C'è una svolta significativa nell'inchiesta della procura di Napoli sul caso "Exodus", lo spyware creato da "E-surv", società di Catanzaro, nell'ambito delle intercettazioni utilizzate dalle procure per indagare sui reati per i quali vengono disposte la captazioni telematiche, ambientali o telefoniche. La novità consiste nel fatto che i pubblici ministeri Claudio Orazio Onorati, Cristina Curatoli e Silvia Pavia, hanno ottenuto, su loro richiesta, l'archiviazione del procedimento penale nei confronti delle società utilizzatrici del software e di una parte dei soggetti dipendenti dell'azienda "E-Surv", con sede nel capoluogo di regione calabrese. Nel decreto d'archiviazione si fa riferimento anche all'azienda Stm di Marisa Aquino, con sede a Pietrafitta, nella Presila cosentina, inizialmente coinvolta nella vicenda giudiziaria con un provvedimento di sequestro emesso dalla procura di Benevento che, per competenza territoriale, ha poi trasmesso tutti gli atti alla procura di Napoli, da ottobre 2023 coordinata dal procuratore capo Nicola Gratteri.

L'inchiesta su "Exodus"

La procura di Napoli, nell'avanzare la richiesta al gip delegato, ha ricostruito il caso parlando quindi dell'indagine denominata "Exodus", che ha riguardato l'utilizzo «distorto e illecito dei cosiddetti "captatori informatici", strumenti normalmente utilizzati per l'effettuazione di intercettazioni telematiche attive da parte dell'autorità giudiziaria». Nel decreto si legge che «il captatore informatico è un agente intrusore, che si può definire come un software malevolo in grado di infettare dispositivi come smartphone, tablet o pc e di accedere a tutta la sua attività», mediante comunicazioni telefoniche, mail, chat, foto, Skype, fino alla navigazione web. Il captatore, inoltre, «è in grado anche di attivare microfono e videocamera per effettuare intercettazioni ambientali».

Funzionamento difforme

Nel corso delle indagini effettuate dalla procura di Napoli, «è stato appurato che la società E-Surv, con sede a Catanzaro», avrebbe concepito, utilizzato e commercializzato «una piattaforma per effettuare intercettazioni telematiche con captatore informatico, denominata "Exodus", che ha funzionato in modo difforme dalle disposizioni normative vigenti in materia di intercettazioni con captatore informatico, adottando inoltre una infrastruttura di rete e protocolli di accesso e trasmissione dei dati non adeguati agli standards del settore, che esponevano i dati delle intercettazioni sia al rischio di accessi non autorizzati, sia al rischio di intercettazioni abusive, effettuate senza le autorizzazioni dell'autorità giudiziaria».

Cosa è emerso dall'inchiesta "Exodus"

Secondo i pubblici ministeri della procura di Napoli, dall'inchiesta sarebbe emerso che «la principale caratteristica della piattaforma Exodus era quella di sfruttare alcune vulnerabilità informative dei sistemi operativi Android e Ios per realizzare le infezioni dei dispositivi "bersaglio" non attraverso un invio "mirato" del captatore, bensì mediante un'infezione preventiva - con trojan virus - di normali e appetibili applicazioni ("Apps") che venivano poi inserite nelle più comuni piattaforme di acquisto dei programmi elettronici (ad esempio il play store di Google)».

I magistrati di Napoli sostengono anche che siano state «violate le prescrizioni di legge e dell'autorità garante per la protezione dei dati personali in materia di conversazione e protezione dei dati delle intercettazioni telematiche mediante captatore informatico, poiché è emerso che i dati acquisiti con le intercettazioni non sempre sono stati registrati e conservati nei servers delle procure, bensì su spazi informatici virtuali e in database in cloud  ubicati anche all'estero, principalmente su spazi cloud statunitensi della società Amazon». A ciò si aggiunge che, secondo gli inquirenti, sarebbe stato accertata «l'assenza di idonee misure informatiche di crittografia dei dati trasmessi e depositati in rete, che sono risultati accessibili facilmente (passwords elementari o assenti e mancanza di qualunque sistema di autenticazione a due o più fattori) e visibili in chiaro anche da utenti non abilitati».

Per la procura di Napoli «i dati di intercettazioni disposte da diverse procure del territorio nazionale, risultavano esposti verso la rete internet, a causa della visibilità degli IP di accesso, e dell'assenza adeguate misure di protezione da accessi abusivi dalla rete internet». La piattaforma "Exodus", pertanto, «era quasi integralmente rimessa al controllo a alla gestione degli amministratori e del personale della "E-Surv"», parliamo di personale tecnico «delle società private che hanno creato la piattaforma, e di quelle che lo hanno acquisito per svolgere le attività di intercettazione telematica attiva presso le procure per aggiudicarsi le gare per lo svolgimento delle intercettazioni telematiche attive presso le singole procure, sono state tenute all'oscuro degli uffici giudiziari».

I soggetti nel mirino della procura di Napoli

Se per buona parte degli iniziali inquisiti il caso si è chiuso nella fase delle indagini preliminari, la procura di Napoli ha deciso di esercitare l'azione penale nei confronti di Diego Fasano, «quale amministratore di fatto della E-Surv»; Salvatore Ansani, «quale direttore delle infrastrutture It della "E-Surv", nonché nella qualità di creatore e gestore della piattaforma informatica "Exodus", competente anche per la creazione di nuovi "trojan-virus", per le procedure di inserimento in rete dei virus e per le procedere di "infezione" dei dispositivi telefonici e informatici»; Davide Matarese, «quale esperto informatico dipendente della "E-Surv", quale co-gestore - sotto le direttive di Ansani - della piattaforma informatica "Exodus", e incaricato per la creazione di nuovi "trojan-virus", e per le tecniche di "infezione" dei dispositivi telefonici e informatici»; Francesco Pompò «quale esperto informatico dipendente della "E-Surv", quale co-gestore - sotto le direttive di Ansani - della piattaforma informatica "Exodus", e incaricato per la creazione di nuovi "trojan-virus", e per le tecniche di "infezione" dei dispositivi telefonici e informatici».

Indagini abusive

Per la procura di Napoli la fase dell'incidente probatorio ha chiarito la situazione investigativa, in quanto sono emerse «tracce di intercettazione telematica attiva con trojan eseguite su bersagli (da identificare) per i quali non risultano decreti autorizzativi dell'autorità giudiziaria e dunque da ritenersi "abusive" (ex art. 617 quater c. p.)», nonché «sono presenti tracce informatiche di accessi esterni - eseguiti principalmente dallo staff tecnico e amministrativo della "E-Surv" - ai dati della piattaforma Exodus, ed evidenze informatiche della visione e dell'ascolto di files relativi ad intercettazioni telematiche». Inoltre, «la piattaforma Exodus non aveva livelli di protezione dei dati adeguati agli standards normativi e tecnici vigenti», in quanto «era allocata interamente su server Amazon installati in Oregon, ed era - in parte - esposta in rete internet, ragione per la quale aveva già subito tentativi di intrusione dall'esterno».

La valutazione dei pm

In conclusione, scrivono i pm, «si può escludere in capo agli amministratori delle società utilizzatrici la sussistenza dell'elemento psicologico in ordine alle problematiche del prodotto» e la responsabilità penale viene esclusa finanche per «Giuseppe Fasano quale legale rappresentante della società E-Surv, Giuseppe Console quale direttore amministrativo e commerciale, e Maria Beatrice Fasano», perché anch'essi non erano a conoscenza «delle criticità del prodotto» e delle presunte condotte delittuose contestate agli altri indagati.