Dopo una serie di operazioni di polizia e di sentenze della Corte di Cassazione, l’argomento criptofonini ed intercettazioni è al centro delle attenzioni di diversi soggetti; non solo in Italia.
Abbiamo quindi scelto di approfondire il tema in questo articolo, “sfatando” miti e chiarendo quali siano, attualmente, gli equilibri tra capacità di criptazione delle comunicazioni e capacità di intercettazione delle comunicazioni criptate.
Cosa sono i criptofonini?
I criptofonini sono smartphones modificati e dotati di sistemi operativi e/o applicazioni che sfruttano un sistema di cifratura, rendendo le comunicazioni (più) difficili da intercettare.
I criptofonini permettono ai loro utilizzatori di usufruire di vari servizi, tra cui:
- chattare
- telefonare
- videochiamare
- navigare in internet
- cancellazione da remoto dei dati.
Gli smartphone così modificati consentono di mantenere un grado più elevato di riservatezza delle comunicazioni rispetto ai modelli “comuni“.
Le società che producono e/o commercializzano i criptofonini o i servizi offerti dai criptofonini sono – generalmente – legali: il problema è l’eventuale loro utilizzo per attività illecite.
La criminalità organizzata è infatti alla costante ricerca di tecnologie che permettano di effettuare comunicazioni riservate e di trasferire o riciclare denaro, senza che comunicazioni e trasferimenti possano essere intercettati.
La crittografia
Per comprendere gli argomenti in trattazione è necessario richiamare cosa si intenda per crittografia e quali tipi siano maggiormente utilizzati nell’ambito delle comunicazioni.
La crittografia è il metodo per rendere un messaggio non comprensibile od intelligibile a persone non autorizzate a leggerlo.
I tipi di crittografia principali sono i seguenti:
- crittografia simmetrica
- crittografia asimmetrica
- crittografia ellittica
- crittografia quantistica.
La crittografia simmetrica, essendo la più risalente nel tempo, è la tipologia più semplice e sfrutta una sola chiave (c.d. chiave privata o chiave segreta).
E’ quindi necessario che tutti gli utenti si scambino tale chiave e ne siano in possesso.
La crittografia asimmetrica si distingue per essere un tipo di cifratura che non si basa su un’unica chiave di codifica, bensì su due chiavi distinte ma correlate.
una chiave pubblica e una chiave privata: quella pubblica è condivisa tra mittente e destinatario e quella privata è individuale.
Per poter decifrare il messaggio è necessario essere in possesso di entrambe le chiavi e il livello di sicurezza garantito è quindi decisamente maggiore rispetto alla crittografia simmetrica.
In crittografia la crittografia ellittica (in inglese Elliptic Curve Cryptography o anche ECC) è una tipologia di crittografia a chiave pubblica basata sulle curve ellittiche definite su campi finiti.
Le chiavi pubbliche si basano sulla creazione di un problema matematico molto difficile da risolvere senza disporre di corrette informazioni. Ma con l’utilizzo di alcune informazioni (la chiave privata) diventa di semplice e rapida risoluzione.
La crittografia quantistica è un approccio alla crittografia che, nella fase dello scambio della chiave di decodifica, si serve dei principi della meccanica quantistica.
In questo modo si evita che la chiave possa essere intercettata senza che le parti coinvolte se ne accorgano.
La definizione esatta è distribuzione quantistica di chiavi, cioè una trasmissione di dati in grado di vantare una condizione di segretezza perfetta dal punto di vista matematico.
L’obiettivo è infatti creare una sorta di cifrario perfetto che non prevede un momento di scambio su un canale necessariamente sicuro.
Le tecniche di intercettazione e di decrittazione
Con l’evoluzione della tecnologia e delle capacità di criptazione dei messaggi, anche le tecniche di intercettazione e di decrittazione si sono necessariamente dovute evolvere.
Nelle reti 5G è stata adottata una tecnica di crittografia ellittica a chiave pubblica grazie alla quale le informazioni dell’identità di un apparecchio vengono sempre trasmesse in maniera criptata (c.d. SUCI o Subscription Concealed Identifier).
E’ però emerso, nel corso degli anni, che anche nei protocolli LTE 4G e 5G vi siano debolezze intrinseche.
