Nel dicembre 2014 l'FBI riceve una soffiata su un sito che distribuiva materiale pedopornografico. Il sito in questione, ospitato sulla rete Tor (sistema di comunicazione anonimo per Internet), si chiamava Playpen, ed era in quel momento il maggior fornitore di materiale pedoporno online. Da questa soffiata nasce la più grande operazione di hacking effettuata dalle forze dell'ordine americane: 137 procedimenti penali nei solo Stati Uniti, oltre numerosi procedimenti in altri paesi, 8700 computer perquisiti telematicamente in 120 paesi.

L’FBI sostenne che il sito Playpen non era correttamente configurato, e quindi l’indirizzo IP era visibile pubblicamente, per cui si poteva vedere che puntava ad una specifica locazione nel North Carolina. In tal modo l’FBI ottenne un mandato e quindi confiscò il server che ospitava il sito. Però l’FBI non chiuse immediatamente Playpen, ma lo spostò sui suoi server in Virginia, lasciandolo attivo per quasi due settimane. In tal modo gli utenti del sito (all’epoca quasi 215mila registrati) poterono scaricare ulteriore materiale pedopornografico, compreso un video di una “femmina prepubere” che aveva rapporti sessuali con uomini adulti. Di fatto l’FBI distribuiva materiale pedoporno direttamente, allo scopo di individuare soggetti che ricevevano materiale pedoporno. Il reato di distribuzione è il più grave tra i due!

server

Nel corso delle due settimane, quindi, sfruttando una vulnerabilità di Firefox (il browser incluso nel pacchetto Tor), l’FBI inviò a tutti gli utenti del sito un malware, che eufemisticamente definirono NIT (Network Investigative Technique), probabilmente proprio per minimizzare l’efficacia intrusiva del software. Il software, scaricato sui computer degli utenti, inviava automaticamente ai server dell’FBI in Virginia, i dati utili ad identificare il computer.
L’operazione era stata autorizzata con un unico mandato firmato dal giudice Theresa C. Buchanan del distretto orientale della Virginia.

A seguito dell’operazione sono stati identificate ed accusate centinaia di persone, l’FBI infatti inoculò il suo malware dentro computer in ogni parte del mondo. L’FBI, però, non poteva sapere dove risiedevano gli utenti del sito Playpen, anche se era plausibile ritenere che si trovassero anche al di fuori del distretto della Virginia. In base al Quarto Emendamento americano, un mandato deve essere rilasciato in base a fondati motivi, e deve specificare il luogo da perquisire o le persone. Ma, come riporta EFF, l’FBI chiese un mandato per persone “located in the Eastern District of Virginia”. In poche parole l’FBI mentì al giudice per ottenere un mandato che altrimenti, molto probabilmente, non avrebbe ottenuto.

edva

Un gruppo di avvocati ha lavorato coordinandosi tra loro, e impugnando i provvedimenti. Hanno, innanzitutto, chiesto il codice del software (il NIT) al fine di verificare se il software non andasse oltre i limiti del mandato, ottenendo però un netto rifiuto dal governo americano. A seguito del rifiuto alcuni giudici hanno annullato le prove. In altri casi hanno chiesto direttamente l’annullamento delle prove in quanto il mandato stesso sarebbe stato nullo, ottenendo anche qui alcuni successi, con l’invalidazione delle prove perché il mandato non indicava il luogo di perquisizione informatica.
Il mandato sarebbe stato illegale perché l’FBI ha effettuato l’equivalente di migliaia di perquisizione e sequestri, in località di tutto il mondo, sulla base di un unico mandato emesso da un giudice della Virginia. Il mandato viola la Regola 41 (Rule 41), che è parte del regolamento federale di procedura penale, una serie di norme che regolano le indagini penali. La Rule 41 autorizza i magistrati federali ad emettere mandati solo per il distretto giudiziario in cui esercitano giurisdizione. Nel caso specifico, quindi, il magistrato non poteva autorizzare ricerche di computer al di fuori del distretto della Virginia.
Si tratta di una forma di garanzia in quanto impedisce il cosiddetto forum shopping, cioè che i federali si rivolgano ad un magistrato compiacente.

In alcuni casi, invece, le istanze difensive sono state rigettate. Alcuni giudici hanno sostenuto che i sospetti non avrebbero alcuna aspettativa di privacy sui loro computer.

A seguito delle numerose impugnazioni dei provvedimenti, e di alcune cause annullate, per ovviare al problema del mandato limitato al distretto del giudice firmatario, il Dipartimento di Giustizia americano ha chiesto ed ottenuto la modifica della Rule 41 (modifica di gennaio 2016 ma entrata in vigore agli inizi di dicembre), la quale autorizza l’emissione di mandati anche al di fuori del distretto di appartenenza del magistrato.

Con la nuova normativa l’FBI potrà ottenere un mandato per accedere da remoto, inoculare un malware, effettuare ricerche, in qualsiasi computer in qualsiasi giurisdizione, cioè in qualsiasi parte del mondo. Ben oltre i confini degli USA. In particolare, l’FBI potrà accedere anche ai computer utilizzati da una botnet, cioè quei computer che sono infettati da un malware e quindi utilizzati per un attacco informatico verso un sito specifico. Quindi stiamo parlando di computer di persone che non hanno commesso alcun crimine, anzi sono a loro volta vittime di un reato, i cui dati, anche sensibili, verrebbero esposti pericolosamente durante le indagini. È ovvio che la vittima di un reato è generalmente disposta a fornire informazioni alle autorità, ma questione ben diversa è se le autorità accedono a tutte le sue informazioni, e senza nemmeno chiedergli il permesso.

Il Dipartimento di Giustizia ha sostenuto che le modifiche richieste occorrono per aggiornare le procedure all’era digitale, nella quale Tor, le botnet e i software di anonimizzazione rendono difficile individuare i criminali. Per il DOJ qualsiasi rischio di danni è ampiamente compensato dai vantaggi derivanti dalla possibilità di perseguire dei criminali. Il Sostituto Procuratore Generale Leslie Caldwell ha aggiunto che i computer delle vittime di botnet sono come una scena del crimine, e quindi le autorità hanno diritto di accedervi.

Le associazioni per i diritti civili si sono opposte strenuamente a tale modifica normativa (qui una lettera inviata al legislatore) che stravolge ogni regola procedurale. È come perquisire tutte le case di una città per scovare un solo delinquente. Con la differenza che in caso di perquisizione, il proprietario riceve una copia del mandato prima della perquisizione, mentre nel caso delle perquisizioni informatiche il proprietario del dispositivo riceve una copia del mandato solo dopo.

La modifica della Rule 41 non è solo un aggiornamento procedurale, bensì l’espansione delle capacità di hacking del governo americano, in tutto il mondo. Una modifica avvenuta senza alcun dibattito pubblico e democratico, quindi eludendo il normale processo legislativo.