Archivi tag: dipendente infedele

La gestione delle prove digitali e il dipendente infedele in azienda

Il 15 maggio sarò relatore all’evento virtuale organizzato da Paradigma su “La corretta gestione delle prove digitali, documentali e testimoniali“, che seguirà il workshop online su “Frodi, sottrazione di dati e ulteriori illeciti compiuti da dipendenti e collaboratori” del 14 maggio 2020, incentrata sulle frodi e illeciti da parte del dipendente infedele in ambito aziendale.

In particolare, avrò l’onore di partecipare alla tavola rotonda incentrata proprio sulla corretta gestione della prova digitale, testimoniale e documentale, che si terrà nel pomeriggio del 15 maggio, dalle ore 14.30 alle 18.00 e alla quale parteciperanno il Dott. Paolo Dal Checco (Consulente Informatico Forense), la Dott.ssa Valentina Sellaroli (Tribunale di Torino), il Prof. Avv. Francesco Rotondi (Università Carlo Cattaneo LIUC LabLaw Studio Legale) con la moderazione del Dott. Angelo Jannone (Italiaonline). Io cercherò, durante la tavola rotonda, di portare il mio contributo relativamente alle problematiche, tecnologie e strumenti per l’acquisizione forense della prova digitale, che questo avvenga su web, online, tramite accesso diretto a dispositi (hard disk, smartphone, PC, etc…) in uso alla parte o in fase di sequestro o indagini difensive, tramite le best practice d’informatica forense e indagini digitali.

Conferenza su acquisizione prove digitali e indagini su frodi del dipendente infedele

Il programma integrale della conferenza Paradigma della giornata del 15 maggio sulla prova digitale e le frodi informatiche è il seguente, mentre il programma di entrambe le giornate, inclusa anche quella sulle frodi e le relative indagini forensi sul dipendente infedele in azienda, è disponibile al seguente link in formato pdf.

Programma della conferenza Paradigma su prove digitali e dipendenti infedeliDownload

9.30 – 10.30: Le indagini difensive come strumento di approfondimento e repressione delle frodi aziendali (Prof. Avv. Francesco Rotondi, Università Carlo Cattaneo LIUC LabLaw Studio Legale)

  • Le indagini difensive ex artt. 391 bis e ss. c.p.
  • L’attività investigativa preventiva ex art. 391 nonies c.p. L’acquisizione di informazioni: modalità e verbalizzazione
  • L’utilizzo di investigatori privati e consulenti tecnici

10.30 – 11.30: Gli strumenti giuridici e processuali per la tutela della proprietà intellettuale e la prevenzione delle azioni del dipendente infedele o collaboratore infedele (Prof. Avv. Cesare Galli, Università di Parma, Studio IP Law Galli, UAMI)

  • La proprietà intellettuale e l’impresa: un asset da valorizzare e proteggere
  • Il diritto penale a tutela della Intellectual Property
  • La violazione del segreto industriale e i dipendenti infedeli
  • Le strategie e le tutele aziendali
  • Le azioni di policy per la sicurezza informatica e la riservatezza dei dati

12.00 – 13.00: Le responsabilità dei vertici aziendali e dei soggetti deputati al controllo (Avv. Antonio Bana, Studio Legale Bana)

  • La rilevanza dell’art. 6 D. Lgs. n. 231/2001
  • La responsabilità penale ex art. 40, comma 2 c.p.
  • I criteri generali di attribuzione sul dovere di vigilanza degli amministratori
  • Aspetti operativi di coordinamento
  • Casi pratici con particolare riferimento alla tutela del know-how industriale

14.30 – 18.00: La corretta gestione e produzione delle prove – digitali, documentali e testimoniali (Partecipano alla tavola rotonda Dott. Paolo Dal Checco, Consulente Informatico Forense, Dott.ssa Valentina Sellaroli, Tribunale di Torino, Prof. Avv. Francesco Rotondi
Università Carlo Cattaneo LIUC LabLaw Studio Legale, Modera Dott. Angelo Jannone, Italiaonline)

  • La prova raccolta tramite digital forensics
  • La prova documentale e la prova testimoniale
  • La valutazione della prova nel processo del lavoro
  • La valutazione della prova nel processo penale
HackInBoat - Hacker in Crociera

