Recenti attività investigative condotte dal Servizio Centrale di polizia giudiziaria di questa Direzione, nonché dalle articolazioni territoriali DIA, hanno permesso di rilevare un crescente impiego di criptotelefoni da parte dei soggetti appartenenti a sodalizi di criminalità organizzata di matrice campana, calabrese, siciliana ed anche straniera, segnatamente albanese.
Pertanto, in considerazione dell’esperienza di cui in premessa, si è reso necessario dapprima avviare specifiche iniziative tese a delineare in maniera compiuta ed esaustiva la specificità della tecnologia crittografica. Successivamente, rimodulare le indagini, prevedendo attività investigative che siano all’avanguardia e funzionali ad implementare servizi d’intercettazione in grado di decifrare le conversazioni criptate degli indagati.
Sul punto, detta circostanza ha posto in rilevo criticità emergenti anche sul piano giuridico. Quest’ultimo aspetto si è profilato in particolar modo in una recente pronuncia della Corte di Cassazione1 che ha messo in discussione la legittimità dell’acquisizione di fonti di prova ottenute tramite attività investigative delle Forze di polizia di alcuni Stati Membri dell’U.E. che hanno decifrato conversazioni intercorse con l’utilizzo dei criptotelefoni.
In particolare, la Suprema Corte ha posto in rilievo la necessità che la compiutezza del diritto di difesa si realizzi soddisfacendo due requisiti nell’ambito del contraddittorio delle parti: il vaglio del materiale acquisito e la conoscenza delle modalità con cui sono state acquisite le fonti di prova; nel caso di specie provenienti dalla messaggistica crittata, in ossequio a quanto disciplinato dall’art. 191 del c.p.p..
La problematica in argomento, di carattere giuridico, si è riverberata, e si riverbera, sulle attività investigative passate, presenti e future, che devono tener conto di fonti di prova utili ai fini del consolidamento delle fonti di prova, condivise dalle Forze di polizia e dalle Autorità giudiziarie, ma che provengono da acquisizioni investigative di altri Paesi dell’UE ove, in tema di comunicazioni criptate vige una legislazioni diversa rispetto al nostro Paese e che per tale motivo, involontariamente, ostacola la raccolta di indizi utili ai fini della colpevolezza della persona sottoposta ad indagini.
Il tema dell’impiego di criptotelefoni da parte della criminalità organizzata sottende ad una tematica più ampia, connessa da una parte all’utilizzo della crittografia, di cui i criptotelefoni sono una delle possibili applicazioni, da parte di gruppi criminali autoctoni, nonché stranieri; dall’altra all’armonizzazione dei singoli ordinamenti nazionali al fine di delineare una risposta investigativa comune, che possa fornire alle forze di polizia strumenti d’indagine ritenuti accettabili al di fuori dei confini nazionali ed alle Autorità giudiziarie fonti di prova utilizzabili nel processo.
Al riguardo, il consolidamento delle diverse legislazioni degli Stati Membri dell’UE ha determinato una dicotomia sull’approccio ordinamentale, poiché in gioco vi è il bilanciamento di due interessi fondamentali: da una parte la necessità degli Stati Membri di proteggere i propri cittadini da trattamento illecito di dati che ne possano minare il compiuto godimento dei diritti fondamentali; dall’altra, il loro diritto al rispetto della privacy, per scongiurare attività investigative indiscriminate che possano captare anche conversazioni di terzi non utili o non utilizzabili.
Dalla coesistenza di esperienze e normative diversificate consegue quanto segue.
Per un verso i Paesi con una legislazione “avanzata” hanno affrontato per primi il problema della crittografia al servizio delle organizzazioni criminali (si tratta degli Stati Membri Belgio, Irlanda, Gran Bretagna e Francia) con l’emanazione di previsioni normative che consentono, con l’autorizzazione dell’Autorità giudiziaria, di “aggredire” le comunicazioni crittate, anche “live”, con strumenti fortemente invasivi, e senza particolare differenziazioni di target, in quanto per quella legislazione l’utilizzo della crittografia è di per sé reato quando le applicazioni che la utilizzino, manchino di preventive autorizzazioni governative oppure vengano utilizzate per finalità manifestatamente illecite.
