Divulgare la privacy e la cybersecurity nelle aziende
con spiegazioni semplici e operative, AI assisted
Osservatorio a cura del dott. V. Spataro 


Podcast Newsletter Dizionario Rassegna TG About







Accesso


Password persa ?

oppure

Dallo store:

La banca dati:

216 voci nel dizionario
3163 documenti
1218 temi
98 dossier

store
i prodotti

   intercettazioni 2025-06-05 ·  NEW:   Appunta · Stampa · Cita: 'Doc 99775' · pdf

Contro ogni regola di informatica forense: l'Italia usa lo spyware Graphite. Superato il limite.

abstract:



Camera dei Deputati — 3 — Senato della Repubblica
XIX LEGISLATURA — DISEGNI DI LEGGE E RELAZIONI — DOCUMENTI — DOC. XXXIV N. 4

Introduzione ............................................................................................. Pag. 5

Attività svolta ........................................................................................... » 6

1. La ricostruzione della vicenda ......................................................... » 9

2. Aspetti tecnici relativi all’utilizzo dello spyware Graphite prodotto dalla società israeliana Paragon Solutions ........................ » 11

3. L’attività dei servizi di informazione per la sicurezza .................. » 15

3.1. L’impiego dello spyware Graphite da parte dei servizi di informazione per la sicurezza .................................................... » 15

3.2. L’attività svolta dai servizi di informazione per la sicurezza . » 16

4. Approfondimento della disciplina delle intercettazioni preventive dei servizi .......................................................................................... » 19

5. Conclusioni .......................................................................................... » 20

Fonte: Camera
Link: https://documenti.camera.it/_dati/leg19/lavori/doc




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

-




index:

Indice

  • Capacità Invasiva e Raccolta Dati
  • Ogni altro contenuto presente sul dispos
  • Intercettazioni di comunicazioni o conve
  • Senza alcun vaglio da parte dell'autorit
  • Interpretazione Costituzionale dei Dati
  • Provvedimento motivato dell'autorit&agra
  • Difficoltà nella Distruzione dei
  • che non sono direttamente cancellabili
  • Interazioni tra Servizi di Intelligence
  • Pregiudicare le operazioni stesse o le i
  • Policy aziendali
  • Privacy e la sicurezza dei cittadini e,
  • Capacità di raccolta dati estrema
  • e alla esecuzione in background
  • Messaggi archiviati e ogni altro contenu
  • Sistema operativo del dispositivo potreb
  • Mancanza di adeguato vaglio giudiziario
  • Senza alcun vaglio da parte dell'autorit
  • Provvedimento motivato dell'autorit&agra
  • che non sono direttamente cancellabili
  • Disvelare operazioni di intelligence leg
  • Non dovrebbero compromettere la sicurezz
  • Non sono escluse contrattualmente dalle



testo:

Tutto il testo che segue e' stato generato con Google Notebooklm.

Ricordiamo di non usarlo per gli atti giudiziari. Tanto per ricordare cose ovvie.

L'utilizzo di Spyware come Graphite solleva diverse sfide significative per le attuali normative sulla sorveglianza e la privacy, evidenziando le lacune del quadro legislativo esistente di fronte alle moderne tecnologie di intercettazione.

Ecco i modi principali in cui l'uso di questi strumenti sfida le norme attuali:

  • Capacità Invasiva e Raccolta Dati Oltre le Comunicazioni Dinamiche:

    • A differenza delle tradizionali intercettazioni telefoniche che presuppongono una collaborazione con il gestore, gli Spyware agiscono direttamente sul dispositivo dell'utente. Questo consente di acquisire non solo i contenuti delle conversazioni in corso (anche tramite tecnologia VoIP, protette da crittografia end-to-end e decifrate sul dispositivo) ma anche messaggi archiviati e ogni altro contenuto presente sul dispositivo mobile infettato.
    • Le normative attuali, in particolare l'articolo 4 del decreto-legge n. 144 del 2005, convertito con modificazioni dalla legge n. 155 del 2005, prevedono l'autorizzazione del Procuratore generale presso la Corte d'appello di Roma solo per le intercettazioni di comunicazioni o conversazioni in corso (anche telematiche o ambientali).
    • Per l'estrazione di messaggi o altri dati informatici già presenti sui dispositivi mobili, è attualmente prevista solo l'autorizzazione del Presidente del Consiglio dei Ministri o dell'Autorità delegata, ai sensi dell'articolo 18, comma 2, della legge n. 124 del 2007, senza alcun vaglio da parte dell'autorità giudiziaria.

