HAI DEI DIPENDENTI?...OCCHIO AL TUO DATABASE
Un rischio che la maggior parte
delle imprese tende a trascurare sono le problematiche legate ai dati informatici
i quali potrebbero venire, più o meno fraudolentemente, sottratti dai
dipendenti che operano all'interno dell’azienda e quindi si trovano in una
posizione privilegiata di accesso alle informazioni.
Basta un click ed è possibile effettuare un backup di un intero DBMS distribuito su un supporto
esterno, in un tempo esiguo un’intera banca dati può essere formattata,
centinaia di informazioni andare perdute. A ciò si aggiungono le opportunità
offerte dal cloud computing, spazio virtuale illimitato sul quale un dipendente
malintenzionato potrebbe far confluire dati di cui intende illegittimamente
appropriarsi: in poco tempo è possibile far convergere gigabyte di dati su un account Apple
iCloud o Google
Drive, con la conseguenza di rendere sempre più difficile
la loro tracciatura una volta che abbiano raggiunto il data
center e siano stati cifrati, risultando occulti
perfino al gestore del servizio.
I rischi per le aziende sono da ricercarsi più nei
propri dipendenti che non all’esterno.
attività illecite del collaboratore:
1. la consultazione di siti
pornografici
2. lo scaricamento di file protetti da
diritto d’autore,
3. Sottrazione di dati;
4. Cancellazione di dati;
5. Cancellazioni irreversibili dei dati,
tramite programmi specifici;
6. Accesso del dipendente ai file di backup.
7. Utilizzo dei dati per avviare
un’attività in concorrenza ed utilizzo dei dati per rivenderli ad eventuali
imprese concorrenti. = si ha un
collegamento diretto con l’articolo 2105 c.c. secondo cui “Obbligo di fedeltà
del lavoratore dipendente e divieto di concorrenza sleale”
il divieto
di concorrenza: astenersi dal trattare affari in concorrenza con
l’imprenditore, sia per conto proprio che di terzi
l’obbligo di
riservatezza/segretezza: vieta al
lavoratore di divulgare o di utilizzare, a vantaggio proprio o altrui,
informazioni attinenti l’impresa, in modo da poterle arrecare danno
La societa’ danneggiata può
rivolgersi a un legale per far valere i propri diritti, ma sarà comunque
necessario fare ricorso a un esperto informatico per cercare di recuperare i
dati cancellati e raccogliere, così, le prove del reato tramite l’hard disk .
·
il
dipendente deve essersi autenticato in un dato momento per il tramite di una password segreta.
·
un’indebita
violazione della privacy per i soggetti coinvolti nella
sottrazione dei dati. La privacy può essere identificata con il
brocardo“The right to be let
alone” (lett. “il diritto di essere lasciati in pace”). Il diritto alla
riservatezza della propria vita privata rischia pertanto di essere vanificato
quando il cliente di un’azienda vede informazioni riservate, che tra l’altro
potrebbero essere vendute alla concorrenza, divenire di dominio di persone non
autorizzate.
Quali sono le RESPONSABILITA’ DEL DIPENDENTE?
responsabilità penale = gli artt. 167 e 169 del Codice
della Privacy sanzionano il trattamento illecito
dei dati e l’omessa adozione di misure necessarie alla sicurezza dei dati. Le
pene possono andare da sei a diciotto mesi di reclusione, se dal fatto ne
deriva nocumento, o da sei a ventiquattro mesi, se il fatto consiste nella
comunicazione o diffusione; il dipendente è indubbiamente sottoposto alle
sanzioni poc’anzi indicate, nel caso in cui risulti accertata la sua
responsabilità
responsabilità
civile = “chiunque, essendovi tenuto, omette di
adottare le misure minime previste dall’articolo 33 è punito con
l’arresto sino a due anni”.