HackInBoat: cybersecurity e digital forensics in crociera

Si sta ormai avvicinando il momento in cui salperemo per la crociera rivolta a tutti gli appassionati di sicurezza offensiva e informatica forense, organizzata in forma di conferenza/corso itinerante da Mario Anglani, con la collaborazione del Team HackInBo. Partendo da Genova il 2 maggio 2019, navigheremo nel Mediterraneo occidentale con scali a Barcellona e Marsiglia, rientrando a Genova il 5 maggio 2019 con un programma di offensive security e digital forensics che terrà impegnati i partecipanti per due giornate, lasciando il resto dei giorni liberi per godersi il viaggio in nave e intrattenere rapporti sociali con i partecipanti.

HackInBoat - Hacker in Crociera

Il percorso HackInBoat di offensive security – dal nome in codice “Offensive Security 4 n00bs” – vede come docenti Igor “Koba” Falcomatà & Gianfranco Ciotti, entrambi che operano da anni nel campo della sicurezza informatica.

Igor Koba Falcomatà e Gianfranco Ciotti - Offensive Security

Il programma del corso si offensive security di HackInBoat si distribuisce in due giornate, percorrendo i seguenti argomenti:

  • Affinità e divergenze tra: risk assessment, vulnerability assessment, penetration test, red/blue teaming e altre buzzword assortite;
  • Sicurezza di rete: del perché l’evil bit non era poi un’idea così balzana;
  • Pwning for fun & profit: la dura vita del pentester;
  • Sicurezza su mobile: bitterly birds;
  • Sicurezza applicativa: non è tutto web quello che luccica;
  • Famolo strano: IOT? ICS/SCADA?

Il percorso HackInBoat di digital forensics – dal nome in codice “DFIR@HackInBoat” – vede come docenti Paolo dal Checco & Davide “Rebus” Gabrini, entrambi da anni sul campo in attività d’indagine informatica e investigazioni digitali.

Davide Gabrini e Paolo Dal Checco - Digital Forensics

Il programma del corso d’informatica forense di HackInBoat si suddivide in questo modo nelle due giornate di corso:

  • Durante la prima giornata di corso verranno mostrate tecniche di incident response in modalità “live”, tramite strumenti prevalentemente free e open source, mostrando ai discenti come acquisire informazioni circa attività occorse sui sistemi Windows, Mac OS e Linux sfruttando l’immediatezza dell’azione e il fatto che i sistemi sono ancora operativi. Rispetto alle analisi “post mortem” che verranno mostrate durante la seconda giornata, le attività svolte a sistema “vivo” offrono spesso spunti investigativi rilevanti, non solo per l’immediatezza dei risultati ma anche per il fatto che spesso tali risultati non sono ottenibili su un sistema spento.
  • Durante la seconda giornata analizzeremo invece le potenzialità di azione “post mortem” con analisi forensi che partono con la copia forense dei sistemi Windows, Mac OS (con cenni anche a sistemi Android e iOS) eseguita tramite strumentazione/software adeguato e certificata da valori hash e timestamp, proseguendo con le analisi sulle immagini forensi bitstream acquisite. Ponendosi in un contesto di violazione di fedeltà aziendale (il tipico caso di “dipendente infedele” ormai all’ordine del giorno per chi si occupa d’informatica forense e perizie informatiche) si toccheranno temi come carving, analisi del registro, lnk, shellbag e jump list, mft, usnjrnl, logfile, ricostruzione della navigazione sul web, timeline, supertimeline, tutti artefatti spesso essenziali ricostruire ciò che è accaduto su di un sistema.

I posti per partecipare alla crociera più attesa dell’anno sono esauriti il primo giorno in cui sono state aperte le vendite ma c’è ancora la possibilità di registrarsi in lista d’attesa. Per informazioni su prezzi, date e iscrizioni consigliamo di visitare il sito ufficiale di HackInBoat.

I controlli difensivi secondo l'Avv. Antonino Attanasio di IISFA

L’Avv. Antonino Attanasio sui controlli difensivi per IISFA for you

I controlli difensivi secondo l'Avv. Antonino Attanasio di IISFA Abbiamo già parlato dell’ottima iniziativa chiamata “IISFA for you“, novità proposta dall’Associazione IISFA e in particolare del suo Presidente Gerardo Costabile che prevede la pubblicazione settimanale di brevi video di 10 minuti su argomenti relativi all’informatica forense e alla sicurezza.

