Dipendenti disonesti e violazione della privacy aziendale

(Articolo già pubblicato da Altalex, quotidiano online di informazione giuridica, in data 19 febbraio 2016)

Nell’era dello sviluppo delle tecnologie informatiche le imprese tendono a mantenere il più alto livello di know-how sui sistemi informatici, e anzi spesso la gestione del sistema rappresenta il lavoro stesso dell’ente[1].

Tutto questo può costituire un rischio che la maggior parte delle imprese, di solito medio-piccole, tende a sottovalutare o, peggio ancora, ignorare. Tali dati, ad esempio, potrebbero andare accidentalmente perduti in seguito a incidenti informatici di cui l’impresa può essere più o meno responsabile[2]. Accanto a questo tipo di problematiche però si fa sempre più attuale per l’impresa un’altra minaccia: i dati possano venire, più o meno fraudolentemente, sottratti da propri dipendenti, soggetti che operano all’interno dell’azienda e quindi si trovano in una posizione privilegiata di accesso alle informazioni.

Numerose società negli ultimi anni hanno condotto ricerche al fine di valutare l’incidenza di tali tipi di rischi per le aziende e i risultati sono pressoché sorprendenti. A oggi, infatti, dall’analisi della criminalità informatica che emerge da tali studi, si evince che i rischi per le aziende siano da ricercarsi tanto più nei propri dipendenti che non all’esterno. Ciò che può animare il dipendente poi è presto detto. Sorvolando su quelle che pure possono costituire attività illecite dello stesso quando è collegato a internet, quali la consultazione di siti pornografici o lo scaricamento di file coperti da diritto d’autore, che pure hanno una rilevanza ma esulano dalla presente ricerca, focalizziamoci su una serie di attività che il dipendente può mettere in atto nei confronti del datore di lavoro:

1.      Sottrazione di dati;

2.      Cancellazione di dati;

3.      Utilizzo dei dati per avviare un’attività in concorrenza;

4.      Utilizzo dei dati per rivenderli ad eventuali imprese concorrenti.

In relazione ai punti tre e quattro si ha un collegamento diretto con l’articolo 2105 c.c. rubricato “Obbligo di fedeltà del lavoratore dipendente e divieto di concorrenza sleale”[3].

L’art. 2105 c.c. individua l’obbligo di fedeltà in due distinti doveri, entrambi di contenuto negativo: il divieto di concorrenza e l’obbligo di riservatezza ovvero di segretezza. Il primo consiste nell’obbligo di astenersi dal trattare affari in concorrenza con l’imprenditore, sia per conto proprio che di terzi, mentre il secondo vieta al lavoratore di divulgare o di utilizzare, a vantaggio proprio o altrui, informazioni attinenti l’impresa, in modo da poterle arrecare danno.

Fatte queste doverose premesse, è necessario soffermarsi poi su un’altra differenza. Nell’era analogica la carta rappresentava un mezzo fondamentale per l’attività dell’ente. Nell’era digitale, di contro, le imprese lavorano prevalentemente con i dati. Il dato rappresenta quindi il fine e il mezzo. Questo da un lato costituisce un’opportunità in più per accelerare i processi lavorativi, ma dall’altro, come un Giano Bifronte, può costituire un’arma a doppio taglio per le aziende: i propri dipendenti potrebbero distruggere o sottrarre più agevolmente dati informatici che supporti cartacei. Basta un click ed è possibile effettuare un backup di un intero DBMS distribuito su un supporto esterno, in un tempo esiguo un’intera banca dati può essere formattata, centinaia di informazioni andare perdute. A ciò si aggiungono le opportunità offerte dal cloud computing, spazio virtuale illimitato sul quale un malintenzionato dipendente potrebbe far confluire dati di cui intende illegittimamente appropriarsi: in poco tempo gigabyte di dati possono essere fatti convergere su un account Apple iCloud o Google Drive, con la conseguenza di rendere sempre più difficile la tracciatura degli stessi una volta che hanno raggiunto il data center e sono stati cifrati in modo da risultare occulti allo stesso gestore del servizio.

In base poi alla scaltrezza del dipendente che ha commesso il reato, il recupero dei dati può dare esiti incerti. Ciò dipende da:

- eventuali cancellazioni irreversibili dei dati, tramite programmi specifici;

- eventuale accesso del dipendente ai file di backup.

L’organizzazione danneggiata può rivolgersi a un legale per far valere i propri diritti, ma sarà comunque necessario fare ricorso a un esperto informatico per cercare di recuperare i dati cancellati e raccogliere, così, le prove del reato. Questa operazione però è resa difficoltosa dal trascorrere del tempo, che può portare al deterioramento di eventuali prove. Spesso i sistemi operativi eseguono operazioni di routine sui dischi che non consentono di conservarne lo stato attuale: l’assenza di un backup recente dei dati diviene fondamentale. In questo caso estrarre fisicamente l’hard disk dall’alloggiamento costituisce una necessità primaria.

Tuttavia esiste un inconveniente ancor più gravoso per l’azienda: l’accesso a un file log di un sistema informatico al fine di tracciare eventuali attività fraudolente non può essere utilizzato a vantaggio della stessa, se non è provato che il dipendente si sia autenticato in un dato momento per il tramite di una password segreta.

L’attività del dipendente costituisce pertanto, di là da quelli che sono i suoi scopi, un’indebita violazione della privacy per i soggetti coinvolti nella sottrazione dei dati. La privacy può essere identificata con il brocardo “The right to be let alone” (lett. “il diritto di essere lasciati in pace”): il diritto alla riservatezza della propria vita privata rischia pertanto di venire vanificato quando il cliente di un’azienda vede proprie informazioni riservate divenire di dominio di persone non autorizzate, le quali tra l’altro potrebbero essere vendute alla concorrenza.

Cosa rischia quindi il dipendente, ammesso e non concesso che si riesca a provare la sua colpevolezza, e cosa l’azienda? A tal proposito è necessario distinguere due aspetti: l’uno attiene alla responsabilità penale, l’altro a quella civile.

Per quanto riguarda il primo vengono in rilievo gli artt. 167 e 169 del Codice della Privacy, i quali rispettivamente sanzionano il trattamento illecito dei dati e l’omessa adozione di misure necessarie alla sicurezza dei dati. Nel primo caso le pene possono andare da sei a diciotto mesi di reclusione, se dal fatto ne deriva nocumento, o da sei a ventiquattro mesi, se il fatto consiste nella comunicazione o diffusione. Nel secondo invece “chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni”.

La responsabilità penale è personale, questo principio guida da sempre l’attività di ogni giurista. Per tale motivo il dipendente è indubbiamente sottoposto alle sanzioni poc’anzi indicate, nel caso in cui risulti accertata la sua responsabilità. Più complesso però è valutare il grado di responsabilità dell’azienda. Fermo restando il complesso ambito della responsabilità penale degli enti, la materia è disciplinata, inoltre, dalla legge 547/1993 rubricata “Crimini informatici commessi da dipendenti e addebitabili all’azienda”[4].

Il datore di lavoro rischia di essere ritenuto in concorso con il dipendente a lui subordinato che ha commesso il crimine informatico, per non aver attuato tutte le misure di prevenzione e controllo idonee a garantire la sicurezza del trattamento dei dati. La mancata adozione di tutte le misure idonee a ridurre al minimo i rischi è considerata difatti un’agevolazione alla commissione del crimine.

È necessario in proposito accennare al Documento programmatico sulla sicurezza (DPS). Quest’ultimo era un manuale, che doveva essere redatto entro il 31 marzo di ogni anno, dove veniva pianificata la sicurezza dei dati in azienda con riferimento ai punti stabiliti dal Garante: esso descriveva come si tutelavano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc.

Con la conversione in legge del D.L. 9-2-2012 n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”, pubblicato nella G.U. del 9 febbraio 2012, n. 331, esso è stato abrogato, con effetto immediato, ma al contempo sono rimasti invariati tutti gli aspetti della normativa sulla privacy, compreso la parte relativa al disciplinare tecnico (Allegato B del Codice della Privacy). Il disciplinare, insieme agli artt. 33-36 del codice stesso, prevede tutta una serie di misure di sicurezza minime che devono essere rispettate al fine di non incorrere in pesanti sanzioni penali e civili[5]. Cosa succede pertanto se esso non viene redatto? In caso di controllo da parte delle autorità o in caso di fuga di dati, bisogna potersi difendere da eventuali accuse di non adozione delle misure di sicurezza. Il rischio è totalmente a carico del titolare dei dati. Con un disciplinare correttamente redatto, invece, è molto più facile difendersi dalle accuse.

Per quanto attiene all’aspetto civilistico il Codice della Privacy qualifica il trattamento dei dati come attività pericolosa (art. 2050 c.c.). È prevista pertanto un’inversione dell’onere della prova nell’azione risarcitoria ex articolo 2043 c.c.: l’operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire la sicurezza dei dati detenuti. A livello pratico questo significa che l’azienda, il professionista, il dipendente ecc. per evitare ogni responsabilità deve dimostrare di aver adottato tutte le misure idonee ad evitare il danno, e quindi di aver messo in essere tutte le misure di sicurezza nel miglior modo possibile (rectius la miglior tecnologia disponibile), il che non è affatto facile da dimostrare.

In generale poi a carico dell’azienda risulta comunque la responsabilità ex art 2049 c.c., ovvero la responsabilità prevista in capo a padroni e committenti[6].

È fatta salva, a ogni modo, la possibilità per l’azienda di rivalersi sul proprio dipendente, intentando nei suoi confronti una causa per danni, nel caso in cui la condotta posta in essere dallo stesso integri gli estremi del reato di furto.

A tal proposito è necessario introdurre i concetti di Data Leakage e di Data Leakage Protection (DLP). Con il primo si fa riferimento alla fuga di dati, intesa come il trasferimento non autorizzato di informazioni, di solito verso l’esterno di un’organizzazione, la quale può essere accidentale (perdita di dati) o intenzionale (furto di dati). Se è vero che molte fughe sono accidentali[7], non va sottovalutato che se un dipendente scontento o malintenzionato vuole trafugare informazioni confidenziali, si può fare ben poco per fermarlo. La maggioranza delle perdite dolose di informazioni non avviene tramite posta elettronica, ma attraverso fotocopiatrici, porte USB, laptop, supporti ottici e furto di proprietà. Secondo il tipo di informazioni perse, poi, i danni possono andare dalla compromissione della reputazione dell’azienda a una riduzione delle entrate o al pagamento di sanzioni amministrative elevate dovute a multe o azioni legali. I costi possono rapidamente ammontare a milioni di euro.

L’azienda è messa spalle al muro, considerando tra l’altro che il valore di una perizia in tali casi potrebbe essere inficiato da una serie di fattori, quali l’impiego non corretto di misure di sorveglianza non autorizzata o l’incorretta conservazione di supporti di memorizzazione dopo la commissione del furto. Esistono però delle misure cautelative che possono contrastare efficacemente, o quantomeno ridurre al minimo, l’esposizione alla fuga di dati. Ci riferiamo ai cosiddetti sistemi di Data Leakage Protection. Questi ultimi sono sistemi di sicurezza informatica che fanno riferimento a tecniche per identificare, monitorare e proteggere i dati in uso (ad esempio azioni degli endpoint), i dati in movimento (ad esempio azioni di rete) e i dati a riposo (ad esempio la memorizzazione dei dati) all’interno o all’esterno dell’azienda, con il fine di individuare e prevenire l’uso non autorizzato e la trasmissione di informazioni riservate. Preliminare per l’azienda è aver ben chiaro cosa proteggere, assegnando dei livelli di priorità, ed effettuare un’oculata valutazione dei rischi e dei costi di prevenzione. Solo in seguito saranno stabilite delle contromisure preventive per ridurre i rischi e delle misure di contenimento da attivare in caso di fuga dei dati.

Tra le contromisure si segnalano:

- il filtraggio e la cifratura dei contenuti della posta elettronica al fine di evitare la fuga di informazioni confidenziali tramite e-mail;

- la cifratura dei computer e degli altri dispositivi che possono contenere dati, in modo da assicurare che solo chi possiede le adeguate credenziali o password può accedere alle informazioni;

- il controllo dei dispositivi per bloccare l’utilizzo delle unità di archiviazione rimovibili, dei supporti ottici e dei protocolli di rete wireless;

- il controllo delle applicazioni che potrebbero essere utilizzate per la fuga di dati, come il software per la condivisione di file peer-to-peer o i servizi di cloud storage (come Dropbox) e di posta elettronica in-the-cloud;

- il controllo periodico di aggiornamenti e patch, in modo da assicurare protezione con configurazioni corrette e costantemente aggiornate;

- l’utilizzo di tecnologie DRM (Digital rights management)[8].

Alla luce di queste considerazioni, pertanto, possiamo concludere che soltanto affidandosi a un sistema di DLP l’intervento del perito informatico può risultare efficace e, il più delle volte, perfino evitato.

---

[1] Si pensi, ad esempio a progetti di macchinari o impianti, a programmi software o a dati di fornitori o clienti.

[2] Si consideri il caso del danneggiamento dei sistemi o dei supporti o, ancora, il caso di allagamenti o incendi che possono compromettere la stabilità delle apparecchiature.

[3] Il quale testualmente recita “Il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o farne uso in modo da poter recare a essa pregiudizio”. La particolarità di questa disposizione è data dal fatto che ogni lavoratore è obbligato a osservare i suddetti obblighi, anche se non vi fosse il relativo riferimento normativo all’interno del contratto di lavoro e delle norme comportamentali del lavoratore subordinato.

[4] La legge 547/93 ha introdotto nel nostro ordinamento vari “crimini informatici”, ovvero l’attentato a impianti informatici di pubblica utilità, la falsificazione di documenti informatici, l’accesso abusivo ad un sistema informatico o telematico, la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici, la diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, la violazione di corrispondenza telematica, l’intercettazione di e-mail, il danneggiamento di sistemi informatici o telematici (...).

[5] Infatti in mancanza di disciplinare, in caso di controllo o contenzioso, il titolare dei dati dovrà risponderne personalmente sia da un punto di vista amministrativo, che da un punto di vista penale.

[6] L’art. 2049 difatti recita: “padroni e committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nell'esercizio delle incombenze cui sono adibiti”.

[7] Di solito la perdita di dati avviene tramite e-mail scegliendo accidentalmente il destinatario sbagliato quando si utilizza la funzione di completamento automatico degli indirizzi dei clienti.

[8] Già sperimentate con successo nell’ambito dell’editoria e della discografia digitale, le quali impediscono la riproduzione dei dati su un numero illimitato di dispositivi.