Nell’affrontare la tematica sicurezza dei sistemi informatici al fine di proteggere i dati personali e non dell’organizzazione, quasi sempre ci si concentra sulle minacce provenienti dall’esterno, dando luogo ad un’analisi delle relative vulnerabilità in modo da adottare le contromisure tecniche ed organizzative idonee per mitigare il rischio. La tutela dei dati da attacchi interni è sentita meno pressante, anche se poi questo tipo di minaccia risulta molto insidiosa e ancora di più difficile tutela.
E’ umano del resto fidarsi di chi ti sta accanto e fa parte del tuo vivere quotidiano, ma la realtà giudiziaria purtroppo non lascia spazio a questo tipo di approccio.
Mi riferisco all’attacco condotto dal (ex)dipendente che utilizzando le credenziali a lui assegnate in modo difforme dall’uso consentito, acquisisce dati, personali e non, di solito o per mera rivalsa a fronte di un ritenuto torto subito oppure per finalità di lucro (come la vendita dei dati alla concorrenza o per iniziare una sua attività).
Con una certa frequenza, si trovano casi giudiziari in cui l’attacco è avvenuto dopo il licenziamento del dipendente, semplicemente perché ci si è dimenticati di disattivare le sue credenziali o, comunque, anche durante il rapporto di lavoro, avendo il dipendente intere praterie di dati disponibili, che in gran parte non gli servivano per il suo lavoro, che ha potuto copiare su usb senza impedimenti.
L’hacker non è solo il dipendente, ma può essere il tuo stesso socio, che collabora con te nello studio professionale o nella società fondata assieme, ma che ha deciso di aprirsi un’attività per conto suo.
Spesso l’attacco avviene utilizzando le credenziali del sistema informatico legittimamente affidate al dipendente o al socio, il quale compie operazioni, come copiare e incollare file o estrarre dati da un software, che di per sé, dal punto di vista tecnico, sono autorizzate nell’ambito di un determinato livello di accesso al sistema informatico, volontariamente assegnato.
Tuttavia quelle credenziali sono state affidate per svolgere determinati compiti a vantaggio dell’organizzazione o nel caso del socio per una finalità di collaborazione associativa.
Cosa succede quando quelle credenziali legittime vengono utilizzate per compiere operazioni di per sé tecnicamente autorizzate, ma per finalità estranee agli scopi per cui sono state affidate?
La giurisprudenza penale ha aperto di recente (Cass. Pen., U. 2017/41210) alla possibilità di configurare tali episodi come reato di accesso abusivo a sistema informatico ex art. 615-ter c.p.. Si configura l’accesso abusivo quando la finalità perseguita, che deve essere coerente con le finalità per cui è stato conferito il potere di accesso, risulti in contrasto con gli scopi che sono alla base dell’attribuzione del potere nonché con le regole dettate dal titolare o dall’amministratore di sistema.
In questo senso, un interessante precedente (Cass. Pen., V, 2020/34296) esamina il caso di un socio di uno studio commercialista e nel contempo di una società di servizi contabili, che aveva effettuato il backup di tutti i dati dello studio e della società con lo scopo poi di aprire un’attività in proprio. Nel precedente si afferma che l’accesso ai predetti sistemi informatici “deve essere eseguito per il perseguimento degli scopi propri dell’associazione e della società personale, per cui l’aver acceduto a quei sistemi per estrapolarne i dati in esso contenuti e servirsene per finalità esclusive concreta un accesso abusivo, sanzionabile ai sensi della norma suddetta”.
Il punto interessante è che il confine dell’accesso abusivo sta proprio negli scopi e nelle regole che si è data l’organizzazione: tanto più esistono regole che disciplinano modalità e scopi dell’accesso, tanto sarà più facile determinare un accesso abusivo senza incertezze, quale contrasto con queste stesse regole e scopi.
Tutto questo si collega con la compliance privacy, in cui è necessario prevedere un modello organizzativo che gestisca anche la sicurezza e i soggetti autorizzati (ex art. 29 GDPR), tramite policy interne che sulla base del principio need to know, definisca modalità e scopi dell’accesso che saranno poi assunti quale riferimento anche per il reato di accesso abusivo a sistema informatico ex art. 615-ter c.p..
Ecco che allora la compliance privacy non è un costoso fardello inutile, ma contribuisce a tutelare il patrimonio informativo dell’organizzazione contro attacchi anche interni, agevolando l’applicazione delle norme penali.
Ecco alcuni suggerimenti che spero possano essere utili:
- Classificare i dati per importanza e regolare il livello di accesso in base alla necessità della mansione;
- Definire le policy di utilizzo degli strumenti informatici e relativi controlli nel rispetto della normativa privacy, per evitare l’inutilizzabilità delle prove raccolte;
- Adottare soluzioni tecniche preventive (blocco usb, ripartizione cartelle, configurazione dei software per limitare estrazioni dati con excel, corretta gestione dei log e monitoraggio, ecc. … un buon MSP è fondamentale);
- Anticipare, se del caso, il problema bloccando magari certi accessi privilegiati prima della fine del rapporto di lavoro o quando si comincia a litigare tra soci;
- Se il problema si presenta, conviene sempre presentare denuncia-querela, se del caso anche contro ignoti (il reato ex art. 615-ter c.p. è un reato perseguibile a querela e d’ufficio per i casi più gravi, come quando è l’amministratore di sistema a commettere il reato);
- Fare attenzione a gestire correttamente la raccolta di eventuali prove (la c.d. “Computer Forensics” è fondamentale come anche il rispetto della normativa privacy…);
- …
Fondamentale si rileva presentare tempestivamente la denuncia-querela, il più possibile circostanziata e documentata, presso la Polizia Postale in modo che le indagini possano iniziare subito.
Seguire poi con attenzione le indagini è molto utile per sensibilizzare e aiutare gli organi competenti nel trovare i responsabili che non è poi così impossibile. Infatti spesso dipendenti o collaboratori vari non sono hacker esperti e lasciano varie tracce indelebili digitali che ne permettono l’individuazione.
Rimane poi importante la costituzione di parte civile nel processo penale, molto utile per farsi risarcire i danni subiti patrimoniali e non patrimoniali e qui la giurisprudenza sembra essere attenta nel tutelare le vittime di questo reato. Per esempio, nel caso dell’illecito backup del socio, è stata data una provvisionale di 50 mila euro, oltre le spese legali, subordinando la sospensione della pena al suo pagamento.
Pur nella difficoltà di difendersi a fronte di questo tipo di reati, tutele ragionevoli posso essere adottate per contemperare il rischio e soprattutto nel non far pensare ai male intenzionati che la via del crimine sia fin troppo facile.
Comunicare all’intera organizzazione che esistono misure come quelle descritte, oltre a limitare le concrete possibilità tecnica di commettere l’accesso abusivo, fanno capire anche che chi tradisce la fiducia concessa, rischia una condanna penale più il pagamento dei danni, con un evidente effetto deterrente, sempre ovviamente nei limiti della ragionevolezza.
