I reati informatici commessi in ambito lavorativo sono una realtà che coinvolge, più o meno consapevolmente, ogni azienda ed organizzazione, qualunque sia la loro dimensione.

Le statistiche diffuse dalle autorità di pubblica sicurezza e dalle organizzazioni specializzate in sicurezza informatica evidenziano, di anno in anno, un costante aumento dei crimini commessi con strumenti informatici, anche in ambito aziendale, con percentuali di crescita a doppia cifra.

Parlando di cybercrime in ambito aziendale, il primo pensiero che balza alla mente è quello degli attacchi informatici commessi da estranei a danno delle aziende, come ad esempio gli attacchi ransomware e le frodi informatiche con tecniche di social engineering.

Ma il fenomeno in realtà è molto più esteso, e riguarda una moltitudine di fatti che possono avere rilevanza penale compiuti all’interno delle imprese, degli enti pubblici e degli studi professionali.

Per comprendere meglio la portata di questo fenomeno, è opportuno operare, in prima approssimazione, una distinzione in tre categorie di crimini informatici in ambito lavorativo:

  • I reati informatici commessi in danno dell’organizzazione dal proprio personale;
  • I reati informatici commessi in danno dell’organizzazione da persone esterne;
  • I reati informatici commessi nell’interesse dell’organizzazione dal proprio personale.

Analizziamo brevemente queste tre categorie per comprendere le principali minacce ed i profili di responsabilità connessi a queste classi di reati.

Le minacce interne: i reati informatici commessi contro l’azienda dal dipendente

Molto spesso, il primo fattore di rischio alla sicurezza dei sistemi di un’organizzazione è rappresentato dai propri collaboratori. I dipendenti hanno infatti accesso diretto ai sistemi informatici aziendali ed ai dati in essi contenuti e può essere per loro estremamente facile abusare di questa posizione di vantaggio in danno dell’azienda.

Il caso tipico è rappresentato dal cosiddetto “furto di dati aziendali”, che si verifica quando il dipendente crea delle copie non autorizzate dei dati conservati nei sistemi aziendali per farne un uso non autorizzato. Ad esempio, un dipendente infedele potrebbe sottrarre dati riservati relativi ai segreti commerciali dell’azienda per consegnarli ad un concorrente.

Ancora, un ex dipendente di un’impresa potrebbe mantenere i dati che erano stati con lui condivisi per lo svolgimento dell’attività lavorativa e utilizzarli per avviare una attività in concorrenza con il proprio ex datore di lavoro.

I reati informatici più comuni che vengono commessi contro l’azienda (ed ogni altra organizzazione) dai propri dipendenti sono:

  • l’accesso abusivo al sistema informatico, previsto dall’art. 615-ter del codice penale, che si verifica nel caso in cui il dipendente, pubblico o privato, acceda ai sistemi informatici aziendali per finalità diverse da quelle per le quali è autorizzato ad usarli. Nel caso in cui il reato sia commesso da “operatori di sistema” (ovvero dipendenti ed amministratori si sistema) il reato è aggravato e la pena prevista è dunque più severa;
  • l’appropriazione indebita, punita dall’art. 646 del codice penale, che si verifica, secondo una recente sentenza della Corte di cassazione, nel caso in cui il dipendente si appropri di dati detenuti lecitamente per finalità lavorative, sottraendoli al controllo al datore di lavoro ed impedendo a quest’ultimo di accedervi (ad esempio, cancellando le copie dal computer aziendale prima di restituirlo);
  • la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, punita dall’art. 615-quater c.p., che si verifica quando il dipendente, per trarne un illecito profitto, si procura abusivamente o comunica a terzi i codici di accesso ai sistemi informatici aziendali;
  • il danneggiamento di informazioni, dati o programmi informatici, previsto dagli articoli 635-bis e 635-ter del codice penale, che si verifica quando il dipendente infedele cancella o altera o manomette dati o programmi informatici utilizzati nei sistemi informatici aziendali;
  • il danneggiamento di sistemi informatici, punito dall’art. 365-quater, che si verifica se il dipendente infedele danneggia o manomette volontariamente un sistema informatico aziendale, con lo scopo di danneggiare la propria organizzazione o ricavare un guadagno illecito;
  • la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, punita dall’art. 615-quinquies del codice penale, che punisce la condotta di chiunque si procura, produce o diffonde programmi o apparecchiature in grado di danneggiare i sistemi informatici o i dati in essi contenuti: è questo il caso del dipendente infedele o dell’amministratore di sistema che installa trojan o backdoor per mantenere l’accesso ai sistemi aziendali oppure installa nei sistemi malware con lo scopo di danneggiarli;
  • i reati previsti dal Codice della Privacy, come ad esempio il trattamento illecito di dati personali, punito dall’art. 167 del d.lgs. n. 196/2003 o la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, punita dall’art. 167-bis d.lgs. n. 196/2003, che si verificano in particolari ipotesi in cui il dipendente tratti in modo illecito particolari categorie di dati o diffonda il contenuto di banche dati particolarmente delicate.

