Bisogna impedire a qualsiasi soggetto privato di accedere agli atti delle Procure
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
("L´Huffington Post", 9 dicembre 2016)

Gli sviluppi del dibattito politico di queste settimane hanno lasciato in ombra un´importante inchiesta del Corriere della Sera in tema di intercettazioni. Sotto i riflettori l´attività della società Area, nella sua veste di fornitore di servizi informatici per diverse Procure.

L´inchiesta ripropone il tema della sicurezza dei dati raccolti nell´attività investigativa. L´argomento è di grande interesse perché dalla protezione dei dati dipendono l´efficacia delle indagini (e dunque la sicurezza pubblica), la tutela delle vittime, il diritto alla dignità dei terzi coinvolti nelle conversazioni.

In questo caso la vicenda è molto particolare perché l´elemento di permeabilità del sistema non risiede nell´attività degli operatori telefonici, più direttamente impegnati nelle attività di captazione e data retention, ma in quella della società fornitrice dei server di numerose Procure, per una presunta acquisizione illecita di dati legittimamente intercettati, probabilmente durante un´operazione di teleassistenza.

I contorni della vicenda sono ancora da chiarire e la fase istruttoria tuttora in corso: ciò che comunque mi preme riaffermare è la necessità ineludibile di impedire che qualunque operatore privato- ancorché incaricato di svolgere attività di assistenza, manutenzione, fornitura di server o altra strumentazione tecnologica alle Procure- possa avere accesso e addirittura scaricare sul proprio pc i dati intercettati. Sarebbe non solo illecito ma anche davvero pericoloso per le indagini e per le persone.

La legittima attività investigativa, nel coinvolgere soggetti privati, in varie fasi e a vario titolo, deve assicurare ogni possibile garanzia per evitare che terzi non autorizzati possano avere accesso al materiale probatorio acquisito.

E ciò tanto più in ragione della esternalizzazione di diverse operazioni (si pensi alle ambientali da remoto, realizzate con captatori forniti e in parte gestiti da privati) che rendono alquanto più permeabile, complessa e vulnerabile la filiera su cui si snoda questa attività, meritevole per ciò di una tutela rafforzata. Solo l´adozione di adeguate misure di sicurezza, da parte di ciascun soggetto operativo in ogni fase dell´attività di intercettazione, può contribuire a minimizzare i rischi.

Rischi inevitabilmente connessi alla frammentazione e parcellizzazione dei centri di responsabilità, derivanti dal coinvolgimento di un numero decisamente elevato di soggetti nella "catena" delle attività investigative. Di questi problemi l´Autorità per la protezione dei dati si occupa da tempo e sotto vari aspetti: in ordine tanto alle responsabilità e agli oneri gravanti in capo alle Procure, quanto agli specifici doveri cui devono adempiere i privati nella molteplicità dei ruoli che essi possono svolgere (non solo i gestori telefonici ma anche, come nel caso di Area, fornitori dei server).

Sono stati molto importanti i provvedimenti del Garante (2008) sull´amministratore di sistema e sulle misure di sicurezza cui sono tenuti gestori e fornitori di servizi di comunicazione elettronica. Più recentemente, con un provvedimento del luglio 2013, abbiamo indicato alle Procure alcune essenziali misure organizzative indispensabili per proteggere quei preziosissimi flussi informativi e responsabilizzare al massimo tutti i soggetti coinvolti (non solo il p.m. ma anche la polizia giudiziaria), evitando fughe di notizie anche solo involontarie.

L´iniziale diffidenza (quando non anche ostilità per una presunta interferenza indebita) su tali misure sembra in gran parte superata, anche grazie all´impulso dell´attuale Ministro della Giustizia, che sembra aver investito su questo progetto, nella consapevolezza della sua utilità sia per la privacy dei cittadini interessati, sia per la migliore efficacia delle indagini. Pur con un ritardo non trascurabile, i vari uffici giudiziari vi si stanno adeguando: è importante in particolare che le 26 Procure distrettuali stiano completando questo percorso.

Come pure è apprezzabile la scelta del Ministro di inviare alle Procure una circolare volta a promuovere l´innalzamento dei livelli di sicurezza dei sistemi informativi e dei dati intercettati, anche attraverso la proposta di un contratto unico per la fornitura di servizi informatici, con l´impegno del contraente al rispetto delle misure da noi prescritte. L´adozione di un unico standard contrattuale per la fornitura di servizi esterni, nel rispetto rigoroso delle nostre prescrizioni, potrebbe contribuire a minimizzare di molto i rischi di accessi abusivi e trattamenti illegittimi.

Per altro verso, sarebbe utile rimuovere l´attuale incredibile frammentazione dei fornitori cui ogni singola Procura si affida. Se ne discute da anni: e non si capisce quali siano gli ostacoli. In ogni caso va sottolineato come, forse anche grazie ai nostri interventi, quello della protezione dei dati nelle attività investigative sia diventato un tema cui oggi si presta attenzione più di ieri. Lo dimostrano le direttive adottate da molte Procure sul deposito e la trascrizione delle intercettazioni, richiamate dal Csm nel provvedimento del 29 luglio tra le buone prassi da seguire (oltre a quelle sulle misure di sicurezza), ed elevate sostanzialmente a norma di legge nel ddl sulla riforma del processo penale all´esame del Senato, come emendato dai relatori.

Provvedimento, quest´ultimo, che tocca un altro tema emergente dall´inchiesta giornalistica: la fornitura agli organi inquirenti, da parte delle società private, di sofisticate tecnologie informatiche capaci di realizzare una pluralità di operazioni investigative. Nel caso di Area, parrebbe che la società abbia fornito al regime di Bashar Al Assad un sistema di intercettazione centralizzato per il controllo massivo dell´attività dei dissidenti politici, in violazione delle norme (interne e internazionali) sul dual use, ovvero sulla duplicità di uso, civile e militare, cui sono soggette tali tecnologie e che, se non adeguatamente regolamentate, sono capaci di "bucare" intere esistenze individuali e collettive, strategie politiche, segreti di Stato.

Come dimostrato anche dal caso Hacking Team, è necessario che la produzione e commercializzazione di tali software sia adeguatamente regolamentata (sull´an e sul quomodo), in quanto potenzialmente pericolosa al pari di vere e proprie armi di distruzione di massa.