  • Interpretazione Costituzionale dei Dati Archiviati:

    • La sentenza n. 170 del 7 giugno 2023 della Corte Costituzionale ha stabilito che i messaggi archiviati su un dispositivo mobile che rivestono un interesse attuale per il proprietario devono essere considerati "corrispondenza" e, come tali, rientrano nella disciplina dell'articolo 15 della Costituzione, che ne tutela la segretezza. Ciò implica la necessità di un provvedimento motivato dell'autorità giudiziaria per la loro limitazione. Questa sentenza impone una riflessione sull'opportunità di estendere la necessità dell'autorizzazione del Procuratore generale anche all'acquisizione di messaggi o altri dati informatici già presenti sugli apparati.

  • Difficoltà nella Distruzione dei Dati Acquisiti:

    • La legge prevede la distruzione di tutto il materiale acquisito tramite intercettazioni, con la sola eccezione dei decreti di autorizzazione. Tuttavia, le moderne tecnologie di captazione, come lo Spyware Graphite, comportano il salvataggio di dati su database che non sono direttamente cancellabili da parte dei soggetti pubblici utilizzatori senza il concorso del fornitore del servizio. Questo rende difficile garantire l'effettiva distruzione dei contenuti intercettati come richiesto dalla normativa.

  • Interazioni tra Servizi di Intelligence e Aziende Private Globali:

    • Le società di messaggistica, nel loro obiettivo di salvaguardare la riservatezza degli utenti, possono rilevare e divulgare operazioni di intelligence, anche se legittimamente autorizzate. Questo può pregiudicare le operazioni stesse o le indagini.
    • A differenza delle intercettazioni telefoniche che prevedono una collaborazione con il gestore, gli Spyware operano sul dispositivo dell'utente, spesso senza che le piattaforme di messaggistica (come WhatsApp) abbiano accesso ai dati o conoscano l'identità degli utenti.
    • Queste aziende globali, presenti in contesti nazionali con diverse regolamentazioni sulla riservatezza (anche molto meno stringenti rispetto all'Unione Europea), operano basandosi anche su policy aziendali che possono incidere sulle richieste delle autorità pubbliche. Il Comitato evidenzia che, sebbene tali limitazioni possano essere una tutela in regimi autoritari, non dovrebbero compromettere la sicurezza nazionale in stati di diritto come l'Italia.
    • La società Paragon Solutions, produttrice di Graphite, vende i suoi servizi solo a soggetti pubblici di Stati che garantiscono il rispetto dei diritti umani, ma le utenze italiane non sono escluse contrattualmente dalle possibilità di intercettazione anche da parte di soggetti stranieri.

In sintesi, l'uso di Spyware come Graphite evidenzia come l'evoluzione tecnologica abbia superato l'attuale impianto normativo, creando un disallineamento tra le capacità di sorveglianza e le garanzie costituzionali e legali sulla privacy. Il Comitato Parlamentare per la Sicurezza della Repubblica ha invitato il Parlamento e il Governo ad adottare iniziative normative per affrontare queste sfide, inclusa la revisione della disciplina delle intercettazioni preventive, la garanzia della distruzione dei dati e la regolamentazione delle interazioni con le aziende private globali.

Quali i rischi noti:

L'uso di Spyware come Graphite introduce diversi rischi significativi, sia sul fronte della privacy e dei diritti dei cittadini, sia per l'efficacia delle operazioni di intelligence e la sicurezza nazionale, principalmente a causa delle sue capacità tecniche avanzate e delle lacune normative preesistenti.

