Dipendenti disonesti e violazione della privacy aziendale
(Articolo già pubblicato da Altalex, quotidiano online di informazione giuridica, in data 19 febbraio 2016)
Nell’era dello sviluppo delle tecnologie informatiche le imprese
tendono a mantenere il più alto livello di know-how
sui sistemi informatici, e anzi spesso la gestione del sistema rappresenta il
lavoro stesso dell’ente[1].
Tutto
questo può costituire un rischio che la maggior parte delle imprese, di solito
medio-piccole, tende a sottovalutare o, peggio ancora, ignorare. Tali dati, ad
esempio, potrebbero andare accidentalmente perduti in seguito a incidenti
informatici di cui l’impresa può essere più o meno responsabile[2]. Accanto
a questo tipo di problematiche però si fa sempre più attuale per l’impresa
un’altra minaccia: i dati possano venire, più o meno fraudolentemente,
sottratti da propri dipendenti, soggetti che operano all’interno dell’azienda e
quindi si trovano in una posizione privilegiata di accesso alle informazioni.
Numerose società negli ultimi anni hanno condotto ricerche
al fine di valutare l’incidenza di tali tipi di rischi per le aziende e i
risultati sono pressoché sorprendenti. A oggi, infatti, dall’analisi della
criminalità informatica che emerge da tali studi, si evince che i rischi per le
aziende siano da ricercarsi tanto più nei propri dipendenti che non all’esterno.
Ciò che può animare il dipendente poi è presto detto. Sorvolando su quelle che
pure possono costituire attività illecite dello stesso quando è collegato a
internet, quali la consultazione di siti pornografici o lo scaricamento di file
coperti da diritto d’autore, che pure hanno una rilevanza ma esulano dalla
presente ricerca, focalizziamoci su una serie di attività che il dipendente può
mettere in atto nei confronti del datore di lavoro:
1.
Sottrazione di dati;
2.
Cancellazione di dati;
3.
Utilizzo dei dati per
avviare un’attività in concorrenza;
4.
Utilizzo dei dati per
rivenderli ad eventuali imprese concorrenti.
In relazione ai punti tre e quattro si ha un collegamento
diretto con l’articolo 2105 c.c. rubricato “Obbligo di fedeltà del lavoratore
dipendente e divieto di concorrenza sleale”[3].
L’art. 2105 c.c. individua l’obbligo di fedeltà in due
distinti doveri, entrambi di contenuto negativo: il divieto di concorrenza e
l’obbligo di riservatezza ovvero di segretezza. Il primo consiste nell’obbligo
di astenersi dal trattare affari in concorrenza con l’imprenditore, sia per
conto proprio che di terzi, mentre il secondo vieta al lavoratore di divulgare
o di utilizzare, a vantaggio proprio o altrui, informazioni attinenti
l’impresa, in modo da poterle arrecare danno.
Fatte queste doverose premesse, è necessario soffermarsi
poi su un’altra differenza. Nell’era analogica la carta rappresentava un mezzo
fondamentale per l’attività dell’ente. Nell’era digitale, di contro, le imprese
lavorano prevalentemente con i dati. Il dato rappresenta quindi il fine e il
mezzo. Questo da un lato costituisce un’opportunità in più per accelerare i
processi lavorativi, ma dall’altro, come un Giano Bifronte, può costituire
un’arma a doppio taglio per le aziende: i propri dipendenti potrebbero distruggere
o sottrarre più agevolmente dati informatici che supporti cartacei. Basta un click ed è possibile effettuare un
backup di un intero DBMS distribuito su un supporto esterno, in un tempo esiguo
un’intera banca dati può essere formattata, centinaia di informazioni andare
perdute. A ciò si aggiungono le opportunità offerte dal cloud computing, spazio virtuale illimitato sul quale un malintenzionato
dipendente potrebbe far confluire dati di cui intende illegittimamente
appropriarsi: in poco tempo gigabyte
di dati possono essere fatti convergere su un account Apple iCloud o Google Drive,
con la conseguenza di rendere sempre più difficile la tracciatura degli stessi
una volta che hanno raggiunto il data center
e sono stati cifrati in modo da risultare occulti allo stesso gestore del
servizio.
