ATTUALITÀ
Accesso abusivo a sistemi informatici e aziende
Aldo Benato
30 agosto 2022L’accesso abusivo a un sistema informatico è un reato e si verifica quando un soggetto entra o si mantiene all’interno di un sistema informatico protetto da misure di sicurezza contro la volontà di chi ha il diritto di escluderlo.
Con l’espressione “sistema informatico” s’intende un computer o un insieme di computer o apparecchi elettronici connessi tra loro. La protezione con misure di sicurezza, invece, indica generalmente la presenza di una o più password di protezione del contenuto o di sistemi analoghi di accesso, come riconoscimento facciale o lettore di impronte digitali.
In relazione al contesto aziendale, occorre tener presente che la protezione non deve necessariamente estendersi all’intero sistema informatico ma può proteggerne anche solo una parte: pensiamo, ad esempio, alle risorse informatiche aziendali, spesso caratterizzate da apposite “cartelle” o sezioni protette da password e contenenti i dati più delicati, come le restribuzioni dei dipendenti, bilanci aziendali e simili, contrapposte a cartelle ad accesso più libero e contenenti, ad esempio, brochure aziendali o contatti.
In Italia tale condotta è punita dall’art. 615 ter del codice penale ed è purtroppo una fattispecie sempre più ricorrente nella dinamica aziendale. Due sono le ipotesi più diffuse:
1. violazioni provenienti dall’esterno, poste generalmente in essere da hacker o esperti informatici direttamente o tramite appositi malware (software malevoli) che si introducono tra i dati aziendali per poterli copiare o bloccare in modo da sfruttare economicamente questa vulnerabilità (ad esempio crittografandoli e avanzando una richiesta di riscatto);
2. violazioni provenienti dall’interno dell’azienda, ovvero dagli stessi dipendenti o collaboratori del datore di lavoro, che approfittano della disponibilità dell’accesso alla rete aziendale e, spesso, della conoscenza della password di un collega, per accedere ad aree che a essi dovrebbero essere precluse al fine di ottenere dati o informazioni a scopo personale, come contatti, dati di buste paga dei colleghi o simili.
Purtroppo entrambe le tipologie di violazione sono molto frequenti. Se, infatti, per un verso, gli episodi di criminalità informatica attraverso la rete stanno esponenzialmente aumentando grazie alla crescente digitalizzazione dei dati, del know how e delle informazioni chiave di molte aziende, per altro verso i dipendenti non perdono terreno nei comportamenti illeciti verso le proprie aziende, soprattutto nelle fasi immediatamente precedenti una possibile interruzione del rapporto di lavoro.
Come tutelarsi dagli accessi abusivi? Per non rimanere vittima di questo reato, le aziende dovrebbero:
1. per un verso, adottare le misure di sicurezza informatica più aggiornate ed efficienti disponibili sul mercato, avendo cura di incaricare un professionista o una società competente per la scelta delle stesse;
2. per altro verso, definire delle procedure di accesso ai dati in azienda in modo tale da impedire che chiunque possa accedere a qualunque cosa, profilando gli accessi e invitando i propri dipendenti a proteggere le proprie credenziali.
La tutela necessita di sicurezza, e la sicurezza, come sempre, richiede un lavoro paziente e certosino di programmazione e prevenzione.
L'autore
Aldo Benato è un avvocato specializzato nella gestione e tutela dei dati personali e aziendali e in materia di criminalità informatica. Avvocato presso il Foro di Treviso e Data Protection Officer certificato ai sensi della norma UNI 11697, si occupa da anni di diritto e informatica e ha maturato una consolidata esperienza in materia di privacy & data protection, criminalità informatica e diritto della Rete. Parallelamente, matura una forte esperienza nel settore della formazione per scuole, aziende, professionisti e Forze dell'Ordine. Recentemente ha scritto il libro "Dizionario del Web - La guida per capire" (www.dizionariodelweb.it), uno strumento pensato per aiutare a sfruttare il web e la tecnologia con maggiore consapevolezza.