La tipizzazione dell’IMSI Catcher in Francia: sistemi a confronto

Il tema della captazione tramite l’impiego di nuove strumentazione risulta ormai centrale da anni in diverse Nazioni. Alcune di queste scelgono la strada della tipizzazione, mentre altri territori fanno la scelta opposta. Ne sono un esempio la Francia e l’Italia.

Il legislatore francese, infatti, sceglie da molti anni di tipizzare i singoli strumenti investigativi, come ad esempio le banche dati più importanti, inserendoli nel codice di rito.

Nel caso del Catcher, in particolare, la normativizzazione avviene mediante la L. 2019-223 del 22 marzo 2019, presentata dal Governo di Edouard Philippe, per la programmazione e la riforma della giustizia. Suddetta norma porta all’introduzione dell’art. 706-95-20 c.p.p.

L’utilizzo di detto strumento prevede, in particolare, un’autorizzazione dell’autorità giudiziaria.

Quest’ultima cambia in base al momento processuale in cui viene usato il Catcher. Infatti, nel corso dell’indagine preliminare è competente il giudice delle libertà e della detenzione, mentre durante l’informazione giudiziaria è di competenza del giudice istruttore.

L’atto autorizzativo viene richiesto dal procuratore della Repubblica e ha una durata di 48 ore, rinnovabili solo una volta. Esso, inoltre, deve specificare l’utenza interessata.

Per quanto attiene l’esecuzione delle attività, va precisato che l’art. 706-95-20 fa un espresso rimando agli artt. da 100-3 a 100-7 c.p.p., riguardanti l’esecuzione e i limiti[1] delle intercettazioni.

Se in Francia le attività di indagini a mezzo Catcher vengono tipizzate e, dunque, legalizzate, nell’ordinamento interno ancora nulla si dice al riguardo. Ma, prima ancora di entrare nel merito della scelta adottata dall’ordinamento francese di normare lo strumento confrontandola con quella del legislatore nazionale che preferisce il silenzio all’azione, occorre comprendere le potenzialità dello strumento tecnologico in questione.

L’IMSI Catcher, – anche chiamato cell-site simulators o Stingray – è un apparecchio elettronico portatile, dalle dimensioni di una valigetta «che può essere portato a mano, caricato in macchina, installato su un drone o su un aereo». (A. Camon, Il cacciatore di IMSI, in Arch. pen., 2020, n. 1, 1 ss.). Si tratta, più precisamente, di un falso ripetitore che si interpone tra il telefono “bersaglio” e le torri delle compagnie telefoniche, sfruttando la tecnica “man in the middle”, così da agganciare tutti i dispositivi elettronici chiamanti presenti in un certo raggio di azione. In questo modo, riesce a monitorare tutte le utenze ivi localizzate e, attraverso l’estrapolazione dell’IMSI (International Mobile Subscriber identity Module), è in grado di individuare il soggetto fisico cui la SIM risulta intestata.

L’acquisizione dei codici risulta funzionale all’esecuzione di attività investigative successive. Infatti, il Catcher identifica – oltre il codice IMSI – anche l’IMEI e, intercettando un bersaglio in movimento con la presenza di un ponte virtuale in grado di captare il segnale GSM, funge da geolocalizzatore per eseguire pedinamenti elettronici.

Inoltre, la maggior parte dei modelli in commercio possiede anche funzioni aggiuntive, molto spesso vendute come software opzionali. Ad esempio, esistono programmi che consentono al Catcher di disattivare l’uso dell’algoritmo di cifratura a standard GSM A5 e, quindi, di comunicare con l’antenna in chiaro, registrando le conversazioni che avvengono tramite il dispositivo monitorato.

Non solo. Tramite l’impiego di tali software che implementano le potenzialità del Catcher (c.d. Decifer), gli investigatori possono svolgere sul dispositivo individuato ed identificato attività di intercettazione e controllo da remoto attraverso l’inoculazione di un captatore informatico, finendo così per “gestire” la macchina “infettata” e controllare ogni spostamento e attività che il soggetto compie.

Al fine di evitare equivoci esegetici, sembra opportuno tracciare i confini che separano lo strumento de qua dal captatore informatico: pur riscontrando indiscusse similarità tra gli stessi, non può sottacersi come il primo risulti ancor più infido rispetto al virus Trojan. Non solo perché quest’ultimo gode di una – seppur discutibile – regolamentazione normativa mentre il Catcher rimane uno strumento in balìa delle scelte degli operatori e della giurisprudenza, ma anche per le potenzialità ancor più intrusive ed invasive dell’inedito apparecchio.

Intanto, mentre i captatori informatici permettono di circoscrivere il controllo ad un bersaglio specifico, i Cacciatori di IMSI registrano le informazioni provenienti da tutti i dispositivi che si trovano in una certa area, finendo per rappresentare strumenti di sorveglianza di massa (o non mirata), per cui «la persona, l’organizzazione o la caratteristica tecnica cui la raccolta dei dati è indirizzata non possono essere specificate preventivamente» (Relazione annuale 2013–2014, del Comitato di sorveglianza dei Servizi di intelligence e sicurezza (CTIVD), tenutasi all’Aia il 31 marzo 2014, 45 s.).

In secondo luogo, non richiedendo alcuna collaborazione (neppure inconsapevole) degli utenti, rappresentano congegni interamente “gestiti” dalle forze di polizia e dai Servizi di intelligence, i quali finiscono per utilizzarli anche in assenza di una espressa autorizzazione giurisdizionale.

E, infatti, come precisato dalla giurisprudenza di legittimità, «l’individuazione da parte della polizia giudiziaria dell’utenza telefonica da sottoporre ad intercettazione attraverso il monitoraggio di utenze presenti in una determinata zona, mediante apparecchiature in grado di individuarne i codici identificativi previo posizionamento in prossimità del cellulare da “tracciare”, rientra tra gli atti urgenti e “innominati” demandati agli organi di polizia giudiziaria, ai sensi degli artt. 55 e 348 c.p.p., non soggetto ad una preventiva autorizzazione dell’autorità giudiziaria» (Cass., sez. IV, 12 giugno 2018, n. 41385, in C.E.D. Cass., n. 273929).

Poste le sue imponenti potenzialità investigative e, dunque, la sua irrinunciabilità nell’attività investigativa, si ritiene doveroso un intervento del legislatore che, sulla falsa riga di quanto accaduto in Francia, proceda a stabilire a quali condizioni siano da considerarsi legittimi tali strumenti, tenuto conto dell’importanza che gli stessi vanno acquisendo ai fini di indagine e della crescente attenzione che a livello europeo e internazionale viene dedicata al tema.

Dunque, è necessario che il legislatore intervenga a ridefinire interamente la materia in modo da renderla conforme ai principi europei che impongono chiarezza, sufficienza, determinatezza della fattispecie, nel pieno rispetto del principio di proporzionalità.

Circa le modalità di intervento, l’esperienza vissuta in materia di captatore informatico deve essere da insegnamento: la (confusa) normativa introdotta dal d.lgs. 216/2017 sembra già obsoleta ancor prima di essere stata efficacemente testata a causa dell’irrefrenabile velocità con cui gli strumenti investigativi si evolvono.

In questo senso, potrebbero riproporsi ulteriori problematiche in rapporto all’impiego di tecniche di indagine sempre più evolute e, di conseguenza, maggiormente incisive rispetto ai diritti fondamentali, quali, ad esempio, l’intelligenza artificiale, i droni, i robot.

Alla luce di tali considerazioni, si ritiene auspicabile un intervento legislativo atto ad identificare chiaramente non tanto tutte le singole tecnologie utilizzabili nel campo dell’intrusione informatica quanto piuttosto le garanzie fondamentali che devono essere sempre riconosciute all’indagato e ai soggetti terzi occasionalmente coinvolti, a prescindere dallo strumento impiegato. La predisposizione di una norma “aperta” – magari un inedito articolo 266 ter c.p.p. sull’intrusione informatica da remoto – che subordini qualsiasi strumento digitale di ricerca della prova a condizioni tassative, consente di vincolare l’ingresso di nuove e sempre più evolute tecniche di indagine e di investigazione al rispetto delle garanzie fondamentali costituzionalmente riconosciute, in modo tale da ripristinare un sistema informato al principio di legalità probatoria.

Bibliografia essenziale

Aa. Vv., Revisioni normative in tema di intercettazioni. Riservatezza, garanzie difensive e nuove tecnologie informatiche, a cura di G. Giostra-R. Orlandi, Torino, 2021; C.J Brown-M. Leese, Stingray devices usher in a new fourth amendment battleground, 39 Champion, 2015, 14; A. Camon, Il cacciatore di IMSI, in Arch. pen., 2020, n. 1; A. Hemmer, Duty of candor in the digital age: the need for heightened judicial supervision of stingray searches, 91 Chi.-Kent L. Rev., 2016, 300 s.; W. Nocerino, Le intercettazioni e i controlli preventivi sulle comunicazioni. Riflessi sul procedimento probatorio, Padova, 2019, 151 ss.; Ead., Il tramonto dei mezzi di ricercar della prova nell’era 2.0, in Dir. pen. proc., 2021, p. 1017 ss.; J. Norman, Taking the sting out of the Stingray: the dangers of cell-site simulator use and the role of the Federal communications commission in protecting privacy & security, 68 Fed. Comm. L.J., 2016, 148; G. Roussel, Procédure pénal, XII ed., Parigi, 2021; H. Vlamynck, Droit de la police, VII ed., Parigi, 2021.  

[1] Ci si riferisce, in particolare, alle intercettazioni riguardanti deputati, senatori, avvocati, giornalisti e magistrati.