L’indagine francese sulla piattaforma “ENCROCHAT” è stata emblematica ed esemplificativa in tal senso.
Nell’ordinamento d’oltralpe è previsto che per l’impiego della crittografia per finalità diverse dal garantire l’integrità e l’autenticità dei dati – quest’ultima funzionalità nel nostro Paese è garantita dal servizio di “firma digitale” (sistema di crittografia asimmetrica a chiave pubblica) – è necessaria una preventiva comunicazione d’assenso, assimilabile ad una autorizzazione, da parte del Primo Ministro con il deposito del codice sorgente dell’applicazione.
Diversamente, rispetto ai Paesi con una normativa di settore che vieti specificatamente l’indebito utilizzo della crittografia, vi sono altri Stati Membri, tra i quali l’Italia, che si avvalgono di previsioni normative di carattere generale, senza differenziazioni specifiche valide per la crittografia utilizzata in modo illecito.
Nel caso di specie, le problematiche investigative, sottese all’utilizzo dei criptotelefoni da parte delle organizzazioni criminali, possono esser superate, nell’ordinamento italiano, mediante l’inoculazione, autorizzata da parte dell’Autorità giudiziaria, del captatore informatico.
Il risultato a livello investigativo è un approccio differenziato in relazione alla forza di polizia di ciascuno Stato Membro, così come l’utilizzazione di strumenti tecnologici altrettanto differenti, in relazione alla presenza o meno di specifiche previsioni normative relative all’impiego della crittografia per finalità illecite.
Le criticità investigative con cui si confrontano le Forze di Polizia e le Autorità giudiziarie nazionali sono sia di carattere giuridico sia di tipo tecnologico e l’una richiama l’altra.
Per quanto riguarda il livello giuridico, lo studio del consistente patrimonio informativo acquisito nell’ambito di attività investigative estere sulle chat crittate, tra cui anche conversazioni scevre da contenuti illeciti, ne comporta l’armonizzazione con l’impiego di tecnologie altamente invasive.
Attualmente, nell’ordinamento italiano non è consentita l’intercettazione indifferenziata, senza che vi sia un target preciso e ben definito.
Sul versante della tecnologia occorre individuare le risorse maggiormente idonee e performanti per decifrare le conversazioni crittate.
A legislazione vigente, le possibilità di decodificare un sistema di cifratura a chiave pubblica o privata, i criptotelefoni che utilizzano il sistema a chiave pubblica sono diversi.
Il primo, diretto, è il cosiddetto “attacco a forza bruta” ovvero l’impiego di risorse di calcolo infinite per “rompere” l’algoritmo di cifratura di una chiave. E’ un sistema efficace in astratto, ma non praticabile per la lunghezza delle chiavi di cifratura direttamente riferibile all’evoluzione della tecnologia, ma soprattutto non compatibile con i tempi di un’indagine di polizia.
La seconda possibilità di decriptazione è quella di provare ad “indovinare la chiave”. Preliminarmente è necessario distinguere tra “passcode”, un sistema di numeri, “password”, caratteri alfanumerici e simboli e “passphrase”, l’utilizzo di frasi di senso compiuto. Nell’impiego dei criptotelefoni è possibile trovarsi ad affrontare tutte e tre le protezioni e a dover decodificare combinazioni di caratteri, numeri e simboli, nonché sintagmi sempre più articolati ai quali corrispondono chiavi di cifrature sempre più lunghe e complesse: un “passcode”, quale codice di sblocco dell’apparato telefonico, una password per accedere all’app del servizio di criptotelefono ed un passphrase per creare una chiave di cifratura.
Per provare a bypassare tutti i codici di blocco occorrerebbe impiegare le tecniche usualmente utilizzate da cybercriminali ma con finalità di giustizia: il cosiddetto hacking etico.
In primis il “social engenenering” ovvero una serie di tentativi tecnici che possano spingere il target a fornire informazioni personali che possano consentire l’accesso ad un device ovvero funzionali a poter installare sull’apparato un captatore informatico. Sullo stesso piano tecnologico teso a sfruttare le debolezze del target ma orientate al device piuttosto che all’utilizzatore, vi sono le cosiddette “vulnerabilities”, ovvero dei difetti della sicurezza di programmazione dei sistemi operativi ove risiedono le “app” dei criptotelefoni.