Le reti 5G sono risultate vulnerabili ad attacchi di tipo “downgrade“, ossia quelli che costringono i computer a rinunciare a un tipo di connessione sicura crittografata ricorrendo a versioni più vecchie ed esponendosi così alla possibilità di sfruttamento delle vulnerabilità.
Questa tipologia di attacchi permette, in particolare, di bypassare le tecniche di protezione implementate nelle reti ed ottenere l’identificativo dell’utente tramite l’utilizzo di un jammer 5G.
I trojan
Un trojan o trojan horse (in italiano “cavallo di Troia”) è un tipo di malware.
Il trojan si nasconde all’interno di un altro programma, apparentemente utile e innocuo: l’utente, eseguendo o installando quest’ultimo programma, attiva inconsapevolmente anche il codice del trojan nascosto, che lo rende vulnerabile agli attacchi.
Esistono migliaia di trojan differenti, alcuni dei quali tanto sofisticati da riuscire ad eludere le attuali “difese”.
Inoltre, i trojan sono spesso utilizzati esclusivamente per ottenere l’accesso abusivo ad un sistema informatico e rendere così possibile installarvi altri softwares che ne consentano il controllo da remoto.
I captatori informatici
In Italia, sono stati introdotti nel nostro ordinamento dal D.Lgs. 29 Dicembre 2017 n. 216 i c.d. captatori informatici, ossia dei trojan tecnologicamente molto sofisticati.
I captatori informatici sono dei softwares fortemente invasivi che, installati su dispositivi mobili (smartphone, computer, tablet) accomunati da una multicanalità e funzionalità, permettono di assumerne il controllo.
Tanto da permettere non solo l’intercettazione di chiamate vocali, chat e messaggi istantanei; ma anche l’ascolto di conversazioni delle comunicazioni tra più persone che si trovano nelle vicinanze del dispositivo “infettato” e la visibilità dei suoi contenuti.
Al fine di regolamentare la materia e garantire l’autenticità dei dati captati, è stato adottato il DM 20 Aprile 2018 – Disposizioni di attuazione per le intercettazioni mediante inserimento di captatore informatico e per l’accesso all’archivio informatico.
Il suo art. 4 prevede in particolare che:
- comma I “I programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore informatico su dispositivo elettronico portatile sono elaborati in modo da assicurare integrità, sicurezza e autenticità dei dati captati su tutti i canali di trasmissione riferibili al captatore“;
- comma IV “I programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore consentono la trasmissione di tutte le informazioni necessarie a definire il contesto dell’acquisizione“.
Le tecniche di hacking
Oltre a trojan e captatori informatici, le tecniche di hacking – ossia le tecniche che consentono l’accesso ai sistemi informatici, la captazione delle informazioni ivi custodite ed il loro utilizzo – di cui si ha conoscenza sono svariate.
Di seguito vi elenchiamo quelle che risultano essere attualmente più diffuse.
Sono stati creati dispositivi, detti IMSI catcher, in grado di “deanonimizzare” gli identificativi dei dispositivi elettronici utilizzati per le comunicazioni tramite le reti 4G e 5G, agendo come false torri che si innestano tra le comunicazioni e le torri reali dei fornitori di servizi.
Gli IMSI catcher consentono di “spiare” i telefoni cellulari, individuando l’esatta posizione dello smartphone, leggendo messaggi e trafugando i dati e informazioni memorizzati nella memoria del cellulare.
Tali dispositivi sono in genere realizzati da produttori specializzati e sono principalmente usati dalle forze dell’ordine (Polizia, Carabinieri, Guardia di Finanza) per identificare e tracciare le SIM utilizzate da indagati.
Un IMSI catcher per sistemi LTE può essere realizzato anche utilizzando software di dominio pubblico. E quindi è possibile che tali dispositivi siano in possesso e vengano utilizzati anche da soggetti diversi dalle forze dell’ordine.
Vi è poi ToRPEDO, denominazione di una tipologia di attacco “apri pista”, che sfrutta una debolezza del protocollo di paging usato per notificare al dispositivo l’arrivo di una chiamata o di un messaggio di testo prima che questi raggiungano effettivamente il terminale.
Si è scoperto che effettuando e annullando diverse chiamate in un breve lasso di tempo è possibile innescare il protocollo di paging senza che il telefono ne dia evidenza al possessore: e così riuscire a tracciare di conseguenza la posizione del telefono “bersaglio”.
