Il crimine organizzato e lo spionaggio industriale costituiscono le maggiori minacce per le aziende, soprattutto in Italia dove il Made in Italy e la produzione di prodotti di eccellenza possono essere messe in pericolo dal furto della proprietà intellettuale.
Spesso le aziende sottovalutano le pesanti conseguenze derivanti dalle frodi compiute attraverso il mezzo informatico da parte di propri dipendenti o ex-dipendenti. L’insider aziendale ha come intento principale quello di creare un danno alla sua (o ex) compagnia in maniera diretta (danneggiando i sistemi) o indiretta (vendendo le informazioni ad un concorrente) spinto da motivazioni quali rabbia verso i colleghi o la dirigenza, insoddisfazione personale, frustrazione sul posto di lavoro o passaggio ad un competitor.
Le frodi di questo tipo costituiscono un duro attacco al business aziendale, non solo in termini finanziari ma anche reputazionali.
Secondo il Global Economic Crime Survey in Italia, l’autore delle frodi è prevalentemente un soggetto interno all’azienda (secondo il 61% degli intervistati), mentre a livello globale l’autore delle frodi è interno per il 56% ed esterno per il 40%. Nell’86% dei casi di frode che hanno visto coinvolti insider aziendali è stata avviata un’azione legale, dato in crescita rispetto al 30% degli anni precedenti.
Su questo tema abbiamo chiesto il parere degli avvocati Marco Tullio Giordano e Giuseppe Vaciago, tra i maggiori esperti in Italia nel settore del diritto penale delle nuove tecnologie.
Nella vostra attività, quale trend registrate riguardo casi che coinvolgono insider aziendali?
Negli ultimi anni abbiamo assistito ad un deciso incremento di richieste di assistenza legale (provenienti sia dalle aziende che dai soggetti direttamente interessati, è bene chiarirlo fin dal principio) in relazione a fattispecie ascrivibili a dipendenti infedeli in danno dei datori di lavoro oppure ad imprese nazionali ed estere in danno di competitors. Le condotte illecite riscontrate sono perlopiù declinabili sotto i diversi profili attinenti la rivelazione abusiva di documenti, segreti scientifici, industriali o commerciali (artt. 621, 622 e 623 c.p.), il trattamento illecito di dati (art. 167 Codice Privacy) o la distruzione od il danneggiamento di informazioni e sistemi informatici (art. 635 bis c.p.). Spesso per commettere questi reati, gli autori integrano anche accessi non autorizzati ai sistemi informatici aziendali (art. 615 ter c.p.), o meglio eccedenti le autorizzazioni concesse loro.
Quale tipo di azienda (di quale settore o dimensione) solitamente è oggetto di questi attacchi?
Per questioni meramente economiche, legate agli interessi in gioco ed al disvalore degli illeciti commessi, solitamente soltanto gli episodi che coinvolgono aziende di medie-grandi dimensioni destano più preoccupazioni e sfociano in veri e propri procedimenti penali innanzi all’Autorità Giudiziaria.
Questo non significa, però, che condotte di questo genere non siano portate a termine nei confronti di piccole-medie imprese e non creino pericoli per l’operatività aziendale se non per la stessa sopravvivenza del business. Mentre le piccole aziende sono attaccate solitamente dall’interno, i grandi player industriali sono oggetto di attacchi sferrati su commissione anche da competitors o agenti esterni.
Quanto alle tipologie di aziende coinvolte, assistiamo ad una sorta di omologazione degli standard e degli interventi, pertanto non sono soltanto più soggetti custodi di veri e propri segreti industriali ad essere in pericolo, ma qualsiasi genere di attività nel corso del cui svolgimento vengono utilizzati dispositivi informatici oggetto delle condotte sopra meglio descritte.
Di che tipologia ed entità sono i danni che riscontrate?
Le conseguenze delle condotte illecite nei confronti di aziende possono andare dalla perdita di fatturato a causa del danneggiamento dei sistemi, fino al blocco dell’operatività aziendale, se non addirittura porre in pericolo la sopravvivenza stessa dell’impresa, in caso di lesione della riservatezza di dati, informazioni, brevetti e altra documentazione rilevante. Abbiamo avuto a che fare con aziende che hanno dovuto chiudere linee di produzione o sviluppo, o diminuire il numero di assunzioni, o ancora abbandonare l’idea di espandersi all’estero. La valutazione dei danni, inoltre, non è mai di semplice esecuzione, poiché vi è necessità di far intervenire consulenti specializzati e spesso le expertise richieste sono di natura multidisciplinare.
Non è mai da sottovalutare anche l’impatto reputazionale, che a volte può generare danni anche maggiori di quelli praticamente rinvenuti sui sistemi o sulla qualità del lavoro.
Cosa può fare un’azienda dal punto di vista legale per difendersi da attacchi di questo tipo?
La prevenzione, come sempre, è l’arma più efficace. Le attività che consigliamo alle aziende che ci chiedono consigli in materia vanno da una corretta analisi dei rischi, l’esecuzione di audit ed altri controlli interni, la redazione di chiare ed approfondite policies che stabiliscano il perimetro entro il quale i dipendenti possono lecitamente utilizzare le risorse informatiche.
Se l’evento dannoso si è già consumato, non resta che agire prontamente, delegando l’attività di repertazione e conservazione delle prove a professionisti esperti e consulenti tecnici adeguatamente preparati.
Come può aumentare (in termini di efficacia dell’azione a tutela dei vostri clienti) la percentuale di successo in casi di questo tipo?
I risultati migliori si ottengono con la prevenzione e la previsione di rischi di questo genere. Aver previsto la possibilità che accadono taluni eventi ed aver pianificato una roadmap di intervento fornisce solitamente un buon punto di partenza. Aver programmato, grazie all’implementazione di best practices in tema di corporate forensic, una procedura che preveda la conservazione e la consultazione dei dati, potrebbe fornire una prima strada da percorrere in caso di incidente informatico. Una volta che il reato è stato integrato (che sia una rivelazione di segreti, che sia un danneggiamento dei sistemi, e via dicendo), la strada da percorrere per le aziende colpite è molto più impervia ed i risultati solitamente sono solo sotto il punto di vista della riparazione del danno e difficilmente riescono ad azzerare completamente le conseguenze nocive dell’evento.
Facebook Comments