Delle interviste già pubblicate sul canale, una in particolare ho trovato interessante perché parla di una problematica che tutti i proprietari d’azienda si trovano ad affrontare prima o poi e, quindi, indirettamente anche i consulenti informatici forensi e gli Avvocati chiamati ad assistere il cliente.

L’intervista è quella realizzata da Gerardo Costabile all’Avv. Antonino Attanasio, membro del direttivo IISFA, che si occupa da diversi anni di diritti delle nuove tecnologie ed è specializzato in ambiti aziendali, tributari e amministrativi sempre legati alle nuove tecnologie.

L’intervista verte su un tema abbastanza dibattuto all’interno delle aziende e cioè i cosiddetti controlli difensivi, svolti dal datore di lavoro nei confronti del lavoratore dipendente o ex dipendente. Molto spesso la problematica è nota come la questione dei controlli sul computer del dipendente infedele o dell’ex dipendente e se ne dibatte da anni, giostrandosi tra lo Statuto dei Lavoratori, il Garante della Privacy, la legge su accesso abusivo, violazione di corrispondenza, GDPR, D.Lgs 231, etc…

Approfittando di una recente sentenza di conferma di licenziamento avvenuto tramite Whatsapp, Gerardo Costabile apre l’intervista chiedendo all’Avv. Attanasio qual è la modalità giusta e quali sono le regole all’interno dell’azienda per poter consentire al datore di lavoro, o comunque al management, di effettuare quelli che vengono chiamati in gergo i cosiddetti controlli difensivi dei lavoratori da parte del datore di lavoro.

L’avv. Attanasio risponde che “nel 2015 una riforma della normativa del mercato del lavoro ha introdotto il cosiddetto ‘divieto flessibile’ di controllo distanza dell’attività dei lavoratori. Mentre prima non era consentito l’utilizzo di impianti audiovisivi e altri strumenti da cui derivava la possibilità di controllare a distanza l’attività dei lavoratori, adesso questo utilizzo è consentito, per esigenze organizzative produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.“. Attanasio precisa che “questo elenco non è un elenco casuale ma una gerarchia precisa, perché il patrimonio aziendale è riassuntivo delle esigenze organizzative produttive e della sicurezza del lavoro, che sono i tre elementi, le tre colonne portanti di qualsiasi azienda, senza le quali il patrimonio non è possibile.

L’Avvocato aggiunge che “questo patrimonio non è costituito solo dei beni dell’azienda ma anche il posto di lavoro e patrimonio aziendale, quindi una tutela va concepita anche in funzione del lavoro di tutti, infatti parliamo di organizzazione. Si parla di organizzazione, di esigenze organizzative e quindi di beni e persone. Qual è l’eccezione a questo? L’eccezione a questo sono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi delle presenze. E questo è ovvio perché le presenze e gli accessi sono connaturati alla prestazione al patrimonio aziendale, sono connaturati all’esecuzione del contratto, quindi per questi non si parla di controllo e quindi non c’è la necessità di una preventiva autorizzazione. Ovviamente se a questo vengono aggiunti altri temi che sono sovrabbondanti rispetto lo scopo, allora il divieto scatta. In effetti possiamo dire che la riforma del così detto Jobs Act non è altro che la traduzione, in parte, di tutto quello che la giurisprudenza ha elaborato. Soprattutto rimane sempre il succo della normativa sulla privacy che dice che in fondo i dati non possono mai essere utilizzati oltre lo scopo per cui sono dichiaratamente raccolti.