Vi sono poi altre due tecniche piuttosto diffuse:
- Piercer, che permette di apprendere l’identità IMSI del dispositivo nelle reti 4G
- IMSI-Cracking, che può decifrare un codice IMSI criptato sulle reti 4G e 5G.
L’utilizzo di prove nei procedimenti penali a carattere transfrontaliero
Il tema delle intercettazioni dei criptofonini e dell’utilizzo delle intercettazioni effettuate in altri Paesi europei è stato a lungo dibattuto dalla giurisprudenza.
Il caso di EncroChat ha permesso di individuare i criteri che devono essere applicati in materia.
EncroChat era un fornitore di servizi con sede in Europa, che offriva una rete di comunicazione e smartphones modificati che consentivano la comunicazione crittografata tra gli abbonati.
In un’indagine condotta dalle Autorità Giudiziarie francesi e belghe su un sospetto traffico di sostanze stupefacenti nei territori di alcuni Stati europei, la polizia francese è riuscita ad infiltrarsi nel sistema di comunicazione crittografato di EncroChat.
L’accesso è stato possibile grazie all’utilizzo di un “trojan”, sviluppato dalla squadra investigativa e caricato sul server di EncroChat.
Una volta caricato sul server, il trojan è riuscito ad infiltrare un numero considerevole di dispositivi telefonici di utenti coinvolti nelle indagini ed a decrittare le loro comunicazioni.
L’Autorità Giudiziaria tedesca ha deciso di avviare tre Ordini Europei di Indagine (OEI) verso la Francia (Stato di esecuzione delle intercettazioni) per ottenere la trasmissione dei dati EncroChat e l’autorizzazione ad utilizzare detti dati senza restrizioni.
La sentenza della Corte di Giustizia dell’Unione Europea
La vicenda dell’utilizzo di intercettazioni di comunicazioni criptate effettuate da parte dell’Autorità Giudiziaria tedesca, ossia di un’Autorità Giudiziaria differente da quella del Paese in cui sono state intercettate tali comunicazioni criptate, è stata portata avanti alla Corte di Giustizia dell’Unione Europea, che in data 30 aprile 2024 ha pubblicato la sentenza nella causa C-670/22.
Per la Corte Europea non osta all’emissione di un Ordine Europeo di Indagine il fatto che l’integrità dei dati ottenuti tramite intercettazione non possa essere verificata a causa della riservatezza delle basi tecniche che hanno permesso l’attuazione di tale intercettazione.
Ciò purché il diritto a un processo equo venga garantito nel corso del successivo procedimento penale.
L’integrità delle prove trasmesse può, in linea di principio, essere valutata solo nel momento in cui le Autorità competenti dispongono effettivamente delle prove di cui trattasi; e non nella fase anteriore dell’emissione dell’Ordine Europeo di Indagine.
La legittimità di un Ordine Europeo di Indagine diretto alla trasmissione di dati in possesso delle Autorità competenti dello Stato di esecuzione idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un telefono cellulare che permette, grazie a un software speciale e a un hardware modificato, una comunicazione cifrata da punto a punto, è soggetta alle stesse condizioni applicabili, se del caso, alla trasmissione di tali dati in una situazione puramente interna allo Stato di emissione.
Di conseguenza, se il diritto dello Stato di emissione subordina tale trasmissione all’esistenza di indizi concreti di commissione di reati gravi da parte dell’imputato o all’ammissibilità delle prove costituite dai dati di cui trattasi, l’adozione di un Ordine Europeo di Indagine è soggetta a tutte le medesime condizioni.
Il caso di Sky ECC
Un altro recente caso giudiziario che ha riguardato intercettazioni di comunicazioni criptate è stato al centro della cronaca e, poi, delle valutazioni dei Giudici italiani.
Si tratta del caso che ha coinvolto Sky Global Holdings Inc., una software house canadese che ha sviluppato Sky ECC, piattaforma di messaggistica per crittografare comunicazioni end-to-end, compatibile con i sistemi operativi BlackBerry OS, Android e iOS.
La piattaforma, oltre a permettere lo scambio di messaggi criptati tra smartphones, consentiva di eliminare automaticamente e da remoto i dati contenuti sui cellulari.
Nel 2021, le forze dell’ordine belghe, olandesi e francesi hanno annunciato di essere riuscite a decifrare le conversazioni scambiate tramite la piattaforma Sky ECC.
Una notizia che ha fatto scalpore; ed è stata accompagnata dalla più grande operazione di polizia mai realizzata in Belgio, con l’impiego di 1600 agenti ed il sequestro di 17 tonnellate di cocaina.
Si stima che, nel momento in cui è stata violata, la piattaforma Sky Ecc avesse complessivamente, nel mondo, oltre 170 mila utenti: di cui 70mila in Europa e 12-15mila in Italia.
A oggi, si tratta dell’operazione tecnologica più sofisticata condotta in Europa contro la criminalità organizzata ed ha dato vita a decine di indagini in molti Paesi del Vecchio continente.
In Italia, la decrittazione delle conversazioni trasmesse tramite Sky ECC è stata la chiave per arrestare il boss della ‘ndrangheta Rocco Morabito (il secondo latitante più ricercato d’Italia) e Vincenzo Pasquino (uomo di fiducia di Morabito in Piemonte).
Le metodologie utilizzate dalle forze dell’ordine per riuscire ad intercettare le conversazioni sulla piattaforma di Sky ECC non sono state mai comunicate. E la Francia – Paese in cui si trovavano i servers sui quali transitavano le conversazioni europee – ha imposto il segreto di Stato.
Parrebbe che le autorità francesi siano riuscite a catturare e immagazzinare tutte le informazioni installando sui servers di Sky ECC delle sonde IP.
Gli investigatori hanno poi trovato la soluzione per decrittare le informazioni acquisite dai servers analizzando le memorie RAM installate, nelle quali erano immagazzinate tutte le informazioni necessarie al sistema per funzionare.
Il metodo utilizzato per la decrittazione tramite analisi delle memorie RAM rimane, ancor oggi, un mistero.
Segreto di Stato e legittimità delle intercettazioni
L’apposizione del segreto di Stato da parte della Francia sulla tipologia di tecnica utilizzata per effettuare l’intercettazione delle comunicazioni sui servers di Sky ECC e la loro decrittazione ha generato dubbi circa la legittimità dell’utilizzabilità della documentazione così acquista nei processi in corso nel nostro Paese.
Sono dovute intervenire, a più riprese, le Sezioni Unite della Corte di Cassazione (con le sentenze 23755 e 23756 del 14 Giugno 2024) per dirimere tali problematiche.
Le Sezioni Unite hanno affermato i seguenti principi di diritto:
- n materia di ordine europeo di indagine, le prove già in possesso delle autorità competenti dello Stato di esecuzione possono essere legittimamente richieste ed acquisite dal pubblico ministero italiano senza la necessità di preventiva autorizzazione da parte del giudice del procedimento nel quale si intende utilizzarle
- L’utilizzabilità del contenuto di comunicazioni scambiate mediante criptofonini, già acquisite e decrittate dall’autorità giudiziaria estera, in un procedimento penale pendente davanti ad essa, e trasmesso sulla base di ordine europeo di indagine, deve essere esclusa se il giudice italiano rileva che il loro impiego determinerebbe una violazione dei diritti fondamentali, fermo restando che l’onere di allegare e provare i fatti da cui inferire tale violazione grava sulla parte interessata
- L’impossibilità per la difesa di accedere all’algoritmo utilizzato nell’ambito di un sistema di comunicazioni per criptare il testo delle stesse non determina una violazione dei diritti fondamentali, dovendo escludersi, salvo specifiche allegazioni di segno contrario, il pericolo di alterazione dei dati in quanto il contenuto di ciascun messaggio è inscindibilmente abbinato alla sua chiave di cifratura, ed una chiave errata non ha alcuna possibilità di decriptarlo anche solo parzialmente.
Le ultime novità normative in materia
Infine, segnaliamo che la materia è stata recentemente oggetto di un intervento normativo.
Il D.L. 10 Agosto 2023 n. 105 ha modificato l’art. 267 c.p.p. e previsto che “Il decreto che autorizza l’intercettazione tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile espone con autonoma valutazione le ragioni che rendono necessaria, in concreto, tale modalità per lo svolgimento delle indagini“.
Ciò per prevenire un utilizzo indiscriminato di tali tecnologie, che hanno un impatto fortissimo sulla privacy delle persone oggetto di indagini.
Per la relativa consulenza od assistenza nell’ambito degli argomenti trattati in questo articolo, potete contattare l’avv. Andrea Spreafico.