È importante, al giorno d’oggi, che le aziende valutino l’opportunità di effettuare delle investigazioni informatiche forensi e i vantaggi che ne trarrebbero.
A differenza di 20-30 anni fa, infatti, il know-how aziendale non si trova chiuso al sicuro in armadi o in casseforti a cui accedevano poche persone fidate. Oggi il know-how, il valore strategico di un’azienda è fluido, è nei documenti elettronici conservati, elaborati, trasmessi e gestiti da server, desktop, portatili e smartphone.
Indice degli argomenti
La necessità di investigazioni informatiche forensi
Sottrarre materiale strategico, o riservato è oggi molto più semplice di una volta: con una chiavetta USB passando assolutamente inosservati si possono sottrarre i disegni CAD di un prototipo, o i documenti di partecipazione ad un bando; anche l’inoltro o l’invio di una mail a destinatari estranei all’azienda possono essere determinanti in una ipotesi di danneggiamento o spionaggio.
Progetti, documenti riservati, in genere le informazioni non sono solo nei server aziendali collocati nei data center protetti da controllo accessi: quelle informazioni sono nei desktop che vi accedono, nei portatili dei tecnici e delle figure apicali, sono negli smartphone e tablet forniti al personale e sempre più spesso nel cloud aziendale o distribuite su diversi cloud.
Il perimetro in cui sono conservati i dati importanti è ormai esteso ben oltre i confini fisici dell’azienda, dall’outsourcing al SaaS fino al cloud l’azienda ha ampliato il perimetro fisico in cui sono riposti i suoi dati. Il verificarsi di un evento dannoso richiede imprescindibilmente l’affiancamento di investigazioni informatiche a quelle tradizionale per poter ricostruire i fatti, individuare gli attori che li hanno originati e i destinatari.
Investigazioni informatiche forensi: il quadro normativo
Se è pur vero che l’azienda ha tutto il diritto a tutelare i propri interessi e il patrimonio attraverso investigazioni informatiche e tradizionali, lo può e lo deve fare all’interno di un contesto normativo specifico, rappresentato principalmente dalla normativa privacy, dallo statuto dei lavorati e le successive modiche e integrazioni, nonché dal principio di rispetto delle libertà e dei diritti della persona
Nel rispetto delle normative vigenti, i controlli e le investigazioni non possono essere sistematici e applicati a prescindere dall’esistenza o meno di una condizione di frode, spionaggio o furto di informazioni. Le investigazioni possono essere condotte solo ex post, e meglio se all’interno di un contesto legale definito dall’istituto delle indagini difensive preventive.
Perché le indagini possano essere eseguite con la massima serenità è particolarmente utile che la governance aziendale abbia definito policy che stabiliscano diritti e doveri dell’utenza aziendale, il regolamento aziendale relativo all’utilizzo delle risorse informatiche: computer, smartphone, internet, mail ecc., nonché abbia reso pubbliche le modalità con cui l’azienda può effettuare i controlli per verificare il rispetto del regolamento e delle policy aziendali.
Con questi presupposti l’azienda può avviare una indagine sui dispositivi informatici dell’azienda volta ad accertare la sussistenza di condizioni illecite o di reati. Questo tipo di indagini vengono normalmente richieste dall’ufficio Human Resource, dall’ufficio legale, o dall’ufficio IT e indirizzate per consuetudine all’ufficio controlli Interni o Internal Audit. Questo Ufficio ha fra le proprie prerogative quelle di sviluppare un piano di controlli che permetta di misurare e presidiare le aree di rischio come previsto dalle norme di legge: GDPR, la normativa sul Copyright, il D.lgs. 231 sulla responsabilità amministrativa, ma anche dalle norme volontarie come le norme ISO come la ISO 27001, è inoltre compito dell’ufficio di Internal Audit presidiare il rispetto delle norme e policy aziendali.
Quando l’azienda non è strutturata con un ufficio controlli, le loro attività sono spesso demandate al reparto IT. Anche dove esiste un ufficio di Internal Audit spesso non è dotato di risorse con competenze tecnico giuridiche per eseguire operativamente indagini informatiche, è quindi normale che tali attività siano affidate al reparto IT.
La raccolta delle prove informatiche
E qui il tema diventa importante e cruciale: eseguire una indagine informatica è ben diverso dall’eseguire un’indagine informatica forense. Infatti, mentre nella prima si effettua una ricognizione dei sistemi volta ad identificare elementi utili all’indagine richiesta, per svolgere una investigazione informatica forense si procede certamente alla ricognizione dei sistemi informatici ma soprattutto alla raccolta, secondo le best practice delle indagini scientifiche, delle prove informatiche al fine di poterle produrre eventualmente in giudizio, e in ogni caso per poter opporre a terzi ai fini della tutela aziendale.
Infatti, nel momento in cui le risultanze di una indagine interna assumono un rilievo per l’applicazione di un provvedimento disciplinare, o si configurano contesti di illeciti o di reati, è fondamentale che gli elementi che si vanno a contestare o a documentare, siano raccolti con le garanzie, per l’azienda e la controparte, che permettano di produrli come fonti di prova autentiche e oggettive, e possano quindi compiutamente supportare l’azione disciplinare o un procedimento giudiziario.
Tutto questo senza dimenticarsi che tali elementi possono, essere risultare altresì estremamente utili per l’azienda nei confronti degli stakeholder e delle eventuali assicurazioni sul cyber rischio che certamente chiederanno una “certificazione” di quanto avvenuto prima di liquidare un sinistro.
Alcune aziende sono dotate di unità operative tecnicamente qualificate svolgere le investigazioni informatiche richieste dai vari uffici, si tratta di strutture che dovrebbero stare in staff alla direzione generale per essere il più possibile indipendenti e distinte dalle unità di operationals. Ove non è possibile avere una struttura investigativa interna, o dove si sia in presenza di fatti gravi, è consigliabile affidarsi per questo tipo di indagini a studi professionali o consulenti esterni per poter contare su un know-how e una esperienza estremamente ampia, ma anche per avere una valutazione il più indipendente possibile, evitando che le indagini posano essere condizionate anche minimamente dalle gerarchie aziendali e dai rapporti personali interni all’azienda.
I casi più comuni di investigazioni informatiche forensi
Premesso, come abbiamo detto, che le indagini informatiche possono rientrare fra le attività del piano di controlli che l’azienda programma, o che possono provenire da richieste specifiche del reparto Human Resource, piuttosto che Legale o IT, tenuto conto che non può essere avviato un controllo sistematico preventivo in particolare dell’attività dei lavoratori ma si può agire solo ex post per riscontrare situazioni o condotte illecite o criminose, andiamo a vedere quelli che sono i casi più comuni in cui una investigazione informatica risulta decisiva per la salvaguardia del patrimonio, degli interessi nonché della reputazione e condotta, dell’azienda.
Mancato rispetto policy aziendali
Molte aziende hanno una policy e regolamenti aziendali relative all’uso e all’esercizio dei sistemi IT. Le policy sono pensate per garantire un livello minimo di sicurezza e mitigare certi rischi, ove queste sono disattesa chiaramente si mette a rischio l sicurezza dei sistemi e dei dati trattati.
Si pensi a sistemi configurati al di fuori degli standard aziendali, all’installazione arbitraria di software non previsto dall’azienda, o all’uso di dispositivi personali per fini aziendali, ma anche all’uso disinvolto delle chiavette USB o dell’abitudine di caricare lo smartphone con il PC condividendone lo storage, sono tutte situazioni in cui una condotta che può sembrare innocua va invece a indebolire e mettere a rischio o compromettere l’infrastruttura di sicurezza dell’azienda.
Uso illecito strumenti aziendali
Desktop, portatili, smartphone sono forniti dall’azienda al dipendente o al collaboratore per svolgere una mansione, spesso sono invece considerati e usati come strumenti personali, quindi usati con disinvoltura ad esempio per scarica e condividere film e materiale protetto da copyright da circuiti p2p, crack di software, o per partecipare a forum, chat o gruppi di discussione di dubbia liceità e moralità.
Tutte condotte che non rientrano nell’uso previsto dall’azienda e che possono costituire un rischio legale ma anche un grave rischio per la riservatezza dei dati conservati in questi strumenti informatici.
Uso per fini personali di strumenti aziendali
Nelle aziende è spesso tollerato un uso limitato delle risorse IT per fini non aziendali, l’accesso alle mail personali o l’utilizzo di Internet per ricerche o anche acquisti online è tollerato, come del resto l’uso del notebook ai fini personali fuori dall’orario di lavoro.