Attanasio introduce quindi il concetto di strumenti personali e strumenti aziendali, precisando che “ben venga la distinzione tra strumenti personali strumenti aziendali. Sarebbe opportuno separare le due sfere, fare modo che l’azienda sia un patrimonio veramente condiviso, sia come tempo libero, sia come tempo destinato all’attività lavorativa. Come al solito è meglio la prevenzione di una repressione faticosa, improbabile e soprattutto molto costosa. E’ stato fatto riferimento al licenziamento intimato via Whatsapp dove giustamente, a mio avviso, il tribunale di Catania ha detto che i requisiti di forma ci sono tutti. La comunicazione è arrivata, nel senso che il lavoratore l’ha ricevuta, tanto è vero che fatto ricorso e aveva tutti gli elementi per fare ricorso. È ovvio che al limite poteva essere un problema del datore di lavoro indicare dei motivi puntuali e per i quali c’era la necessità di ottenere un riscontro sulla effettiva ricezione. Paradossalmente gli avvocati del lavoratore avrebbero potuto non far nulla, avrebbero potuto dire che non era dimostrabile che il lavoratore all’ avesse ricevuto o meno, che Whatsapp non è uno strumento di effettivo controllo del datore di lavoro. Quindi io non vedrei problemi su questo. I problemi ci sono laddove si utilizzano strumenti molto invasivi di cui non sia affatto la padronanza in termini di materialità, come può essere qualsiasi bene di compravendita materiale.

Gerardo Costabile chiede quindi all’Avv. Antonino Attanasio ciò che tanti datori di lavoro si chiedono, e cioè “se una persona utilizza un computer, quindi in azienda, un portatile o comunque un computer, il datore di lavoro può durante la sua assenza entrare in quel computer, guardare la posta, guardare Internet, farsi una copia dai dati? E se sì, cosa è possibile e quando, ovvero, in quale contesto aziendale questo è possibile? È necessario fare delle azioni per poter puoi fare questa attività in modo occulto trasparente?

L’avv. Antonino Attanasio risponde che “per quanto riguarda tutta la strumentazione aziendale, in qualsiasi momento, previa adozione di una policy chiara sul punto, ovvero i beni sono accessibili in qualsiasi momento il datore di lavoro. Gli strumenti aziendali no. La casella privata di posta del prestatore di lavoro no, la casella di posta elettronica assegnata dal datore al prestatore di lavoro sempre, perché aziendale. Il confine è questo. È chiaro che in casi dubbi è preferibile sempre una policy aziendale che descriva minutamente tutto l’utilizzo di questi strumenti, ma se vogliamo non è necessario di particolare elucubrazione, basta semplicemente fare ricorso ai principi base del codice civile.

L’Avv. Attanasio procede con un esempio chiarificatore, adducendo che “non ci si fa nessun dubbio che una pala usata da un becchino non possa essere usata per scopi diversi di quello di scavare la terra per la bara, perché ci sono problemi igienici, problemi di sicurezza, problemi di tutela del patrimonio, è chiaro che tu la pala non la si può portare a casa e usarla per altre cose. E’ ovvio ed evidente, basta applicare questi principio di strumenti elettronici, facendo però mente locale sul fatto che lo strumento elettronico per sua natura genera l’immaterialità, l’inconsistenza, e quindi è difficile stabilire dove finisce il diritto e dove comincia un dovere, Per cui la soluzione migliore e la separazione, la qualifica aziendale di qualsiasi cosa impedisce l’uso privato a meno che come capita il datore di lavoro non faccio una deroga, ma si fa una delega poi ne subisce gli effetti“.

Il Presidente IISFA conclude osservando che “questo sicuramente è interessante come principio, noi consigliamo ai dipendenti, ai lavoratori e ai datori di lavoro di separare quello che la vita privata Facebook chat anche lo stesso Whatsapp che può essere utilizzato anche dal computer, come sapete, consigliamo di lasciare un po’ meno tracce, perché poi un’attività investigativa interna per motivi diversi può andare a impattare su dei dati che, impropriamente o involontariamente il dipendente hai inserito perché ha usato lo stesso sistema sia per motivi professionali sia per motivi più ludici privati ,che il datore di lavoro ha consentito senza andare a filtrare.
L’Avv. Attanasio conclude facendo osservare come “con la necessità di integrare persone con disabilità il confine tra privato e aziendale diventerà molto molto evanescente, perché cambierà per forza l’approccio.

