Gioie e dolori della tecnologia. Se da un lato l’avanzamento rapido della tecnologia e di Internet ha permesso di semplificare la vita di tutti, vero è che la profonda digitalizzazione dei sistemi di gestione ha portato, purtroppo, anche alla diffusione dei cosiddetti “crimini informatici”.
Per combattere questi crimini si sono sviluppate, in parallelo, diverse forme di prevenzione e di tutela, tra cui emerge la figura del consulente privato informatico.
Indagini informatiche: cosa sono e campi di applicazione
Le indagini informatiche e forensi hanno la funzione di recupero e analisi di dati presenti su dispositivi digitali, da utilizzare come prova in sede giudiziaria. L’informatica forense o digital forensics ha assunto un ruolo rilevante in presenza di reati informatici, in campo civile, commerciale, fiscale o giuslavoristico.
I dati digitali sono il patrimonio più prezioso e la risorsa più strategica di ogni realtà aziendale, sia privata che pubblica. Le Indagini Forensi sono la soluzione per riuscire ad identificare il furto di dati, lo spionaggio industriale, l’accesso abusivo ai sistemi informatici e rispondere ad eventuali controversie legali.
L’informatica forense identifica, conserva, recupera, analizza e presenta i dati informatici per produrre un rapporto sulle prove acquisite in procedimenti civili e penali.
L’obiettivo del processo, durante le indagini forensi è conservare qualsiasi prova, identificando e convalidando le informazioni digitali allo scopo di ricostruire gli eventi passati.
Il “prodotto” di un’acquisizione forense è definito copia forense e consiste in un “duplicato” bit a bit della prova digitale. Si parla quindi di perizia informatica forense per presentare prove valide nei procedimenti civili e penali.
Le indagini forensi più comuni riguardano le seguenti casistiche:
- accesso abusivo a sistemi informatici;
- accesso abusivo a sistemi di posta elettronica;
- furto dati aziendali
- furto dati personali
- truffe con sistemi informatici
- ricerca di software spia (trojan, spyphone, keylogger, spyware, ecc.)
- recupero dati cancellati, acquisizione dati (messaggi cancellati, documenti cancellati, ecc.)
- accertamento su documenti digitali modificati.
Quando effettuare investigazioni informatiche e forensi
Sottrarre materiale strategico, o riservato è semplice: tutto questo attraverso una chiavetta USB, con cui sottrarre disegni CAD di un prototipo, documenti di partecipazione ad un bando; l’inoltro o l’invio di una mail a destinatari estranei all’azienda possono essere determinanti in una ipotesi di danneggiamento o spionaggio.
Progetti, documenti riservati, in genere le informazioni non sono solo nei server aziendali collocati nei data center protetti da controllo accessi: quelle informazioni sono nei desktop, nei portatili dei tecnici e delle figure apicali, sono negli smartphone e tablet forniti al personale e sempre più spesso nel cloud aziendale o distribuite su diversi cloud.
Il perimetro in cui sono conservati i dati importanti è ormai esteso ben oltre i confini fisici dell’azienda, dall’outsourcing al SaaS fino al cloud l’azienda ha ampliato il perimetro fisico in cui sono riposti i suoi dati. Il verificarsi di un evento dannoso richiede l’affiancamento di investigazioni informatiche a quelle tradizionali per ricostruire i fatti, individuare i responsabili che li hanno originati e i destinatari.
La raccolta delle prove informatiche
Svolgere un’indagine informatica è diverso dall’eseguire un’indagine informatica forense. Infatti, mentre nella prima si effettua una ricognizione dei sistemi volta ad identificare elementi utili all’indagine richiesta, per svolgere una investigazione informatica forense si procede alla ricognizione dei sistemi informatici ma soprattutto alla raccolta delle prove informatiche per produrle eventualmente in giudizio, e in ogni caso per poter opporre a terzi ai fini della tutela aziendale.
Nel momento in cui i risultati di un’indagine interna assumono un rilievo per l’applicazione di un provvedimento disciplinare, o si configurano contesti di illeciti o di reati, è fondamentale che gli elementi che si contestano o a documentano siano raccolti con le garanzie, per l’azienda e la controparte, che permettano di produrli come fonti di prova autentiche e oggettive, e possano supportare l’azione disciplinare o un procedimento giudiziario.
Tali elementi possono risultare estremamente utili per l’azienda nei confronti degli stakeholder e delle eventuali assicurazioni sul cyber rischio che certamente chiederanno una “certificazione” di quanto avvenuto prima di liquidare un sinistro.
Alcune aziende sono dotate di unità operative tecnicamente qualificate a svolgere le investigazioni informatiche richieste dai vari uffici, si tratta di strutture che dovrebbero stare in staff alla direzione generale per essere il più possibile indipendenti e distinte dalle unità di operationals. Ove non è possibile avere una struttura investigativa interna, è consigliabile affidarsi a consulenti esterni per contare su un know-how e una esperienza ampia, ma anche per avere una valutazione il più indipendente possibile, evitando che le indagini possano essere condizionate dalle gerarchie aziendali e dai rapporti personali interni all’azienda.