In tal caso, una possibilità di intrusione potrebbe essere dettata dall’installazione di un sistema operativo che preveda un record della memoria principale in cui si depositi il codice di cifratura della app del criptotelefono prima che venga cifrato. La chiave di cifratura sarebbe possibile recuperarla successivamente mediante l’analisi forense. Il sistema delle vulnerabilities richiede, però, una conoscenza approfondita dei linguaggi di programmazione ed un aggiornamento continuo.
Un’ulteriore possibilità di decrittazione di un sistema di cifratura consiste nel poter accedere al “plaintext” ovvero al testo in chiaro prima che venga crittato. In questo caso è utile l’impiego di un trojan con funzioni di key logger, in grado cioè di registrare tutte le azioni da tastiera del target al punto tale da poter riprodurre un dizionario in cui sia compresa anche la passphrase o la password di accesso al device.
Sul piano operativo, nel rispetto della legislazione vigente e in relazione ad attività investigative affrontate dalle Forze di polizia, si ritiene che l’approccio più funzionale a colpire target “on line” ovvero “off line”, siano, rispettivamente, gli attacchi “man in the middle” o le analisi forensi dei devices sequestrati, orientate sulle vulnerabilities dei sistemi operativi che ospitano i servizi di criptotelefonia.
Nel primo caso, l’implementazione e l’utilizzo di hardware, nonché software con funzionalità di sniffing dei pacchetti e della banda di connessione del target sono un requisito fondamentale per porsi nel mezzo della connessione tra l’utente utilizzatore il criptotelefono e la piattaforma server che eroga il servizio al fine di rendere possibile l’inoculazione di un captatore con funzionalità di trojan e key logger funzionale a catturare la chiave di cifratura della connessione crittata. Una volta “infettato” il target sarà possibile fare altrettanto con altri utenti discriminati in relazione agli indizi di colpevolezza che dovessero emergere, salvaguardando così i principi di adeguatezza e proporzionalità dell’attività di intercettazione.
Nella seconda ipotesi, ovvero in presenza di device sequestrati su cui siano stati installati servizi di criptotelefonia, si ritiene che l’analisi forense possa essere lo strumento tecnologicamente più adeguato e giuridicamente conforme al rigore delle disposizioni normative sulle intercettazioni dei dispositivi di comunicazione.
Per l’efficacia operativa di questo sistema è necessario profilare il target avvalendosi di servizi di sniffing che restituiscano il modello dell’hardware, la casa produttrice ed il software installato sul dispositivo che ne consente il funzionamento. Conseguentemente, nel corso di attività forensi, sarebbe auspicabile la raccolta dei dati sopra menzionati in una lista – messa a fattor comune di ciascuna Forza di Polizia – la cui analisi, basata sulla ridondanza nel corso di differenti attività investigative, consentirebbe l’avvio di protocolli efficaci e tempestivi che consentano di rinvenire chiavi di cifratura in formato plaintext, ovvero prima della loro cifratura.
Un passo in avanti decisivo nel decifrare le comunicazioni tramite criptotelefoni, non può prescindere da un analogo aggiornamento sul piano normativo, partendo anche da esperienze di altri Paesi, quali per esempio la Francia, ove sono previste sanzioni importanti per coloro che non forniscano i codici di criptazione, siano essi passcode, password o passphrase, utili per decifrare le comunicazioni crittate.
Al riguardo, ai sensi dell’art. 435-15-2 del codice penale d’oltralpe, ovvero il rifiuto di fornire alle autorità il codice di decriptazione di uno strumento di crittografia che può essere utilizzato per preparare, agevolare o commettere un reato, è punito con la reclusione fino a 3 anni.
Qualora il rifiuto abbia comportato l’impossibilità di prevenire un reato oppure i suoi effetti la pena edittale è innalzata a 5 anni.
1 Cfr Cass. pen., Sez. IV, Sent. (ud. 15 luglio 2022), del 7 settembre 2022, n. 32915.
Dalla
RELAZIONE DIA al PARLAMENTO 2º semestre 2022
Settembre 2023