Controlli datoriali e consulenza tecnica sugli strumenti informatici del “dipendente infedele”

Consulenza Tecnica sugli strumenti informatici del "dipendente infedele"A due mesi dall’uscita dell’articolo sulla rivista “ICT Security”, riporto il testo e il PDF dell’articolo che tratta – seppur nello spazio di poche pagine – dal punto di vista tecnico e giuridico alcune problematiche legate ai controlli datoriali e le attività di consulenza tecnica sugli strumenti informatici aziendali in uso al “dipendente infedele”, scritto con la preziosa collaborazione degli amici giuristi Jacopo Giunta e Francesco Meloni. Sempre più aziende, infatti, hanno l’esigenza di eseguire indagini sul comportamento dei propri dipendenti, per motivazioni quali concorrenza sleale, furto d’informazioni, infedeltà che rendono necessari controlli investigativi sulla postazione e gli strumenti di lavoro del dipendente.

ICT Security è il periodico edito da Tecna Editrice e dedicato interamente alla Sicurezza Informatica che, da alcuni mesi, ospita una rubrica sulla Digital Forensics della quale sono curatore all’interno di un Comitato Scientifico dove sono affiancato da esperti di fama ormai consolidata in diversi ambiti e diretto dal grande Corrado Giustozzi. Oltre alla redazione della rivista, Tecna Editrice si fa promotrice di eventi divulgativi in ambito Security come la Cyber Crime Conference e il Forum ICT Security, ai quali quando riesco partecipo sempre volentieri perché con panel interessanti e ben organizzati. Per rimanere al corrente degli eventi e delle pubblicazioni proposte da Tecna Editrice, potete seguire il profilo Twitter o iscrivervi alla newsletter sul sito.

Qui di seguito il testo completo per una comoda lettura online, mentre da questo link è possibile scaricare il PDF dell’articolo estratto dalla rivista ICT Security di maggio 2016.

I controlli datoriali e le attività di consulenza tecnica sugli strumenti informatici aziendali in uso al dipendente “infedele”, di Paolo Dal Checco, Jacopo Giunta e Francesco Meloni

Paolo Dal Checco svolge attività di Consulenza Tecnica in ambito forense collaborando con Procure, Tribunali e Forze dell’Ordine oltre che con aziende, privati e Avvocati. Professore a Contratto del corso di Sicurezza Informatica per l’Università degli Studi di Torino, nel C.d.L. in Scienze Strategiche, socio IISFA, CLUSIT, AIP e Tech & Law è tra i fondatori dell’Osservatori Nazionale per l’Informatica Forense, dell’Associazione DEFT che sviluppa la piattaforma DEFT Linux per acquisizioni e analisi forensi.

Jacopo Giunta, Legal & IT Counsultant @ Studio Legale Associato Ambrosio & Commodo. Si occupa di responsabilità civile, privacy e data protection. Consulente informatico forense, certificato CIFI, socio CLUSIT, IISFA e DFA, nella sua attività ha maturato specifiche competenze in materia di, infortunistica stradale, responsabilità̀ medica, disastri aerei e marittimi, danni da contagio, danni da farmaci, danni ambientali, privacy & data retention.

Francesco Meloni, Avvocato penalista del Foro di Torino, Studio Legale Associato Ambrosio & Commodo. Si occupa di diritto penale societario e di impresa, con particolare riferimento agli ambiti della responsabilità amministrativa degli Enti e delle persone giuridiche ai sensi del D.Lgs. n. 231 del 2001 e della salute e sicurezza sui luoghi di lavoro.

Introduzione

Una delle domande ricorrenti che vengono poste a Consulenti Tecnici e Giuristi riguarda il comportamento da tenere nei confronti del “dipendente infedele”, cioè nella situazione in cui l’azienda venga a scoprire o tema che uno dei propri dipendenti stia portando avanti attività di concorrenza sleale o comunque stia causando danni all’azienda. La domanda, tipicamente, verte sulle modalità con le quali i titolari possono commissionare un’analisi del PC e degli altri strumenti informatici in uso al dipendente sui quali, si presume, siano presenti le prove dell’infedeltà o della condotta lesiva. Gli autori dell’articolo, ricoprendo appunto i ruoli di Consulenti Tecnici e Giuristi, risponderanno al quesito esaminando aspetti, modalità tecniche di acquisizione dei dati e limiti dei cosiddetti “controlli datoriali” sugli strumenti informatici aziendali, tentando di districare la matassa e ragionando in termini di tutela del patrimonio aziendale, di difesa dei propri diritti, senza trascurare l’importanza delle policies nello svolgimento delle attività di controllo da remoto in tempo reale o in differita, del rispetto della Privacy e delle modalità tecniche di acquisizione e di conservazione delle evidenze probatorie.