In alcuni casi e’ altresì necessario
valutare il titolo di RESPONSABILITÀ
DELL’AZIENDA ossia responsabilità
penale degli enti, la materia è disciplinata, inoltre, dalla legge 547/1993
rubricata “Crimini informatici commessi da dipendenti e addebitabili
all’azienda”: il datore di lavoro rischia di essere ritenuto responsabile in
concorso con il dipendente a lui subordinato, che ha commesso il crimine
informatico, per non aver attuato tutte le misure di prevenzione e controllo
idonee a garantire la sicurezza del trattamento dei dati. Il Documento programmatico sulla sicurezza (DPS) descrive le modalità di tutela dei dati
personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. da
rispettare al fine di non incorrere in pesanti sanzioni penali e civili
Non aver adottato tutte le misure
idonee a ridurre al minimo i rischi è considerata difatti un’agevolazione alla
commissione del crimine.
Se esso non viene redatto ed in caso
di controllo da parte delle autorità o in caso di fuga di dati il rischio è
totalmente a carico del titolare dei dati. Con un disciplinare correttamente
redatto, invece, è molto più facile difendersi dalle accuse.
Il Codice della Privacy qualifica il trattamento dei dati come attività
pericolosa ed e’ prevista pertanto un’inversione dell’onere della prova
nell’azione risarcitoria ex articolo 2043 c.c.: l’operatore è tenuto a fornire la prova di avere applicato le misure
tecniche più idonee a garantire la sicurezza dei dati detenuti: l’azienda per
evitare ogni responsabilità, deve provare di aver adottato tutte le misure
idonee ad evitare il danno, e quindi di aver posto in essere tutte le misure di
sicurezza ossia la miglior tecnologia disponibile.
In generale poi a carico dell’azienda risulta comunque
la responsabilità ex art 2049 c.c., ovvero la responsabilità prevista in capo a padroni
e committenti = la possibilità per l’azienda di rivalersi sul proprio
dipendente, mediante un’azione risarcitoria, nel caso in cui la condotta posta
in essere dallo stesso integri gli estremi dell’illecito penale o civile.
DATA
LEAKAGE: fuga di dati, intesa come
trasferimento non autorizzato di informazioni, di solito verso l’esterno di
un’organizzazione: a) perdita di dati – b) furto di dati. (la prevalenza
numerica delle perdite dolose di informazioni non avviene tramite posta
elettronica, ma attraverso fotocopiatrici, porte USB, laptop, supporti ottici e furto di proprietà.
DATA
LEAKAGE PROTECTION: informazioni perse, poi, i danni possono andare dalla compromissione della
reputazione dell’azienda a una riduzione delle entrate o al pagamento di
sanzioni amministrative elevate, dovute a multe o azioni legali, perizie
costosissime.
Esistono sistemi di sicurezza informatica per identificare, monitorare e
proteggere i dati in uso, i dati in movimento e i dati a riposo all’interno o
all’esterno dell’azienda, con il fine di individuare e prevenire l’uso non
autorizzato e la trasmissione di informazioni riservate.
a) il filtraggio e la cifratura dei contenuti
della posta elettronica, al fine di evitare la fuga di informazioni
confidenziali tramite e-mail;
b) la cifratura dei computer e degli altri
dispositivi che contengono dati, in modo da assicurare che solo chi possiede le
adeguate credenziali o password possa accedere alle informazioni;
c) il controllo dei dispositivi per bloccare
l’utilizzo delle unità di archiviazione rimovibili, dei supporti ottici e dei
protocolli di rete wireless;
d) il controllo delle applicazioni che
potrebbero essere utilizzate per la fuga di dati, come il software per la condivisione di file peer-to-peer o i servizi di cloud
storage (come Dropbox) e di posta elettronica in-the-cloud;
e) il controllo periodico di aggiornamenti e patch, in modo da assicurare protezione con
configurazioni corrette e costantemente aggiornate;
f) l’utilizzo di tecnologie DRM (Digital
rights management), che impediscono
la riproduzione dei dati su un numero illimitato di dispositivi.
Nessun commento:
Posta un commento