Il software spia (captatori informatici) impiegati dagli inquirenti per le indagini, secondo il Garante della privacy, richiederebbero una normativa più precisa che azzeri ogni possibilità di "sorveglianza massiva". Il tema è caldissimo soprattutto a seguito del caso "Exodus": un software spia sviluppato da un fornitore italiano per Polizia, Carabinieri e GdF, che inaspettatamente è stato individuato in una ventina di app gratuite (e apparentemente innocue) disponibili sul Play Store di Google.
Il presidente del Garante della Privacy Antonello Soro, in scadenza di mandato a giugno, la settimana scorsa ha scritto una nota per il Parlamento e il Governo che sollecita un intervento sulle norme riguardanti i "trojan" impiegati per le intercettazioni ambientali via smartphone, PC e altri dispositivi. A suo parere il loro impiego dovrebbe essere regolato da ulteriori "specifiche cautele", poiché attualmente la legislazione e le indicazioni della Cassazione hanno riguardato solo una parte dell'operatività.
In sintesi Soro sottolinea che lo scenario è preoccupante perché la capacità intrusive di questi software sono elevate, i dati possono finire su server extra-UE, la presenza su piattaforme come il Play Store non dovrebbe essere contemplata e dovrebbe essere vietata la possibilità di cancellare le tracce della presenza di captatori precedentemente impiegati. Senza contare l'esigenza di avere "un unico protocollo di trasmissione e gestione dei dati destinati a confluire sui server installati nelle sale intercettazioni delle Procure della Repubblica per la loro conservazione, evitando possibili disomogeneità nei livelli di sicurezza", "software gestionali idonei a consentire l’analisi dei dati inerenti le caratteristiche dell’accesso ai server utilizzati per l’attività intercettativa da parte dei fornitori privati" e "criteri di gestione, da parte di ciascun Procuratore della Repubblica delle intercettazioni eseguite da altri uffici giudiziari".
L'esperta Carola Frediani – che redige settimanalmente una fra le newsletter più apprezzate nel mondo della cyber-sicurezza italiana - dopo un'attenta analisi della posizione del Garante, ha ricordato che ogni procura oggi impiega i fornitori che preferisce e impiega le applicazioni potenzialmente in modalità diverse. Citando l'avvocato Giovanni Battista Gallus ha ricordato che "il captatore deve essere conforme al decreto ministeriale, ma la norma non prevede sanzioni per i captatori non conformi, e così facendo resta la tentazione di utilizzarli in maniera particolarmente invasiva pur di portare a casa le prove".
Dello stesso avviso l'avvocato Giuseppe Vaciago che ha spiegato come Exodus sia "la conseguenza di una scarsa attenzione del Legislatore a imporre chiari paletti su tale materia". Insomma, l'esperto punta il dito sul centro nevralgico della questione: "Interrogarci se sia corretto che società private che producono e commercializzano software non debbano essere regolamentate in modo dettagliato, esattamente come accade nel settore delle armi".