ROMA, 4 apr. – “La sicurezza informatica e la privacy sono diritti che è necessario tutelare costantemente, soprattutto alla luce dell’evoluzione degli strumenti tecnologici. Il caso ‘Exodus’ lo dimostra bene. Parliamo di un’azienda italiana che opera nel settore della videosorveglianza e di una piattaforma software da loro sviluppata per eseguire le intercettazioni telematiche per conto delle procure. Ciò che emerge dalle cronache degli ultimi giorni è che tale strumento avrebbe consentito di captare non solo le comunicazioni degli indagati, ma anche quelle di centinaia di utenti ignari, che non avevano nulla a che fare con inchieste e procedimenti penali. La situazione è resa se possibile più grave dal fatto che secondo la stampa tale software sarebbe stato inserito, già da due anni, anche in alcune app, reperibili sul negozio ufficiale di ‘Google’ per cellulari (Play Store). Per questo ho presentato una interrogazione ai ministri dell’Interno e della Giustizia, per chiarire anzitutto quale sia il soggetto pubblico che ha commissionato lo sviluppo di ‘Exodus’. Ma anche per sapere quali siano le Procure coinvolte nella vicenda e le procedure adottate per l’affidamento a tale società del supporto tecnico per le intercettazioni telematiche delle persone indagate e quali fossero le garanzie fornite dalla società per evitare possibili abusi. È necessario fare chiarezza sulla vicenda. Può essere questa l’occasione per adeguare la normativa in materia, con l’obiettivo di bilanciare correttamente il diritto alla privacy dei cittadini e le esigenze connesse alle indagini degli inquirenti”.

Così in una nota la senatrice del Movimento 5 Stelle Maria Laura Mantovani.

Di seguito l’interrogazione presentata in aula:

Premesso che:

da notizie a mezzo stampa si apprende che è in corso un’indagine da parte della Procura di Napoli, che ha delegato gli accertamenti alla Polizia Postale, al Gruppo d’investigazione sulla criminalità organizzata (Gico) della Finanza e ai Carabinieri del Ros, in merito ad una acquisizione illecita dei dati sensibili e comunicazioni testuali e vocali di diversi cittadini e utenti italiani (ilsole24.com, 30 marzo 2019);

l’acquisizione illecita di dati sarebbe avvenuta attraverso “Exodus”, una piattaforma sviluppata dalla società italiana eSurv, che opera nel settore della videosorveglianza e avrebbe collaborato con importanti Procure italiane fornendo supporto tecnico per le intercettazioni telematiche;

“Exodus” è uno spyware del tipo Command and Control (C&C) che si connette a dispositivi come telefoni mobili o PC, tramite internet, sfruttando le funzionalità di apposite applicazioni mobili (app). Exodus potrebbe essere stato realizzato per operare come captatore informatico per eseguire intercettazioni legali, autorizzate da un giudice, di una persona indagata per diversi crimini. Attraverso l’app installata, chi controlla il software può gestire a distanza il cellulare dell’utente ottenendo, via internet, le registrazioni delle chiamate, le chat, gli indirizzi web visitati, la rubrica dei contatti, le foto, gli appuntamenti sull’agenda del cellulare, la posizione fisica del momento (registrata dal GPS e dalle antenne degli operatori). Recuperando la password del wi-fi, consentirebbe inoltre a terzi di entrare nella rete domestica dell’utente e raccogliere altri dati;

secondo il blog “Security without borders”, che per primo ha segnalato i fatti descritti pubblicando il tutto in un’inchiesta scritta sulla rivista “Motherboard”, tale software sarebbe stato inserito, già da due anni, anche in alcune app, reperibili sul negozio ufficiale di “Google” per cellulari (Play Store), come strumenti per migliorare le prestazioni del cellulare e per ricevere fittizie promozioni dell’operatore telefonico;

“Google” avrebbe confermato l’esistenza di 25 varianti di questo spyware presenti su “Google Play Store” che sono state successivamente disabilitate. Ogni app sarebbe stata installata su diversi dispositivi e le infezioni ammonterebbero a diverse centinaia, forse più di un migliaio;

oltre a propri fini commerciali, come rivendere le informazioni ad aziende, società finanziarie o altri soggetti interessati ad individuare potenziali clienti per vendere determinati prodotti, si sospetta che la eSurv possa aver agito in contatto con ambienti paralleli ad apparati di sicurezza dello Stato oppure per trasferire i dati ad agenzie non ufficiali interessate ad acquisire informazioni a fini dossieristici;

secondo quanto riportato dalla Direzione centrale per i servizi di Ragioneria della Polizia di Stato, la eSurv risulta anche tra i beneficiari di una somma pari a 307.439,90 euro, pagata lo scorso 6 novembre 2017 per la categoria “acquisto di beni e servizi” e avente come natura della spesa stessa la denominazione “Sistema di intercettazione attiva e passiva”;

considerato che:

il Garante della Privacy ha evidenziato la gravità di tale vicenda, dichiarando che saranno effettuati “i dovuti approfondimenti per quanto concerne le nostre competenze, poiché la vicenda presenta contorni ancora assai incerti ed è indispensabile chiarire l’esatta dinamica”;

l’Autorità ha più volte espresso la necessità di adeguare la recente normativa in materia. Allo stato vigente, il decreto legislativo n. 216/2017 prevede l’immissione di captatori informatici in dispositivi elettronici portatili per le intercettazioni telematiche. La norma ha il fine di regolamentare l’utilizzo dei captatori informatici, adeguando il modello alle esigenze processuali, dotando le indagini di strumenti al passo con i tempi e fornendo gli stessi di un opportuno riconoscimento in ambito legislativo;

secondo il Garante della Privacy sarebbe necessario definire in maniera più puntuale le regole per tali intercettazioni telematiche previste nella suddetta norma e garantire misure di sicurezza più efficaci a tutela dei cittadini utenti;

si chiede di sapere:

se i Ministri in indirizzo non ritengano opportuno, sulla base delle loro competenze, chiarire tutti gli aspetti della vicenda descritta, in particolare quale sia, nel caso, il soggetto pubblico che ha commissionato lo sviluppo di “Exodus” e se il pagamento sopra indicato, effettuato dalla Direzione centrale per i servizi di Ragioneria della Polizia di Stato, corrisponda a tale opera o ad altro servizio;

quali siano le Procure coinvolte nella vicenda e le procedure adottate per l’affidamento a tale società del supporto tecnico per le intercettazioni telematiche delle persone indagate e se siano state fornite da tale società sufficienti garanzie per evitare l’abuso di detto strumento per fini commerciali o comunque lesivi della riservatezza dei cittadini ed utenti non sottoposti ad indagini;

se non ritengano opportuno, secondo quanto indicato dal Garante della Privacy, promuovere l’adeguamento della normativa in materia di captatori informatici e intercettazioni telematiche, in modo da assicurare che vengano adottate misure di sicurezza più stringenti e una definizione più puntuale delle regole, tutelando i diversi interessi coinvolti ovvero, da una parte, il diritto alla riservatezza di cittadini e utenti e dall’altro le esigenze di verità e giustizia.