Quando però l’utilizzo personale eccede la giusta misura, è il caso di download massivi dall’Internet aziendale o dell’uso del PC aziendale in contesti pubblici, feste, presentazioni ecc., o addirittura dell’uso intenso delle risorse hardware, ad esempio per il montaggio video, si creano situazioni che possono arrecare danno all’azienda: l’uso intensivo di internet per scaricare contenuti riduce la disponibilità della rete per glia altri dipendenti con il rischio di precludere il lavoro di alcuni di essi, nel caso il computer sia usato in contesti non “privati” c’è il rischio che ignoti possano accedere a contenuti aziendali, nell’uso intensivo dell’hardware si potrebbe configurare una obsolescenza maggiore del bene perché usato per attività per cui non era pensato.
Violazione delle norme sulla protezione copyright
Il problema legato all’uso i software licenziato in azienda è una problematica assai diffusa. Può capitare di imbattersi in situazioni in cui alcune strutture aziendali decidono, di procurarsi gli strumenti di lavoro, tipicamente software e libri, in maniera illegale, scavalcando i processi aziendali.
Altre volte, invece, ci troviamo a gestire problemi legati all’uso illegale di marchi e simboli sia in ambito aziendale sia sul web, attraverso l’uso illecito da parte di altri dei marchi e dei simboli dell’azienda.
Danneggiamento sistemi informatici
Il danneggiamento è tecnicamente quel fatto che cagiona un danno ad una cosa (materiale o immateriale) determinandone una modificazione nella struttura, nella funzione o in entrambe. Può derivare da un attacco informatico, da una condotta di un dipendente infedele, o da negligenza del personale addetto.
Il danneggiamento può assumere grave e importante rilevanza quando ha impatti su riservatezza, integrità e disponibilità dei dati, ma anche quando il danno cagionato determina perdite economiche. Nella fattispecie di retato del danneggiamento informatico rientrano anche il sabotaggio dei sistemi informatici, il furto di informazioni e l’alterazione dei dati.
Falsificazione documenti informatici
Questa fattispecie è meno comune ma certamente può capitare all’intero di rapporti contrattuali siano prodotti documenti informatici diversi, alterati parzialmente o totalmente rispetto agli originali, si tratta tipicamente di documenti di fatturazione, documenti contrattuali o contabili bancarie o ricevute di pagamento.
Dipendente infedele
Il dipendente “infedele” è quello che compie un illecito quando divulga notizie attinenti all’organizzazione e i metodi di produzione aziendali o quando utilizza dette notizie per creare un pregiudizio all’azienda datrice di lavoro.
È considerato illecito, inoltre, condurre trattative d’affari del dipendente in persona o per conto terzi in concorrenza con il datore. Gli obblighi del lavoratore non si fermano solo a quelli imposti dall’art. 2105 c.c. ma si estendono anche a qualsiasi altro comportamento in contrasto con il rapporto di fiducia tra azienda e lavoratore.
Conclusione
Ai casi visti finora si aggiunge anche un’altra serie di illeciti e reati a patire da quelli fiscali fino a quelli amministrativi che sono condotti mediante strumenti informatici, strumenti che sono quindi i testimoni delle nostre condotte.
La prova informatica, per propria natura, è particolarmente fragile, può essere alterata, distrutta, compromessa in modo irreparabile.
È per questo motivo che tale tipologia di prova deve essere trattata, fin dalle prime fasi delle indagini informatiche, da personale qualificato per cristallizzare tempestivamente le evidenze informatiche e ridurre al minimo il rischio di alterazione e danneggiamento per poter produrre tali elementi come elementi probatori in giudizio e opponibili terzi.
Le investigazioni informatiche forensi rappresentano e rappresenteranno sempre più per le aziende uno strumento di tutela del patrimonio aziendale potendo, attraverso queste acquisire “evidenze” e informazioni atte a “certificare” eventi di rilevanza aziendale.
Questo tipo di consulenza risulta sempre più rilevante in ambito civile, commerciale, fiscale, giuslavoristico, nei rapporti tra azienda e dipendenti, tra clienti e fornitori e nei rapporti con gli istituti di credito e assicurazioni.
Le investigazioni informatiche forensi in ambito aziendale, note anche come computer forensics aziendale o corporate forensics, sono destinate a rappresentare un driver importante in quei settori in cui la priorità è quella di verificare in modo pro-attivo o reattivo e con tempestività, il proprio status, rispetto ad un evento che possa rappresentare un rischio.
Questo approccio permetterà di ridurre al minimo le eventuali perdite (tempi, costi, attività e informazioni), sino al raggiungimento e al ripristino della “normale prassi aziendale”.
