Il know-how aziendale è uno dei beni più preziosi, insieme a informazioni riservate come il database dei clienti. Se poi l’azienda tratta dati sensibili, il valore di quelle informazioni diventa ancora maggiore. È una questione di normativa e compliance, ma anche e soprattutto di competitività.
Il che ci porta alla relazione con i collaboratori, che a volte diventano ex-collaboratori. Un momento, quello dell’offboarding, che può portare parecchi grattacapi; molte aziende si trovano ad affrontare casi in cui ex-dipendenti, consapevolmente o meno, trasferiscono dati sensibili come liste clienti o progetti riservati a concorrenti o ad attività personali. Tuttavia, per proteggere questo patrimonio senza incorrere in problemi legali, le imprese devono sapere fino a dove possono spingersi nel monitoraggio e nella sorveglianza dei dispositivi aziendali. Paolo Dal Checco, esperto di informatica forense, spiega che anche se il desiderio di tutelare i dati è comprensibile, le aziende devono rispettare normative rigorose per non commettere illeciti. Come esperto, ci ha anche raccontato alcuni aneddoti che aiutano a comprendere la situazione.
Cybersecurity e ONG: la sfida tra digitale e sicurezza fisica – Intervista a Carola Frediani”
Avviso ai naviganti: installare spyware è un reato
Una delle pratiche diffuse ma non consentite è l’installazione di spyware sui dispositivi aziendali per monitorare i dipendenti. Anche se l’azienda sospetta che un dipendente stia agendo contro i suoi interessi, come nel caso di una fuga di dati, lo spyware rappresenta una violazione della privacy e, in alcuni casi, è perseguibile penalmente.
Dal Checco riporta esempi di aziende che installano programmi di sorveglianza su computer aziendali per ottenere prove di attività sospette, ma avverte: “Installare spyware senza autorizzazione configura diversi reati e può esporre l’azienda a sanzioni, oltre a compromettere la validità delle prove raccolte.” Anche chi esegue l’installazione, spesso un tecnico inconsapevole, rischia conseguenze legali, essendo responsabile dell’azione materiale.
È interessante poi il fatto che, secondo quanto ci racconta Paolo, anche il tecnico che installa il software è legalmente responsabile. Non ci si può appellare al fatto che si stavano solo eseguendo gli ordini di un dirigente, né ci si può difendere con l’ignoranza; in altre parole non vale dire ho fatto quello che mi hanno chiesto oppure non sapevo che fosse un reato.
Per evitare rischi e mantenere la legittimità dei controlli, è essenziale che le aziende stabiliscano e comunichino chiaramente ai dipendenti le policy di utilizzo dei dispositivi. Le policy devono includere regole sull’uso dei dispositivi per scopi aziendali e privati, indicazioni sull’accesso consentito all’azienda e l’eventualità di un controllo per motivi di sicurezza.
Una corretta gestione delle policy, spiega Dal Checco, può offrire alle aziende uno strumento legale efficace per accedere ai dati aziendali in caso di controversie. Senza una policy ben strutturata, ogni accesso ai dispositivi del dipendente rischia di violare la privacy, configurando un potenziale abuso.
Il dipendente infedele a volte è davvero un ingenuo
Dal Checco riporta anche aneddoti che sottolineano come molti dipendenti non siano consapevoli delle conseguenze legali delle loro azioni. È frequente che un dipendente utilizzi l’account e-mail aziendale per inviare file riservati a terzi o che mantenga documenti sensibili sul proprio dispositivo, convinto che l’azienda non possa controllare. Un ex-dipendente, ad esempio, ha trasferito un elenco clienti al concorrente utilizzando la propria e-mail aziendale, convinto di essere al sicuro. “Molti non sanno che le e-mail, anche cancellate, rimangono nei backup aziendali e possono essere recuperate,” afferma Dal Checco. Questi comportamenti, se scoperti, sono tracciabili e costituiscono prove valide in tribunale per eventuali azioni legali da parte dell’azienda.
Anche se la mail è uno spazio privato e tutelato, non la si può considerare una protezione assoluta. Rubare informazioni alla propria azienda e farlo dalla mail aziendale, in effetti, sembra una scelta da pazzi. Incredibile che qualcuno possa pensarci, eppure succede.
In caso di sospetti su dipendenti attuali o ex-dipendenti, le aziende hanno diritto di accesso ai dispositivi aziendali, purché nel rispetto delle policy e delle leggi vigenti. Ad esempio, nel caso di un computer aziendale restituito dal dipendente, è possibile analizzare i contenuti senza rischi legali solo se l’azienda può dimostrare che la policy consente l’accesso e che il controllo avviene per motivi validi di sicurezza aziendale.
Inoltre, i dipendenti che cancellano o resettano i dispositivi prima di restituirli possono incorrere nel reato di danneggiamento di dati aziendali. Questo gesto, spesso compiuto per proteggere la privacy personale, può essere considerato una distruzione di materiale informatico aziendale, con possibili conseguenze legali.
Monitorare e tracciare nel rispetto della legge
Per tutelare i propri dati senza violare le normative, le aziende possono ricorrere a strumenti di tracciamento e monitoraggio legale, come il backup automatico delle e-mail aziendali, che permette di conservare e recuperare informazioni in caso di necessità. Questi sistemi non richiedono una sorveglianza attiva e rispettano la privacy dei dipendenti, essendo utilizzabili solo ex post, quando il rapporto di lavoro è terminato o in presenza di un giustificato motivo legale. Anche l’informatica forense consente, in modo del tutto legittimo, di analizzare il traffico e-mail, i file salvati sui dispositivi e altre attività per individuare tracce di attività sospette, evitando di raccogliere dati non rilevanti per il caso. In questo modo l’azienda si protegge senza violare la privacy e senza ricorrere a pratiche rischiose come lo spyware.
In un contesto aziendale, proteggere i dati senza compromettere la privacy dei dipendenti è una priorità. Tuttavia, le aziende devono muoversi in un quadro legale preciso, evitando azioni come l’installazione di spyware che violano la legge e possono portare a sanzioni. Strumenti preventivi, come policy chiare e sistemi di monitoraggio legittimi, possono fornire una protezione efficace e rispettosa della legge. Essere preparati e rispettare le normative permette alle aziende di difendere i propri interessi senza incorrere in rischi legali.