Controlli datoriali sugli strumenti informatici aziendali in uso ai dipendenti

I controlli datoriali sugli strumenti informatici aziendali in uso ai dipendenti (acquisizione e analisi di archivi mail, analisi di account Skype o di messaggistica istantanea, acquisizione e analisi di cellulari, pc e tablet aziendali) nonché le modalità e gli strumenti con cui i medesimi vengono effettuati, costituiscono uno dei temi maggiormente delicati nello scenario dell’organizzazione aziendale, in quanto costituiscono il risultato di un’equazione le cui contrapposte espressioni devono necessariamente trovare un punto d’incontro; da una parte l’imprescindibile esigenza di tutela del patrimonio aziendale e l’interesse del datore di lavoro – che può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 c.c) e, dall’altro, la tutela dei dati personali dei dipendenti (art. 11 D.Lgs 196/2003).

Se da un lato i controlli datoriali, sia preventivi che successivi, danno la possibilità all’azienda di verificare l’operato dei dipendenti e, in ipotesi di c.d. “infedeltà”, di raccogliere riscontri probatori tali da giustificare l’allontanamento del dipendente – e idonei a essere producibili innanzi le competenti autorità giudiziarie – dall’altro gli stessi devono essere adottati e adeguatamente strutturati in una policy interna (di cui gli interessati devono essere compiutamente informati) che ne definisce le modalità ed i limiti nei minimi termini, nel rispetto dei generali principi di necessità, finalità, legittimità, correttezza, proporzionalità e non eccedenza.

Tali controlli, comportando anche deroghe a diritti e a garanzie di rango costituzionale poste a tutela dei lavoratori (in particolar modo ogni qualvolta i controlli coinvolgano la corrispondenza elettronica), indipendentemente dalla fondata sussistenza di profili di “infedeltà”, devono essere limitati nel tempo e nell’oggetto, mirati e fondati su presupposti tali da legittimarne l’esecuzione, pena l’inutilizzabilità dei risultati, l’esposizione a pesanti sanzioni pecuniarie per violazione del trattamento dei dati nonché a eventuali conseguenze di natura penale.

La costante casistica desumibile dai provvedimenti del Garante Privacy, relativa alle procedure di controllo sull’operato dei dipendenti, è conforme nell’accordare all’azienda ampi spazi di movimento, sia nelle procedure ordinarie che in quelle mirate a individuare comportamenti illeciti, purché:

  • le procedure di controllo vengano cristallizzate in una policy aziendale (formata secondo le linee guida per la protezione dei dati personali n. 13 dell’1 marzo 2007 secondo cui, giova ribadirlo, “i dirigenti dell’azienda accedono legittimamente ai computer – ed agli altri dispositivi – in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione”), il cui ruolo rimane centrale per disciplinare in modo puntuale l’utilizzo degli strumenti elettronici affidati in dotazione ai lavoratori.
  • che vengano rispettati i principi generali in materia di trattamento dei dati sopra enucleati, la cui importanza intrinseca è stata peraltro recentemente ribadita anche dopo la riforma dei controlli datoriali operata dal Jobs Act (e anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice Privacy).
  • che le risultanze investigative o di controllo vengano acquisite secondo le best practices della Digital Forensics – di cui si parlerà infra – in quanto le sole a garantire l’immodificabilità del dato originale e quindi la piena valenza probatoria. Tale aspetto assume rilevanza estrema, in particolare nel caso in cui la raccolta dei dati sia prodromica a un’azione giudiziale, sia civile che penale.

Il D.Lgs n. 151/2015, lo Statuto dei Lavoratori e l’utilizzabilità dei dati raccolti

La recente entrata in vigore del D.Lgs. n. 151/2015, emanato in attuazione della delega contenuta nel Jobs Act, ha sensibilmente innovato l’originaria cornice normativa dei controlli datoriali a distanza sul luogo di lavoro.

Secondo la precedente formulazione dell’art. 4, Statuto dei lavoratori, gli impianti di controllo potevano essere installati dal datore di lavoro esclusivamente in presenza di specifiche esigenze organizzative, produttive o di prevenzione di infortuni sul luogo di lavoro.

Traducendo in dato normativo un orientamento ermeneutico recentemente ribadito dalla giurisprudenza della Corte di Cassazione (si veda, da ultimo, Cass., Sez. Lav., 17 febbraio 2015, n. 3122), la riforma del 2015 ha ampliato il novero dei requisiti oggettivi sottesi all’installazione di impianti audiovisivi sul luogo di lavoro o di apparecchi di controllo a distanza, includendovi espressamente la finalità di tutela del patrimonio aziendale.

Allo stato attuale, pertanto, hanno trovato pieno ed espresso riconoscimento i controlli di natura difensiva, volti a prevenire e ad accertare l’eventuale realizzazione di attività illecite poste in essere dai propri lavoratori o da soggetti terzi.

Permane, nella vigente formulazione dell’art. 4, Statuto dei lavoratori, l’obbligo di rispettare taluni adempimenti formali, quali il raggiungimento di un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in alternativa, il conseguimento della prescritta autorizzazione rilasciata dalla competente Direzione territoriale del lavoro.

L’estensione del potere di sorveglianza del datore di lavoro si affianca a un’ulteriore importante novità, prevista dall’ultimo comma dell’art. 4, Statuto dei lavoratori.

Quest’ultima disposizione, facendo seguito a un costante orientamento interpretativo elaborato dalla Corte di Cassazione, ha espressamente sancito l’utilizzabilità delle informazioni e dei dati acquisiti mediante le attività di controllo a distanza a qualsiasi fine connesso al rapporto di lavoro.

A tal fine, è in ogni caso imprescindibile il rispetto degli adempimenti imposti dal Codice della Privacy e delle raccomandazioni impartite dall’Autorità Garante per la protezione dei dati personali. Primi fra tutti, l’adozione e l’attuazione di idonee policies aziendali e l’adeguata informazione ai lavoratori in merito alle modalità di esecuzione dei controlli.

Le risultanze degli accertamenti e delle attività di sorveglianza, dunque, sono pacificamente utilizzabili sia in sede disciplinare, sia nell’ambito del procedimento penale, quale prova documentale di eventuali condotte penalmente rilevanti.

Per contro, i requisiti oggettivi e gli adempimenti formali prescritti dall’art. 4 dello Statuto dei lavoratori non si applicano in relazione ai controlli datoriali esercitati sugli strumenti di lavoro in uso ai dipendenti per lo svolgimento della prestazione lavorativa.

Trattasi di una novità di grande rilievo, introdotta dallo stesso D.Lgs. n. 151/2015: in tali casi l’installazione è libera, fermo restando, naturalmente, l’obbligo di rispettare gli adempimenti imposti dalla normativa sulla Privacy.

Sul piano dell’utilizzabilità, nell’ambito del processo penale, dei dati e delle informazioni acquisite tramite l’espletamento di controlli datoriali a distanza, occorre richiamare i seguenti principi, da ultimo confermati all’interno di una recentissima pronuncia della Corte di Cassazione (Cass. Pen., Sez. II, 16 giugno 2015, n. 24998):

  • sul piano normativo, non esiste ad oggi uno standard prestabilito per la metodologia di trattamento e di analisi delle prove informatiche;
  • l’estrazione dei dati informatici archiviati su un computer o su altri dispositivi informatici non costituisce accertamento tecnico irripetibile ai sensi dell’art. 360 c.p.p., trattandosi di operazione meramente meccanica, riproducibile per un numero di volte indefinito;
  • nell’effettuare le operazioni di estrazione dei dati, è necessario adottare misure tecniche idonee ad assicurare la conservazione dei dati originali e a impedirne l’alterazione;
  • ove possibile, è opportuno procedere alla duplicazione dei dati su adeguati supporti informatici, mediante procedure idonee ad assicurarne la conformità della copia all’originale e la sua immodificabilità

