Rischi virtuali sempre più concreti

Sicurezza

Continua la carrellata sui comportamenti rischiosi degli utenti aziendali che
possono causare gravi danni all’intera struttura informatica

In occasione della newsletter della scorsa settimana e grazie alle segnalazioni di Websense, società specializzata nella fornitura di soluzioni per la sicurezza di Internet e il web filtering, abbiamo analizzato tre comportamenti particolarmente comuni tra i dipendenti, le cui ripercussioni avrebbero potuto causare seri danni all’intera struttura aziendale ( Il Vademecum dell’attento Internauta ). In alcuni casi, l’informazione e la formazione dei dipendenti non sono sufficienti a impedirli, in quanto molti dei comportamenti descritti sono intenzionali e favoriti da un falso senso di sicurezza e impunibilità.La possibilità di agire utilizzando gli strumenti aziendali, l’idea di non poter essere individuati navigando su Internet e la convinzione di fare quello che fanno normalmente migliaia di utenti Web basta infatti a molti per autogiustificare comportamenti che normalmente, sarebbero i primi a condannare se dovessero avvenire nella vita reale di ogni giorno. E’ vero che a sostenere questi comportamenti ?sbarazzini’ interviene anche l’ignoranza delle leggi vigenti e valide anche su Internet. Se molti sapessero infatti che alcune delle azioni illecite che compiono normalmente ogni giorno su Internet sono sanzionabili anche penalmente, forse ci penserebbero due volte prima di metterle in atto. E’ forse sensato o economicamente vantaggioso rischiare il posto di lavoro, migliaia di euro di multa e in alcuni casi la detenzione per aver scaricato un film o un brano musicale da Internet? Terminiamo nel corso di questo articolo l’elenco dei comportamenti più diffusi e più rischiosi che ogni azienda dovrebbe considerare e contrastare con l’adozione di un valido sistema di policy.

Scenario 1: Alcuni file contenenti materiali pedopornografici sono stati rilevati nel computer o nelle cartelle dei dipendenti

I reati connessi alla pornografia minorile (pedopornografia), sono aumentati in modo esponenziale in conseguenza della diffusione dell’utilizzo di internet e delle strumentazioni informatiche. Per contrastare l’espansione del fenomeno della pedopornografia il legislatore è intervenuto con la legge 3 agosto 1998 n. 269 allargando l’elenco delle condotte penalmente rilevanti ed ha espressamente contemplato le reti telematiche quali mezzi di commissione dei reati legati alla pornografia minorile. Quali sono quindi le conseguenze a cui va incontro un dipendente per aver scaricato sul proprio Pc aziendale materiale pedopornografico? L’articolo 600 quater del codice penale (?Detenzione di materiale pornografico?) chiarisce con precisione e chiarezza la gravità del reato, prevedendo la sanzione della reclusione fino a tre anni e della multa non inferiore a Euro 1.549,00 per chi si procura o detiene materiale pornografico utilizzando minori degli anni diciotto. La giurisprudenza ha contribuito a circoscrivere l’ambito delle condotte sanzionabili sulla base di questo articolo, prevedendo che il soggetto non si sia limitato a consultare un sito web ove siano visionabili immagini pedopornografiche, ma abbia volontariamente e consapevolmente scaricato sul proprio PC e salvato nella memoria tali immagini. Il Codice penale, inoltre, prevede sanzioni più pesanti per chi non si limiti a fruire di materiale pedopornografico ma abbia un ruolo attivo nella sua divulgazione. In particolare l’articolo 600 del Codice penale ter (anch’esso modificato dalla legge 38/2006) punisce: ? con la reclusione da uno a cinque anni e con la multa da Euro 2.582,00 a Euro 51.645,00 chiunque con qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza materiale pedopornografico, ovvero distribuisce o divulga notizie o informazioni finalizzate all’adescamento o allo sfruttamento sessuale di minori degli anni diciotto (comma 3) ? con la reclusione fino a tre anni e con la multa da Euro 1.549,00 a Euro 5.164,00 chiunque, offre o cede ad altri, anche a titolo gratuito, materiale pedopornografico (comma 4). Le norme sopra esaminate, quindi, sanzionano in particolare le condotte di diffusione (ad un numero indeterminato di persone) e di comunicazione (a soggetti determinati tenendo presente che è punibile la semplice offerta di materiale pedopornografico) di materiale pedopornografico. Sono quindi sanzionabili sia i dipendenti che scaricano e salvano immagini a contenuto pedopornografico, sia quelli che le accettano da questi sia via mail o su supporti di archiviazione come Cd, Dvd e chivette Usb. Come al solito, il comportamento illecito del dipendente potrebbe ricadere anche sull’azienda, la quale potrebbe essere chiamata a dimostrare la propria estraneità nella commissione del reato da parte del proprio dipendente, dimostrazione sicuramente più agevole nel caso siano state precedentemente adottate le contromisure idonee a prevenire comportamenti illeciti di questo tipo. In secondo luogo l’azienda difficilmente potrebbe evitare il sequestro da parte dell’autorità giudiziaria delle strumentazioni informatiche contenenti immagini pedopornografiche. L’impresa potrà invece essere tenuta a risarcire in sede civile i danni causati ai terzi dal comportamento illecito dei propri dipendenti. Occorre però non tralasciare i danni all’immagine che potrebbe subire l’azienda in conseguenza della commissione di un reato connesso alla pedopornografia, di sicuro impatto negativo sull’opinione pubblica ed in particolare sulla clientela, sempre più attenta anche agli aspetti etici del comportamento delle organizzazioni.

