Per una volta gli Stati Uniti somigliano terribilmente all’Italia: dove non arriva la politica, arriva la magistratura. La vicenda è quella dei “virus di Stato”, cioè la pratica di utilizzare virus informatici (trojan) da parte delle forze di polizia per sorvegliare i sospettati e raccogliere prove e indizi nei loro confronti. Una strategia che porta a ottimi risultati sotto il profilo dei risultati, ma alquanto discutibile sotto molti altri profili.

La questione è stata sollevata di recente nel procedimento a carico di Jay Michaud, un insegnante indagato in seguito allo smantellamento di un sito pedo-pornografico chiamato Playpen. Michaud è stato incastrato utilizzando un trojan sul suo computer, che avrebbe registrato il traffico Internet mettendolo così in relazione con gli altri 134 indagati nel procedimento. Il procedimento, però, ha avuto un esito inaspettato.

Quando la difesa ha chiesto che i periti di parte potessero analizzare il codice del software usato per raccogliere le prove, l’Fbi si è rifiutata di fornire il trojan utilizzato per inchiodare Michaud. Secondo i federali, infatti, fornire il codice del trojan avrebbe pregiudicato altre indagini in corso e avrebbe rappresentato un “potenziale danno per l’interesse pubblico”. Risultato: il giudice incaricato del processo ha deciso di non ammettere le prove e il procedimento nei confronti del sospetto pedofilo si avvia verso una probabile sentenza di assoluzione. Il fatto di non conoscere l’esatto funzionamento del trojan, infatti, rappresenta una violazione della “chain of custody” che nella giurisprudenza Usa viene considerata un elemento fondamentale per la validità delle prove.

Certo, molti storceranno il naso di fronte a quello che sembra il classico utilizzo di un cavillo legale, soprattutto vista la natura del reato. L’episodio però accende i riflettori su una situazione ai limiti della sostenibilità. L’uso di virus informatici da parte delle forze di polizia, infatti, ha un enorme numero di controindicazioni.

Prima di tutto perché, in questo modo, polizia e agenzie governative contribuiscono attivamente a fare quello che, in altri ambiti, spergiurano di combattere: aggirare i sistemi di sicurezza informatici. In secondo luogo perché, come ha dimostrato la vicenda italiana legata a Hacking Team (ma la statunitense Blue Coat non è da meno) in queste operazioni si avvalgono di contractor privati che non vanno tanto per il sottile nello scegliere i loro clienti, fornendo gli stessi strumenti per lo spionaggio dei computer a dittature e regimi autoritari.

Infine, perché queste tecniche non offrono nessuna garanzia a livello di controllo di eventuali abusi. Nel corso delle indagini su Hacking Team, per esempio, era saltata fuori un’email in cui si faceva riferimento alla possibilità di utilizzare i trojan per “impiantare” false prove sui computer degli indiziati. Insomma: l’equivalente informatico della classica bustina di cocaina infilata ad arte nel cassettino del cruscotto per incastrare un innocente. Al di là di casi limite come questo, i dubbi sull’affidabilità delle informazioni acquisite con questi metodi sono enormi. Come si può sapere che i dati non sono stati manipolati? E che cosa esattamente possono fare gli operatori che hanno il controllo del computer attraverso il trojan?