Con il termine hacking in genere si individua l’insieme di tecniche e attività che hanno lo scopo di accedere e modificare un software; deriva dall’inglese to hack, letteralmente “Intaccare”.
Nell’immaginario comune, la pratica è considerata in gran parte illegale, tuttavia, l’hacking nasconde tutta una serie di attività di conoscenza dei software normalmente utilizzate anche a livello professionale. Molti sistemi informatici, infatti, vengono sottoposti a controlli e test per la sicurezza, l’affidabilità e l’accessibilità e, pur essendo molto invasivi, sono considerati “di routine”.
Per le pratiche volte al danneggiamento o acquisizione di dati riservati e software di vario genere si dovrebbe parlare di cracking piuttosto che di hacking, ma qualunque sia la sua accezione, al fenomeno è sicuramente collegato quello dello spionaggio telematico. In precedenza questa era una prerogativa dello stato, tuttavia, l’epoca cibernetica ha aperto le danze per la diffusione di numerose agenzie specializzate che “rubano” o hackerano le informazioni per poi rivenderle a organizzazioni esterne, governi compresi. Si pensi ad esempio al caso di Wikileaks che pubblica informazioni a contenuto strettamente riservato ricevute da chissà quali fonti, che restano, ovviamente, nell’anonimato.
Esistono moltissime società del genere, come Hacking Team, azienda con sede a Milano che vende servizi di intrusione ai governi e agli organi di polizia. La società consente, attraverso una serie di sistemi che elaborano il controllo da remoto, di monitorare le comunicazioni degli internauti, decifrare file e mail criptati, registrare conversazioni voip ed altro ancora. L’uso di software di intrusione, come i Troian, pare molto diffuso fra i governi che si avvalgono del metodo per lo svolgimento delle quotidiane attività di intelligence e per le indagini preliminari.
Quest’attività oltre che non essere abbastanza regolamentata è molto invasiva in quanto, si interviene direttamente sul pc e sullo smartphone dell’utente senza intermediari. La polizia, dunque, non può far da tramite in tale passaggio, nessuna tutela, l’unica garanzia è la fiducia dell’istituzione nell’agenzia.
La normativa a tutela dell’individuo è pressoché inconsistente, tuttavia, nel caso delle intercettazioni voip, si può far riferimento al quadro normativo delle intercettazioni telefoniche, dunque, accertata una certa “pigrizia normativa” si può far rientrare la registrazione delle conversazioni cibernetiche nella macroarea normativa delle intercettazioni telefoniche in generale. Caso diverso, invece, riguarda i captatori informatici.
L’uso dei Troian consente non solo di monitorare la periferica ma di alterarne il contenuto, il che, rende necessaria una regolamentazione affinché non si verifichino eccessi.
Durante le consultazioni per la messa a punto della Internet Bill Of Rights in effetti, proprio per questo motivo il Circolo dei Giuristi Telematici propose l’inserimento di una norma specifica per l’uso dei Troian per le indagini. La proposta consiste nell’accesso a questo tipo di strumento cibernetico solo nel caso in cui le intercettazioni delle conversazioni siano state infruttuose.
L’obiettivo è quello di intraprendere prima una strada che tuteli l’utente e, solo in casi particolari, concedere l’uso di sistemi molto più invasivi. Già da questo si piò intravedere una sorta di collocazione normativa, quantomeno concettuale, del Troian, che, dunque, viene considerato più invasivi delle intercettazioni telefoniche.
Rispetto alla pratica di hacking c’è poi un altro problema: la fruibilità delle prove. Essendo concessa durante le indagini preliminari, le prove raccolte con tali sistemi non possono essere utilizzate in tribunale, la normativa in effetti vuole che le tutte le prove rilevate in via preliminare non possano essere usate nel procedimento penale.
Volendo guardare anche l’altro lato della medaglia, il troian è pericolosissimo per sua natura poiché, non solo, può criptare il sistema che analizza, ma può modificarlo e contaminarlo attraverso l’immissione di file mai accettati dall’utente. Il sottile rapporto che intercorre fra sorveglianza digitale privacy dell’utente è davvero messo in discussione, se la normativa sui Trojan di Stato non viene decifrata l’internauta è in una situazione in cui non sussistono garanzie di nessun genere per cui è importante che il legislatore faccia i suoi conti per definire la situazione.