dinamica non fosse stata spiegata a chi ha commissionato l’impiego di Exodus? Non è stata fatta la benché minima valutazione dell’impatto che l’utilizzo di quello spyware avrebbe avuto su soggetti non coinvolti in alcuna indagine e magari addirittura in danno delle stesse Procure o degli uffici di Polizia?

IL DOPO

Lo scenario – comprensibilmente sconfortante – suggerirebbe seri approfondimenti. Occorre maturare la consapevolezza di quel che può accadere, focalizzare i pro e i contro di certe tecniche di indagine, immaginare la produzione “in casa” di certi strumenti, ipotizzare la formazione di specialisti interni alla Pubblica Amministrazione.

Ne abbiamo già parlato. C’è molto da fare, ma – soprattutto – non c’è più tempo da perdere.

ISCRIVITI ALLA NOSTRA NEWSLETTER

Iscriviti alla nostra mailing list per ricevere la nostra newsletter

Iscrizione avvenuta con successo, ti dovrebbe arrivare una email con la quale devi confermare la tua iscrizione. Grazie, il tuo Team Start Magazine

Errore

Articoli correlati