Ecco i principali rischi noti emersi dalla relazione del Comitato Parlamentare per la Sicurezza della Repubblica:

  • Rischio di accesso da parte di soggetti non governativi: Gli spyware, in generale, consentono l'accesso a tecnologie di sorveglianza particolarmente sofisticate e invasive anche a soggetti non governativi, mettendo a rischio la privacy e la sicurezza dei cittadini e, potenzialmente, anche di soggetti pubblici, quando l'utilizzo avviene al di fuori di un contesto di legalità.
  • Capacità di raccolta dati estremamente invasiva e occulta:
    • Questi strumenti sono idonei a procedere alla raccolta di dati sensibili e alla esecuzione in background, cioè senza alcuna evidenza da parte dell’utente.
    • A differenza delle tradizionali intercettazioni telefoniche, gli Spyware agiscono direttamente sul dispositivo dell'utente, permettendo di acquisire non solo i contenuti delle conversazioni in corso (anche quelle protette da crittografia end-to-end e decifrate sul dispositivo), ma anche i messaggi archiviati e ogni altro contenuto presente sul dispositivo mobile infettato. Nemmeno la società che gestisce i servizi di messaggistica e VoIP ha accesso a questi dati.
  • Difficoltà nella rimozione dello spyware: Una volta infettato, il sistema operativo del dispositivo potrebbe risultare tuttora compromesso, e si consiglia di cambiare dispositivo, in quanto anche un reset di fabbrica potrebbe non rimuovere lo spyware.
  • Mancanza di adeguato vaglio giudiziario per i dati archiviati:
    • Attualmente, per l'esfiltrazione di messaggi o altri dati informatici già presenti sui dispositivi mobili, è prevista la sola autorizzazione del Presidente del Consiglio dei ministri o dell'Autorità delegata, ai sensi dell'articolo 18, comma 2, della legge n. 124 del 2007, senza alcun vaglio da parte dell'autorità giudiziaria.
    • Questo contrasta con la sentenza della Corte Costituzionale n. 170 del 7 giugno 2023, che ha stabilito che i messaggi archiviati che rivestono un interesse attuale per il proprietario devono essere considerati "corrispondenza" e tutelati dall'articolo 15 della Costituzione, richiedendo un provvedimento motivato dell'autorità giudiziaria per la loro limitazione. Questo solleva la questione di una revisione normativa per estendere l'autorizzazione del Procuratore generale anche a tali dati.
  • Difficoltà nella distruzione dei dati acquisiti: Le moderne tecnologie di captazione, come lo Spyware Graphite, comportano il salvataggio di dati su database che non sono direttamente cancellabili da parte dei soggetti pubblici utilizzatori senza il concorso del fornitore del servizio. Ciò rende difficile garantire l'effettiva distruzione di tutto il materiale acquisito, come previsto dalla normativa (articolo 4-bis, commi 3 e 4, del decreto-legge n. 144 del 2005).
  • Compromissione delle operazioni di intelligence da parte di aziende private: Le società di messaggistica, pur con l'obiettivo di salvaguardare la riservatezza degli utenti, possono disvelare operazioni di intelligence legittimamente autorizzate (o indagini della magistratura), potenzialmente pregiudicando le operazioni stesse o le indagini. Questo è un rischio intrinseco alla differenza tra le classiche intercettazioni telefoniche, che presuppongono una collaborazione con il gestore, e l'inoculazione di Spyware che agiscono direttamente sul dispositivo.
  • Incidenza sulla sicurezza nazionale a causa delle policy aziendali: I fornitori di servizi di messaggistica e sistemi operativi globali, operando in contesti nazionali con diverse regolamentazioni sulla riservatezza, si vincolano anche a policy aziendali che possono incidere sulle richieste delle autorità pubbliche. Sebbene queste limitazioni possano tutelare gli utenti in regimi autoritari, non dovrebbero compromettere la sicurezza nazionale in stati di diritto come l'Italia e l'Europa.
  • Intercettazione di utenze italiane da parte di soggetti stranieri: La società Paragon Solutions, produttrice di Graphite, vende i suoi servizi solo a soggetti pubblici di Stati che garantiscono il rispetto dei diritti umani, ma le utenze italiane non sono escluse contrattualmente dalle possibilità di intercettazione anche da parte di soggetti stranieri.

Download Pdf


Link: https://documenti.camera.it/_dati/leg19/lavori/doc

Testo del 2025-06-05 Fonte: Camera




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


  Newsletter
Ricevi gli aggiornamenti su Contro ogni regola di informatica forense: l'Italia usa lo spyware Graphite. Superato il limite. e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza