Contenuto principale

COME TUTELARE LA PROPRIA AZIENDA DAI REATI INFORMATICI

Cyber bullismo terrorismo criminalita reati hacker das difesa web 24012020

Il digitale tocca ormai ogni aspetto della vita di relazione e anche i processi produttivi aziendali ne sono pienamente permeati.

Le più recenti norme sulla criminalità informatica (Cyber Crime e Cyber Security), tra leggi nazionali e regolamenti europei, hanno tutte come obiettivo quello di orientare l’uso delle tecnologie telematiche e digitali nella direzione di creare una maggiore fiducia e confidenza tra gli utilizzatori del web.

Le attività di contrasto alla criminalità messe in campo dalla Polizia Postale (cfr. il sito ufficiale: Commissariato di Polizia Postale – on line, Sportello per la Sicurezza degli Utenti del Web) si articolano nei seguenti settori: protezione delle infrastrutture critiche del paese; pedopornografia; cyberterrorismo; e-banking; tutela copyright; hacking.

In generale, si può affermare che il legislatore interno e quello comunitario si sono resi conto che il crimine viaggia sempre più in rete e sfrutta le caratteristiche di questo spazio: un territorio virtuale, mutevole, sfuggente, indefinito ed illimitato dove è più facile nascondersi, cambiare identità, commettere furti senza che, materialmente, ci si accorga dell’ammanco o, peggio ancora, dell’esistenza stessa di un reato. È il c.d. “dark web”, il lato oscuro del commercio elettronico, dove è facile scivolare e rimanere ingabbiati.

DAS già da alcuni anni ha potenziato il proprio network di legali convenzionati curando specificamente la competenza in questi nuovi ambiti. “DAS in Azienda” è il prodotto di tutela legale pensato per le imprese che, tra le molte coperture, prevede la difesa in caso di reati subiti sul fronte della sicurezza informatica.

Si stima che nei prossimi anni si assisterà ad una quadruplicazione dei reati informatici e ad un’espansione continua dei casi di attacco poiché le aree di rischio connesse con i vari applicativi sono sempre più numerose (fonte: “Cybersecurity360”, sito ufficiale). Il commercio elettronico è sicuramente il settore con le maggiori prospettive di crescita tra i molteplici servizi offerti da internet.

Per garantire una maggiore sicurezza informatica, si possono considerare alcuni aspetti che, aziende e istituzioni, hanno interesse a sviluppare. La complessità dei rischi informatici e la frequenza degli attacchi, inducono all’adozione di strumenti tecnologici di protezione per poter lavorare con maggiore tranquillità. In breve:

  1. individuare le nuove minacce emergenti;
  2. individuare le priorità di investimento sulla prevenzione e protezione;
  3. individuare il livello di protezione desiderato;
  4. elaborare un’architettura IT di sicurezza aggiornata con l’evoluzione delle insidie;
  5. mettere in sicurezza la gestione di tutti i dati immagazzinati (fonte: “White Paper”, BlackBerry);

Le continue innovazioni tecnologiche non facilitano l’attività legislativa di prevenzione e repressione dei “cybercrimini”, che si evolvono ad un ritmo sempre più rapido. Queste sono le principali categorie di illeciti informatici:

  1. frode digitale o frode informatica (art. 640 ter codice penale);
  2. accesso abusivo ad un sistema informatico (art. 615 ter codice penale);
  3. intrusione in un sistema informatico per carpire, violare, distruggere informazioni (hacker e cracker);
  4. detenzione o diffusione abusiva di password o altri codici di accesso a sistemi informatici, danneggiamento di informazioni, dati e programmi informatici (art. 615 quater codice penale; art. 635 bis codice penale);
  5. programmi che hanno l’obiettivo di danneggiare un altro sistema informatico o telematico (malware,spyware, trojan: art. 615 quinquies codice penale);
  6. sostituzione di identità: quando qualcuno falsamente e volontariamente si sostituisce a qualcun altro sfruttando la “mediazione” del web (art. 494 codice penale). L’identità tutelata dall’ordinamento giuridico non è pertanto solo quella reale, ma anche quella digitale;
  7. anche attività apparentemente legittime, possono comportare la violazione di determinate norme. È il caso del c.d. “marketing predittivo”. Esso si avvale di sistemi di videosorveglianza per effettuare analisi di audience pubblicitaria. Analizzando le immagini registrate dalle telecamere, si possono acquisire alcune importanti informazioni per creare messaggi promozionali personalizzati. La memorizzazione dell’immagine di un volto, però, presenta il limite di costituire un trattamento rilevante ai fini della tutela dei dati personali;
  8. archiviazione illegale di dati sensibili: alcune imprese sono state multate per aver immagazzinato a tempo indeterminato dati sensibili; altri operatori del web, proponendosi fraudolentemente come aziende commerciali, hanno archiviato dati che hanno, in seguito, venduto alla rete, traendone un indebito profitto. Spesso questi dati compravenduti sono adoperati per sostenere la criminalità organizzata. Nel web esiste un vero e proprio “cimitero” di dati illegali. Si rammenta che, con il GDPR citato, la conservazione di dati personali non è più consentita a tempo indefinito;
  9. “cyber-riciclaggio”: utilizzo abusivo di credenziali informatiche di carte di credito e di altri sistemi elettronici di pagamento. Acquisito il patrimonio di credenziali di accesso e di dati bancari, i truffatori accedono furtivamente ai sistemi on line di pagamento delle sfortunate vittime facendo partire dai loro conti correnti molteplici ordini di bonifico; quando il riciclaggio di denaro viene effettuato per mascherare attività illecite si parla anche di “money muling”;
  10. “phishing”: è il termine con il quale si indica il reato che consiste nell’adescare in modo ingannevole un soggetto per carpire e clonare i suoi codici di accesso ai servizi finanziari on line;
  11. più rudimentali e meno “digitali” sono gli “skimmers”, pirati informatici che carpiscono i dati delle carte bancomat e degli altri mezzi di pagamento elettronici occultando, negli sportelli ATM, dei dispositivi in grado di rilevare il codice PIN digitato.

In conclusione, oggi il crimine informatico può essere perpetrato da qualunque parte del mondo e, nei meandri della rete, si annidano continue insidie che è bene saper riconoscere in anticipo attraverso l’informazione e la divulgazione. Gli esperti affermano che esisterebbe una sorta di “golden hour”, un momento critico, estremamente breve, entro cui – subìto il crimine, subìto l’attacco informatico – è necessario reagire con la dovuta fermezza e tempestività. Specie per le aziende bersaglio di un cyber crime, è opportuno che vi sia un’unità operativa specifica in grado di reagire con le necessarie competenze per limitare i danni e le perdite (si veda: RM News, ottobre 2019, Cyber Crime, una minaccia che evolve, pagg. 8-9, a cura di E. Cavallero).