I reati informatici commessi dai dipendenti contro le aziende coprono dunque un vasto spettro dei reati informatici previsti dal nostro ordinamento, ed è dunque importante adottare adeguate forme di prevenzione di questi reati, adottando misure organizzative e tecniche che, ad esempio, limitino l’accesso dei dipendenti ad informazioni alle quali non devono accedere per svolgere le loro mansioni oppure prevedere sistemi di controllo delle esfiltrazioni di dati.

Le minacce esterne: i reati informatici contro le aziende

Oltre che dalle minacce interne, le organizzazioni devono proteggersi anche dai reati informatici commessi da persone esterne. Le bande di cyber-criminali sono sempre più numerose ed agguerrite ed il numero di crimini informatici commessi ogni anno in danno delle aziende è sempre più importante e causa perdite sempre maggiori, come rilevano gli studi annuali pubblicati dalle aziende specializzate.

Abbiamo in passato già analizzato alcuni dei più frequenti attacchi dei quali sono bersaglio le aziende, come gli attacchi ransomware, e gli attacchi sim swap e smishing. Le tipologie di attacchi sono moltissime e possono avere le più diverse finalità. Possono avere il fine di sottrarre beni aventi un valore economico diretto (ad esempio, denaro o dati facilmente rivendibili) o possono avere lo scopo di bloccare o limitare l’attività dell’organizzazione (come nel caso di attacchi DDOS).

In questo caso, i reati più facilmente ipotizzabili sono:

  • l’accesso abusivo al sistema informatico, in tutte le ipotesi in cui gli attaccanti si introducano nel sistema informatico dell’organizzazione in modo abusivo;
  • la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, nei casi di appropriazione e diffusione delle credenziali di accesso ai sistemi informatici (cosa che avviene, ad esempio, anche quando i criminali rubano elenchi di password trovati nei sistemi del bersaglio e li pubblicano sul dark web);
  • il danneggiamento di informazioni, dati o programmi informatici, quando i criminali informatici alterano i dati dei sistemi informatici oppure danneggiano i programmi in essi installati. Si tratta di un reato che è aggravato quando il programma danneggiato è utilizzato per la gestione di servizi di interesse pubblico;
  • il danneggiamento di sistemi informatici, come ad esempio negli attacchi DDOS, quando lo scopo o la conseguenza voluta dell’attacco è di ostacolare il funzionamento dei sistemi informatici aziendali;
  • la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, che punisce la condotta di chiunque si procura, produce o diffonde programmi o apparecchiature in grado di danneggiare i sistemi informatici o i dati in essi contenuti: è questo il caso di chi programma e diffonde malware a ransomware;
  • l’intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche o l’installazione di sistemi di intercettazione, puniti dagli articoli 617-quater e 617-quinquies del codice penale, che si verifica ad esempio in caso di intercettazione abusiva delle comunicazioni tra due sistemi, per effettuare attacchi di tipo “man in the middle”
  • la sostituzione di persona, punita dall’art. 494 del codice penale, che si verifica quando una persona “ruba” l’identità di un’altra persona. Ciò avviene sia nel caso in cui il furto di identità riguardi l’identità “reale” della vittima (ad esempio, per effettuare acquisti o concludere contratti) ma anche quando riguarda l’identità “digitale” (ad esempio utilizzandone i profili sui social network);
  • la frode informatica, punita dall’art. 640-bis del codice penale, che si verifica quando una persona alterando in qualsiasi modo il funzionamento di un sistema informatico o intervenendo sui dati o sui programmi contenuti, si procura un profitto illecito: ciò avviene, ad esempio, nelle frodi informatiche che si basano sul phishing;
  • i reati previsti dal Codice della Privacy, specialmente quando gli attacchi portano al trasferimento illecito dei dati verso Paesi terzi oppure quando l’attacco porta alla diffusione di banche dati particolarmente estese. Ciò è avvenuto, ad esempio, quando è stata sottratta e diffusa l’intera banca dati dei clienti del gestore Ho-mobile (ne abbiamo parlato anche qui).