In base poi alla scaltrezza del dipendente che ha commesso
il reato, il recupero dei dati può dare esiti incerti. Ciò dipende da:
- eventuali cancellazioni irreversibili dei dati, tramite programmi
specifici;
- eventuale accesso del dipendente ai file di backup.
L’organizzazione danneggiata può rivolgersi a un legale per
far valere i propri diritti, ma sarà comunque necessario fare ricorso a un
esperto informatico per cercare di recuperare i dati cancellati e raccogliere,
così, le prove del reato. Questa operazione però è resa difficoltosa dal
trascorrere del tempo, che può portare al deterioramento di eventuali prove. Spesso
i sistemi operativi eseguono operazioni di routine sui dischi che non
consentono di conservarne lo stato attuale: l’assenza di un backup recente dei dati diviene
fondamentale. In questo caso estrarre fisicamente l’hard disk dall’alloggiamento costituisce una necessità primaria.
Tuttavia esiste un inconveniente ancor più gravoso per
l’azienda: l’accesso a un file log di
un sistema informatico al fine di tracciare eventuali attività fraudolente non
può essere utilizzato a vantaggio della stessa, se non è provato che il
dipendente si sia autenticato in un dato momento per il tramite di una password segreta.
L’attività del dipendente costituisce pertanto, di là da
quelli che sono i suoi scopi, un’indebita violazione della privacy per i soggetti coinvolti nella sottrazione dei dati. La privacy può essere identificata con il
brocardo “The right to be
let alone” (lett. “il diritto di
essere lasciati in pace”): il diritto alla riservatezza della propria vita privata rischia pertanto
di venire vanificato quando il cliente di un’azienda vede proprie informazioni
riservate divenire di dominio di persone non autorizzate, le quali tra l’altro
potrebbero essere vendute alla concorrenza.
Cosa rischia quindi il dipendente, ammesso e non concesso
che si riesca a provare la sua colpevolezza, e cosa l’azienda? A tal proposito
è necessario distinguere due aspetti: l’uno attiene alla responsabilità penale,
l’altro a quella civile.
Per quanto riguarda il primo vengono in rilievo gli artt.
167 e 169 del Codice della Privacy, i
quali rispettivamente sanzionano il trattamento illecito dei dati e l’omessa
adozione di misure necessarie alla sicurezza dei dati. Nel primo caso le pene
possono andare da sei a diciotto mesi di reclusione, se dal fatto ne deriva
nocumento, o da sei a ventiquattro mesi, se il fatto consiste nella
comunicazione o diffusione. Nel secondo invece “chiunque, essendovi tenuto,
omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto
sino a due anni”.
La responsabilità penale è personale, questo principio guida
da sempre l’attività di ogni giurista. Per tale motivo il dipendente è indubbiamente
sottoposto alle sanzioni poc’anzi indicate, nel caso in cui risulti accertata la
sua responsabilità. Più complesso però è valutare il grado di responsabilità
dell’azienda. Fermo restando il complesso ambito della responsabilità penale
degli enti, la materia è disciplinata, inoltre, dalla legge 547/1993 rubricata
“Crimini informatici commessi da dipendenti e addebitabili all’azienda”[4].
Il datore di lavoro rischia di essere ritenuto in concorso
con il dipendente a lui subordinato che ha commesso il crimine informatico, per
non aver attuato tutte le misure di prevenzione e controllo idonee a garantire
la sicurezza del trattamento dei dati. La mancata adozione di tutte le misure
idonee a ridurre al minimo i rischi è considerata difatti un’agevolazione alla
commissione del crimine.
È necessario in proposito accennare al Documento programmatico sulla sicurezza (DPS). Quest’ultimo era un manuale,
che doveva essere redatto entro il 31 marzo di ogni anno, dove veniva
pianificata la sicurezza dei dati in azienda con riferimento ai punti stabiliti
dal Garante: esso descriveva come si tutelavano i dati personali di dipendenti,
collaboratori, clienti, utenti, fornitori ecc.
Con la conversione in legge del D.L. 9-2-2012 n. 5
“Disposizioni urgenti in materia di semplificazione e di sviluppo”, pubblicato
nella G.U. del 9 febbraio 2012, n. 331, esso è stato abrogato, con effetto
immediato, ma al contempo sono rimasti invariati tutti gli aspetti della
normativa sulla privacy, compreso la
parte relativa al disciplinare tecnico (Allegato B del Codice della Privacy). Il disciplinare, insieme agli
artt. 33-36 del codice stesso, prevede tutta una serie di misure di sicurezza
minime che devono essere rispettate al fine di non incorrere in pesanti
sanzioni penali e civili[5]. Cosa
succede pertanto se esso non viene redatto? In caso di controllo da parte delle
autorità o in caso di fuga di dati, bisogna potersi difendere da eventuali
accuse di non adozione delle misure di sicurezza. Il rischio è totalmente a
carico del titolare dei dati. Con un disciplinare correttamente redatto,
invece, è molto più facile difendersi dalle accuse.
Per quanto attiene all’aspetto civilistico il Codice della Privacy qualifica il trattamento dei
dati come attività pericolosa (art. 2050 c.c.). È prevista pertanto un’inversione
dell’onere della prova nell’azione risarcitoria ex articolo 2043 c.c.: l’operatore
è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza
più idonee a garantire la sicurezza dei dati detenuti. A livello pratico questo
significa che l’azienda, il professionista, il dipendente ecc. per evitare ogni
responsabilità deve dimostrare di aver adottato tutte le misure idonee ad
evitare il danno, e quindi di aver messo in essere tutte le misure di sicurezza
nel miglior modo possibile (rectius la
miglior tecnologia disponibile), il che non è affatto facile da dimostrare.
In generale poi a carico dell’azienda risulta comunque la
responsabilità ex art 2049 c.c., ovvero la responsabilità prevista in capo a
padroni e committenti[6].
È fatta salva, a ogni modo, la possibilità per l’azienda di
rivalersi sul proprio dipendente, intentando nei suoi confronti una causa per
danni, nel caso in cui la condotta posta in essere dallo stesso integri gli
estremi del reato di furto.
A tal proposito è necessario introdurre i concetti di Data Leakage e di Data Leakage Protection (DLP). Con il primo si fa riferimento alla
fuga di dati, intesa come il trasferimento non autorizzato di informazioni, di
solito verso l’esterno di un’organizzazione, la quale può essere accidentale
(perdita di dati) o intenzionale (furto di dati). Se è vero che molte fughe
sono accidentali[7],
non va sottovalutato che se un dipendente scontento o malintenzionato vuole
trafugare informazioni confidenziali, si può fare ben poco per fermarlo. La maggioranza
delle perdite dolose di informazioni non avviene tramite posta elettronica, ma
attraverso fotocopiatrici, porte USB, laptop,
supporti ottici e furto di proprietà. Secondo il tipo di informazioni perse,
poi, i danni possono andare dalla compromissione della reputazione dell’azienda
a una riduzione delle entrate o al pagamento di sanzioni amministrative elevate
dovute a multe o azioni legali. I costi possono rapidamente ammontare a milioni
di euro.
L’azienda è messa spalle al muro, considerando tra l’altro
che il valore di una perizia in tali casi potrebbe essere inficiato da una
serie di fattori, quali l’impiego non corretto di misure di sorveglianza non
autorizzata o l’incorretta conservazione di supporti di memorizzazione dopo la
commissione del furto. Esistono però delle misure cautelative che possono
contrastare efficacemente, o quantomeno ridurre al minimo, l’esposizione alla
fuga di dati. Ci riferiamo ai cosiddetti sistemi di Data Leakage Protection. Questi ultimi sono sistemi di sicurezza
informatica che fanno riferimento a tecniche per identificare, monitorare e
proteggere i dati in uso (ad esempio azioni degli endpoint), i dati in movimento (ad esempio azioni di rete) e i dati
a riposo (ad esempio la memorizzazione dei dati) all’interno o all’esterno
dell’azienda, con il fine di individuare e prevenire l’uso non autorizzato e la
trasmissione di informazioni riservate. Preliminare per l’azienda è aver ben
chiaro cosa proteggere, assegnando dei livelli di priorità, ed effettuare un’oculata
valutazione dei rischi e dei costi di prevenzione. Solo in seguito saranno
stabilite delle contromisure preventive per ridurre i rischi e delle misure di
contenimento da attivare in caso di fuga dei dati.
Tra le contromisure si segnalano:
- il filtraggio e la cifratura dei contenuti della posta
elettronica al fine di evitare la fuga di informazioni confidenziali tramite e-mail;
- la cifratura dei computer e degli altri dispositivi che
possono contenere dati, in modo da assicurare che solo chi possiede le adeguate
credenziali o password può accedere
alle informazioni;
- il controllo dei dispositivi per bloccare l’utilizzo
delle unità di archiviazione rimovibili, dei supporti ottici e dei protocolli
di rete wireless;
- il controllo delle applicazioni che potrebbero essere
utilizzate per la fuga di dati, come il software
per la condivisione di file peer-to-peer o
i servizi di cloud storage (come Dropbox) e di posta elettronica in-the-cloud;
- il controllo periodico di aggiornamenti e patch, in modo da assicurare protezione con
configurazioni corrette e costantemente aggiornate;
- l’utilizzo di tecnologie DRM (Digital rights management)[8].
Alla luce di queste considerazioni, pertanto, possiamo
concludere che soltanto affidandosi a un sistema di DLP l’intervento del perito
informatico può risultare efficace e, il più delle volte, perfino evitato.
[1] Si pensi, ad esempio a progetti di
macchinari o impianti, a programmi software o a dati di fornitori o clienti.
[2] Si consideri il caso del danneggiamento
dei sistemi o dei supporti o, ancora, il caso di allagamenti o incendi che
possono compromettere la stabilità delle apparecchiature.
[3] Il quale testualmente recita “Il
prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in
concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione
e ai metodi di produzione dell’impresa, o farne uso in modo da poter recare a
essa pregiudizio”. La particolarità di questa disposizione è data dal fatto che
ogni lavoratore è obbligato a osservare i suddetti obblighi, anche se non vi
fosse il relativo riferimento normativo all’interno del contratto di lavoro e
delle norme comportamentali del lavoratore subordinato.
[4] La legge 547/93 ha introdotto nel
nostro ordinamento vari “crimini informatici”, ovvero l’attentato a impianti informatici di
pubblica utilità, la falsificazione di documenti informatici, l’accesso abusivo
ad un sistema informatico o telematico, la detenzione e la diffusione abusiva
di codici di accesso a sistemi informatici o telematici, la diffusione di
programmi diretti a danneggiare o interrompere un sistema informatico, la
violazione di corrispondenza telematica, l’intercettazione di e-mail, il
danneggiamento di sistemi informatici o telematici (...).
[5] Infatti in mancanza di disciplinare, in
caso di controllo o contenzioso, il titolare dei dati dovrà risponderne personalmente
sia da un punto di vista amministrativo, che da un punto di vista penale.
[6] L’art. 2049 difatti
recita: “padroni e committenti sono responsabili per i danni arrecati dal fatto
illecito dei loro domestici e commessi nell'esercizio delle incombenze cui sono
adibiti”.
[7] Di solito la perdita di dati avviene
tramite e-mail scegliendo
accidentalmente il destinatario sbagliato quando si utilizza la funzione di
completamento automatico degli indirizzi dei clienti.
[8]
Già
sperimentate con successo nell’ambito dell’editoria e della discografia
digitale, le quali impediscono la riproduzione dei dati su un numero illimitato
di dispositivi.
Commenti
Posta un commento