Oggigiorno, con lo sviluppo delle tecnologie informatiche, le organizzazioni di ogni settore mantengono sempre più il loro know-how sui sistemi informatici, talvolta solo su di essi! Pensiamo a progetti di impianti e macchinari, programmi software, dati di clienti e fornitori, ecc..
Questo costituisce un rischio che spesso non viene valutato a dovere, infatti la perdita di tali dati o, peggio, la sottrazione di essi da parte di malintenzionati è sempre più frequente. Ma se il rischio di perdita dei dati dovuto ad incidenti informatici (danneggiamento dei supporti e dei sistemi) e non (incendi, allagamenti, terremoti, ecc.) spesso viene analizzato e più o meno adeguatamente gestito - almeno nelle organizzazioni più strutturate - il rischio di sottrazione di dati da parte di soggetti che operano dall'interno dell'azienda o dello studio professionale sovente non è analizzato in modo idoneo.
L'intervento del Dott. Strano (Dirigente Unità Analisi sui Crimini Informatici della Polizia Postale e delle Comunicazioni) al recente Forum ICT Security ha evidenziato che sempre più crimini informatici vengono commessi dall'interno dell'azienda.
Volendo sorvolare sulle possibili attività non lecite svolte dal dipendente dell'azienda quando è collegato ad internet (consultazione e scaricamento di materiale da siti pedofili, scaricamento brani musicali e film, ecc.), soffermiamoci sulla sottrazione con cancellazione di dati del dipendente o collaboratore che poi utilizza gli stessi dati per sviluppare un'attività concorrenziale.
Mentre da un lato tali azioni - svolte sempre più da gruppi organizzati piuttosto che da singoli - possono portare alla sottrazione e distruzione di dati su supporto cartaceo con qualche difficoltà, l'asportazione e cancellazione di dati in formato elettronico è alquanto più agevole, anche grazie ai nuovi supporti di memorizzazione (chiavi USB, CD, DVD, ecc.) molto più capienti che in passato e facili da nascondere .
Da un lato il personale dell'organizzazione danneggiata si può così ritrovare a rovistare nei cestini della carta straccia, dall'altro nei "cestini virtuali" di Windows. Ma i risultati dipendono dalla scaltrezza di chi commette il reato, che potrebbe aver gettato documenti cartacei nel "distruggi documenti" oppure cancellato i dati informatici in modo irreversibile attraverso appositi programmi .
A questo punto l'organizzazione danneggiata potrebbe rivolgersi all'avvocato per far valere i propri diritti, ma questi dovrà sicuramente interpellare un esperto informatico per raccogliere le prove del reato e cercare di recuperare i dati cancellati.
Mentre per quest'ultima azione è fondamentale l'esistenza di un backup recente dei dati (sempre che tra i fuoriusciti non ci sia qualcuno del reparto EDP!), raccogliere prove da poter far valere in Tribunale non è facile. Spesso infatti il solo trascorrere del tempo fra il momento del presunto reato e l'intervento del perito informatico di parte o di quello nominato dall'Autorità Giudiziaria (detto anche CTU) comporta un deterioramento di eventuali prove. Infatti un PC o un Server non è esattamente nelle stesse condizioni nelle quali è stato perpetrato il reato già pochi minuti dopo, in quanto alcune operazioni di routine vengono attivate periodicamente dal sistema operativo e dai programmi e tali attività potrebbero inficiare le possibilità di recuperare dati cancellati o comunque di ricostruire lo "stato di fatto" del sistema informatico al momento in cui si sospetta sia avvenuta la sottrazione e cancellazione di dati.
Attualmente numerosi programmi sono in grado di recuperare file cancellati o perlomeno parte di essi, ma le continue riscritture del disco rigido possono vanificare l'attività di recupero. Dunque il consiglio è quello di "congelare" il disco sul quale erano contenuti i dati sottratti e cancellati, ovvero di estrarlo dal PC e riporlo in una custodia adeguata fino all'arrivo del perito informatico. Se il reato commesso è tale da valer la pena di intentare una causa per danni l'inutilizzo di qualche disco per un certo tempo sarà sicuramente un'operazione vantaggiosa.
Naturalmente anche i supporti di backup che potrebbero dimostrare la presenza di file poi sottratti e cancellati andrebbero conservati senza riutilizzarli per successivi salvataggi.
Tutti i file di log dei sistemi informatici potrebbero poi essere utili per tracciare attività fraudolente, ma per dimostrare che una certa operazione (cancellazione, copia) è stata commessa da una certa persona è necessario provare che l'operazione è stata commessa da un determinato utente che si è autenticato nel sistema informatico attraverso una password segreta.
A questo proposito l'applicazione di tutte le prescrizioni previste dal codice della privacy (D.Lgs 196/2003) consente al titolare del trattamento di dimostrare di aver fatto di tutto per prevenire il danno e ciò è necessario anche per tutelarsi nei confronti di eventuali terzi danneggiati. Supponiamo infatti che il dipendente malintenzionato abbia sottratto progetti importanti svolti dall'azienda per un cliente che, a questo punto, vedrebbe informazioni riservate divenire di dominio di persone non autorizzate e che magari potrebbero essere vendute alla concorrenza! Tale cliente potrebbe rivalersi sull'azienda che ha subito la sottrazione di dati, ovvero oltre al danno anche le beffe!
Purtroppo nella maggior parte dei casi il perito, che deve operare in modo da alterare il meno possibile il corpo del reato, si trova a che fare con situazioni nelle quali è difficile dimostrare con ragionevole certezza un comportamento fraudolento. Questo spesso avviene a causa della stessa organizzazione che ha subito il danno, la quale non solo non ha intrapreso idonee misure preventive per proteggere i propri dati, ma ha anche agito in modo non corretto per salvaguardare le prove dopo che il fatto è stato commesso.