Oltre ai reati informatici in senso stretto, le bande di cyber criminali commettono anche reati che possono rientrare nelle ipotesi della ricettazione o del riciclaggio, ad esempio quando utilizzano i dati relativi a carte di pagamento sottratti illecitamente.

Anche in questo caso, la prevenzione dei reati informatici contro l’azienda richiede l’adozione di adeguate misure di sicurezza, che vanno implementate coinvolgendo e sensibilizzando il personale dell’organizzazione.

I reati informatici commessi nell’interesse dell’azienda

Oltre ad essere vittime di reati informatici, l’azienda può essere considerata l’autrice di alcuni crimini commessi tramite i propri dipendenti.

Il d.lgs. n. 231/2001 stabilisce infatti la disciplina giuridica della responsabilità penale degli enti (espressione che ricomprende tutte le società commerciali e le associazioni anche se non riconosciute). In base a questa legge, gli enti sono responsabili per alcuni reati commessi, anche nel loro interesse, da dirigenti, amministratori e, più in generale, da tutte le persone “sottoposte alla direzione o vigilanza” dei propri amministratori.

La responsabilità penale degli enti è limitata ai reati espressamente individuati dalla legge. L’art. 24-bis del d.lgs. n. 231/2001 elenca alcuni reati informatici per i quali è prevista la responsabilità penale degli enti:

  • falsità in un documento informatico, punita dall’art. 491-bis del codice penale, che si verifica nel caso di falsificazione del contenuto di un documento informatico dotato di valore probatorio (ad esempio, la falsificazione di un atto firmato digitalmente) oppure nel caso in cui sia occultato o distrutto uno di questi documenti;
  • accesso abusivo ad un sistema informatico o telematico, ad esempio se il dipendente accede abusivamente ai sistemi di un concorrente dell’impresa;
  • detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
  • diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
  • intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche e l’installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche;
  • danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.);
  • danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità;
  • danneggiamento di sistemi informatici o telematici e il danneggiamento di sistemi informatici o telematici di pubblica utilità;
  • frode informatica del certificatore di firma elettronica, punito dall’articolo 640-quinquies del codice penale, che può essere commesso dai dipendenti di un gestore di un servizio di firma elettronica qualificata, allo scopo di alterare fraudolentemente un documento firmato digitalmente.

La responsabilità penale degli enti è particolarmente gravosa, in quando oltre a portare alla condanna dell’ente al pagamento di una sanzione pecuniaria che può essere anche molto elevata, può comportare l’applicazione di pene accessorie che possono impedire organizzazione di svolgere le attività che costituiscono il proprio scopo e, dunque, portare nei casi più gravi alla sua liquidazione.

Per limitare il rischio di incorrere nella responsabilità penale per i reati informatici commessi dai propri amministratori e dipendenti, l’organizzazione deve adottare adeguate misure di prevenzione, secondo le procedure previste dal decreto legislativo n. 231/2001.

In sintesi

I reati informatici che si possono verificare nell’azienda e nelle organizzazioni sono molti e possono essere commessi, in danno o a favore dell’organizzazione, da soggetti diversi. Di seguito, riportiamo una tabella riepilogativa dei principali reati. Accanto a ciascun reato è riportato se vi sia un’alta probabilità che il reato sia commesso da dipendenti, da estranei o se per tale reato vi sia la responsabilità dell’ente ai sensi del d.lgs. n. 231/2001.

Reato Minaccia interna Minaccia esterna Responsabilità da 231/2001
Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.) SI SI SI
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.) SI SI SI
Appropriazione indebita (art. 646 c.p.) SI NO NO
Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.) SI SI SI
Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.) NO SI SI
Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.) NO SI SI
Danneggiamelo di informazioni, dati e programmi informatici (art. 635-bis c.p.) SI SI SI
Danneggiamelo di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.); SI SI SI
Danneggiamelo di sistemi informatici o telematici (art. 635-quater c.p.) SI SI SI
Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.) SI SI SI
Frode informatica (art. 640-bis c.p.) NO SI NO
Frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.) NO NO SI
Falsità in un documento informatico (art. 491-bis c.p.) SI SI NO
Sostituzione di persona (art. 494 c.p.) NO SI NO
Trattamento illecito di dati (art. 167 d.lgs. n. 196/2003) SI SI NO
Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art. 167-bis d.lgs. n. 196/2003) SI SI NO
Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art. 167-ter d.lgs. n. 196/2003) NO NO SI