Scenario 2: Il dipendente installa sul proprio computer aziendale del software pirata o software non autorizzato dall’azienda

Il software è stato inserito dal decreto legislativo 29 dicembre 1992 n. 518 tra le opere dell’ingegno di carattere creativo, estendendo ad essi la protezione della legge sul diritto d’autore (legge 22 aprile 1941 n. 633) previs ta per le opere letterarie. All’autore di un software spettano, oltre ai diritti morali, come quello alla paternità dell’opera, i diritti esclusivi di utilizzazione economica quali la riproduzione, la duplicazione, la vendita e l’elaborazione. In particolare, la legge 248 del 2000 ha inasprito le sanzioni per l’illecita duplicazione di software (articolo 171 bis legge 633/1941) divenuta punibile se effettuata anche per finalità di profitto (e non solo di lucro). Come ha chiarito la giurisprudenza italiana il concetto di profitto è da considerarsi sicuramente più ampio di quello di lucro ed è comprensivo anche del semplice risparmio di costi. Le sanzioni sono molto severe e consistono nella multa da Euro 2.582,28 a Euro 15.493,70 e nella reclusione da sei mesi a tre anni. Viste le disposizioni esaminate appare assolutamente necessario che l’azienda ponga in essere delle misure volte a contrastare l’installazione di software pirata all’interno dei propri computer o server aziendali. Pur ribadendo che la responsabilità penale nel nostro ordinamento è personale, e che quindi l’azienda nella persona dei suoi amministratori non può essere ritenuta responsabile di un reato commesso dal dipendente (è opportuno ricordare che, nel caso di mancata applicazione di idonee misure di controllo e prevenzione degli illeciti, gli amministratori potrebbero invece rispondere a titolo di concorso nel reato commesso dal dipendente) tuttavia, nel caso di specie, vi sono ulteriori problematiche da tenere in considerazione. Innanzitutto l’impresa, nel caso in cui la Guardia di Finanza (alla quale sono stati demandati i compiti di prevenzione, ricerca e repressione delle violazioni anche in materia di diritti d’autore) dovesse verificare la presenza di software pirata sui computer, non potrebbe evitare il sequestro degli stessi, con notevole intralcio allo svolgimento delle proprie attività. Inoltre, potrebbe essere tenuta a dimostrare che l’installazione del software da parte del dipendente non è stata autorizzata, cosa sicuramente difficoltosa nel caso in cui il lavoratore utilizzi il programma per elaboratore piratato per l’esercizio delle proprie mansioni. Residua inoltre la possibilità che l’azienda sia chiamata a risarcire sulla base dell’articolo 2049 del codice civile i terzi che eventualmente siano stati lesi dalla condotta illecita dei dipendenti.

Conclusioni

Nel corso dell’articolo abbiamo analizzato due comportamenti possibili ai dipendenti di un’azienda, che oltre a pesanti ripercussioni penali sull’autore stesso delle azioni, potrebbero provocare gravi danni all’intera struttura aziendale. E’ vero che la responsabilità penale nel nostro ordinamento è personale, e che quindi l’azienda nella persona dei suoi amministratori non può essere ritenuta responsabile di un reato commesso dal dipendente, ma la mancata applicazione di idonee misure di controllo e prevenzione dei comportamenti a rischio potrebbe delineare per i vertici aziendali, l’ipotesi di concorso nel reato commesso dal dipendente. Spesso la formazione e l’informazione del dipendente sui comportamenti in grado di causare rischi all’azienda non sono sufficienti in quanto certe azioni vengono condotte consapevolmente. Visitare siti non consoni, scaricare materiale coperto da Diritto d’Autore o di dubbio gusto, personalizzarsi il Pc installando programmi personali sono tutti comportamenti che le statistiche vedono in costante aumento e che le aziende dovrebbero contrastare adottando opportune policy e adottando idonei strumenti di controllo e prevenzione. Se i dipendenti vengono avvisati del fatto che l’azienda ha predisposto e implementato strumenti per contrastare i comportamenti non autorizzati, viene infatti meno quell’aurea di impunibilità che certe volte sembra incentivare certe azioni.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore