Quando serve la perizia informatica contro i dipendenti disonesti?

EmailOggigiorno, con lo sviluppo delle tecnologie informatiche, le organizzazioni di ogni settore mantengono sempre più il loro know-how sui sistemi informatici, talvolta solo su di essi! Pensiamo a progetti di impianti e macchinari, programmi software, dati di clienti e fornitori, ecc..
Questo costituisce un rischio che spesso non viene valutato a dovere, infatti la perdita di tali dati o, peggio, la sottrazione di essi da parte di malintenzionati è sempre più frequente. Ma se il rischio di perdita dei dati dovuto ad incidenti informatici (danneggiamento dei supporti e dei sistemi) e non (incendi, allagamenti, terremoti, ecc.) spesso viene analizzato e più o meno adeguatamente gestito – almeno nelle organizzazioni più strutturate – il rischio di sottrazione di dati da parte di soggetti che operano dall’interno dell’azienda o dello studio professionale sovente non è analizzato in modo idoneo e, quindi, la perizia non serve se non è stata preceduta da adeguate misure preventive.


Le ricerche condotte da autorevoli organizzazioni operanti nel settore della sicurezza delle informazioni e le analisi delle autorità preposte alla difesa contro la criminalità informatica testimoniano che sempre più crimini informatici vengono commessi dall’interno dell’azienda.
Volendo sorvolare sulle possibili attività non lecite svolte dal dipendente dell’azienda quando è collegato ad internet (consultazione e scaricamento di materiale da siti pedofili, scaricamento di materiale coperto da diritti d’autore, ecc.), soffermiamoci sulla sottrazione con eventuale cancellazione di dati del dipendente o collaboratore che poi utilizza gli stessi dati per sviluppare un’attività concorrenziale oppure per rivenderli alla concorrenza.
Mentre da un lato tali azioni – svolte sempre più da gruppi organizzati piuttosto che da singoli – possono portare alla sottrazione e distruzione di dati su supporto cartaceo con qualche difficoltà, l’asportazione e cancellazione di dati in formato elettronico è alquanto più agevole, anche grazie ai nuovi supporti di memorizzazione molto più capienti che in passato e facili da nascondere, per non parlare delle possibilità offerte dal cloud  di trasferire in poco tempo alcuni gigabyte di dati tramite account personali gratuiti.
Il recupero di eventuali dati cancellati proditoriamente dal collaboratore disonesto potrebbe dare esiti incerti, infatti i risultati  dipendono dalla scaltrezza di chi commette il reato, che potrebbe aver gettato documenti cartacei nel “distruggi documenti” oppure cancellato i dati informatici in modo irreversibile attraverso appositi programmi. Conoscendo le tecniche di backup dell’organizzazione anche i salvataggi potrebbero essere inutilizzabili in caso di impiego di metodi che non conservano le copie di documenti cancellati o sostituiti oppure se le copie di sicurezza sono accessibili al malintenzionato.
A questo punto l’organizzazione danneggiata potrebbe rivolgersi all’avvocato per far valere i propri diritti, ma questi dovrà sicuramente interpellare un esperto informatico per raccogliere le prove del reato e cercare di recuperare i dati cancellati.
Mentre per quest’ultima azione è fondamentale l’esistenza di un backup recente dei dati (sempre che tra i fuoriusciti non ci sia qualcuno del reparto EDP!), raccogliere prove da poter far valere in Tribunale non è facile. Spesso infatti il solo trascorrere del tempo fra il momento del presunto reato e l’intervento del perito informatico di parte o di quello nominato dall’Autorità Giudiziaria (detto anche CTU) comporta un deterioramento di eventuali prove. Infatti un PC o un Server non è esattamente nelle stesse condizioni nelle quali è stato perpetrato il reato già pochi minuti dopo, in quanto alcune operazioni di routine vengono attivate periodicamente dal sistema operativo e dai programmi e tali attività potrebbero inficiare le possibilità di recuperare dati cancellati o comunque di ricostruire lo “stato di fatto” del sistema informatico al momento in cui si sospetta sia avvenuta la sottrazione e cancellazione di dati.
Attualmente numerosi programmi sono in grado di recuperare file cancellati o perlomeno parte di essi, ma le continue riscritture del disco rigido possono vanificare l’attività di recupero. Dunque il consiglio è quello di “congelare” il disco sul quale erano contenuti i dati sottratti e cancellati. Non correte a vedere se c’è spazio nel vostro congelatore, intendo dire che bisogna estrarre l’hard-disk dal PC e riporlo in una custodia adeguata fino all’arrivo del perito informatico. Se il reato commesso è tale da valer la pena di intentare una causa per danni l’inutilizzo di qualche disco per un certo tempo sarà sicuramente un’operazione vantaggiosa. Tra l’altro le recenti modifiche al Codice Penale hanno introdotto alcuni reati informatici che solo una decina di anni fa non erano previsti, tra cui l’accesso abusivo ad un sistema informatico.
Naturalmente anche i supporti di backup che potrebbero dimostrare la presenza di file poi sottratti e cancellati andrebbero conservati senza riutilizzarli per successivi salvataggi.
Tutti i file di log dei sistemi informatici potrebbero poi essere utili per tracciare attività fraudolente, ma per dimostrare che una certa operazione (cancellazione, copia) è stata commessa da una certa persona è necessario provare che l’operazione è stata effettuatada un determinato utente che si è autenticato nel sistema informatico attraverso una password segreta.
A questo proposito l’applicazione di tutte le prescrizioni previste dal codice della privacy (D.Lgs 196/2003) consente al titolare del trattamento di dimostrare di aver fatto di tutto per prevenire il danno e ciò è necessario anche per tutelarsi nei confronti di eventuali terzi danneggiati. Supponiamo infatti che il dipendente malintenzionato abbia sottratto progetti importanti svolti dall’azienda per un cliente che, a questo punto, vedrebbe informazioni riservate divenire di dominio di persone non autorizzate e che magari potrebbero essere vendute alla concorrenza! Tale cliente potrebbe rivalersi sull’azienda che ha subito la sottrazione di dati, ovvero oltre al danno anche le beffe!
Purtroppo nella maggior parte dei casi il perito, che deve operare in modo da alterare il meno possibile il corpo del reato, si trova a che fare con situazioni nelle quali è difficile dimostrare con ragionevole certezza un comportamento fraudolento. Questo spesso avviene a causa della stessa organizzazione che ha subito il danno, la quale non solo non ha intrapreso idonee misure preventive per proteggere i propri dati, ma ha anche agito in modo non corretto per salvaguardare le prove dopo che il fatto è stato commesso. Infatti, la mancata osservanza di alcune prescrizioni del Codice della Privacy – in particolare del disciplinare tecnico delle misure minime di sicurezza (allegato B del Codice) – oppure della disposizione relativa agli Amministratori di SIstema potrebbe creare all’organizzazione danneggiata più danni che benefici in Tribunale. Anche l’impiego non corretto di misure di sorveglianza quali videosorveglianza non autorizzata, sistemi di rilevamento presenze con sistemi biometrici o software di monitoraggio del comportamento degli utenti nei sistemi informatici potrebbero risultare vani di fronte ad una buona difesa del colpevole che potrebbe a sua volta contrattaccare conoscendo le vulnerabilità legali della sua (ex)azienda. In questi casi è opportuno chiedersi “a quanto” serve la perizia informatica, se vogliamo parafrasare il titolo di questo articolo.

In generale, dunque, l’organizzazione deve aver ben chiaro cosa proteggere, quali sono le informazioni più importanti ed in base ad una attenta analisi dei rischi ed una valutazione del costi di prevenzione, decidere come proteggersi.

In un convegno sulla sicurezza informatica di qualche tempo fa, ad esempio, è stato esposto che le suddette valutazioni hanno  portato una importante azienda meccanica del bolognese  a concludere che il rischio maggiore non è costituito dal fatto che un potenziale concorrente potesse sottrarre i progetti delle proprie macchine per crearne di proprie (i tempi ed i costi per mettere in piedi un’organizzazione con know-how adeguato sarebbero stati eccessivi), ma piuttosto poteva costituire un pericolo più consistente la sottrazione di informazioni finalizzate alla realizzazione di parti di ricambio, compresi i dati dei clienti.

Il problema del cosiddetto “data leakage“, considerato anche nella noma ISO 27002 “Information technology security tecniques – Code of practice for information security management“, ha portato alcune aziende ad ideare dei sistemi di protezione della conoscenza che potrebbero prevenire furti di informazioni oppure renderli inoffensivi.

Ad esempio gli ormai noti sistemi di DRM (Digital right Management) che impediscono di ascoltare brani musicali, oppure di leggere ebook, acquistati via internet su un numero illimitato di dispositivi potrebbero essere applicati a codice sorgente di applicativi software o a progetti di impianti o macchinari.

In conclusione i passi per definire ed attuare un’adeguata strategia di protezione del know-how aziendale può essere riepilogata nei seguenti punti:

  1. Determinare le informazioni da proteggere ed assegnarne dei livelli di priorità.
  2. Effettuare una valutazione di rischi che si corrono
  3. Stabilire ed attuare delle contromisure preventive per eliminare o ridurre i rischi più significativi.
  4. Definire delle azioni di contenimento da attuare in caso di furto di informazioni con eventuale perdita delle stesse.

Seguendo queste regole l’intervento del consulente informatico – e la relativa perizia informatica – può risultare efficace e talvolta essere evitato.