Modalità tecniche di acquisizione del dato informatico

Dal punto di vista tecnico, per l’acquisizione del dato informatico valgono le best practices della digital forensics, il ramo della scienza forense che studia le fasi d’identificazione, acquisizione, conservazione, analisi e reportistica nell’ambito dei dispositivi digitali. E’ importante, quando possibile, per il Consulente Tecnico muoversi in accordo con un eventuale Studio Legale che assista l’Azienda, a seguito di nomina ad esempio per l’espletamento di indagini difensive. In genere la nomina può essere motivata dall’esigenza di proteggere asset/informazioni aziendali, eventualmente rafforzata da elementi che diano adito a credere che sia in corso una data exfiltration o comunque un comportamento scorretto da parte di un dipendente. Si raccomanda anche il rilascio, da parte dell’Azienda, di una lettera d’incarico che specifichi l’ambito dell’attività, obblighi del cliente e del fornitore, autorizzazioni, condizioni e termini del trattamento dei dati personali, oltre alle opportune considerazioni in merito all’impianto recato dal Modello Organizzativo 231, ove presente, con riferimento alle disposizioni di parte generale e di parte speciale.

Una volta chiariti gli aspetti formali, l’attività di acquisizione segue l’iter standard che prevede innanzitutto l’identificazione del dispositivo di cui deve essere eseguita copia forense, con verbalizzazione e possibilmente documentazione fotografica della postazione di lavoro, del computer e del disco o dei dischi in esso contenuti. La copia forense – ricordiamo – consiste nella duplicazione integrale di tutto il contenuto del dispositivo, a livello di bit e non di file, partendo dal primo settore del disco fino all’ultimo, coinvolgendo quindi aree contenenti file ancora presenti sul sistema e aree dove invece ci sono informazioni rimaste intatte di file ormai cancellati.

  • Se il Consulente possiede un write blocker (strumento che permette il collegamento di un hard disk a un computer in modo “sicuro” senza rischi di scritture accidentali) può aprire il case del PC, estrarre il disco e collegarlo al suo computer per avviare la fase di copia. Spesso al posto dei write blocker si utilizzano copiatori forensi, strumenti più evoluti che permettono la copia ad alta velocità di un disco sorgente su di uno di destinazione, senza bisogno di un computer che si ponga da interfaccia.
  • Nel caso in cui tali strumenti non siano disponibili, oppure sia difficile estrarre fisicamente l’hard disk dal PC, ci si può avvalere di sistemi software per avviare il computer del dipendente mediante un Sistema Operativo esterno che permetta l’accesso e la copia del disco interno senza comprometterne l’integrità. Il sistema infatti funge da write blocker e copiatore forense software, con la differenza che non si sta utilizzando uno strumento esterno ma è lo stesso PC contenente il disco che provvede ad accederne al contenuto in maniera sicura. Esistono al mondo diversi sistemi di questo genere, definiti per tradizione “Live CD” ma che ora possono essere utilizzati anche sotto forma di pendrive USB: in Italia abbiamo DEFT o CAINE e all’estero PALADIN o RAPTOR, basate su sistema Linux, ma esistono altre varianti come WinFE basate su OS Windows o persino vecchie versioni di RAPTOR.
  • Il risultato della copia sarà un file, grande quanto il disco acquisito, che contiene ciò che viene comunemente definito “immagine forense”, poiché contiene una copia speculare detta “immagine” creata a fini “forensi”, cioè per diventare una potenziale “prova” in ambito giudiziario penale o civile.
  • Sulla copia dovranno essere calcolati almeno due codici, chiamati “valori hash”, che costituiscono una sorta di firma univoca o meglio d’impronta digitale del disco così come è stato acquisito, finalizzata ad attestarne l’integrità nel tempo. Il tempo è proprio un elemento che va “congelato”, apponendo a questi due valori una data certa, o timestamp digitale, impresso ad esempio tramite il servizio offerto da operatori come Infocert, Aruba, etc… che può essere arricchito da eventuale firma digitale di chi ha eseguito l’operazione di copia.

Il timestamp serve per poter attestare in maniera incontrovertibile che il disco è stato acquisito in una tale data, con i contenuti anch’essi certificati a catena e che quindi a tale data esistevano. In passato si usava stampare i valori hash su carta e fare apporre data certa presso il Servizio Postale, così come si usava procedere per certificare i DPS: fortunatamente l’evoluzione digitale permette ora di eseguire la procedura dal proprio PC, opportunamente connesso alla rete e a un servizio di marca temporale. Chi non possiede un servizio di timestamping può utilizzare, più semplicemente, la PEC, inviando al proprio indirizzo una messaggio di posta elettronica certificata contenente i valori hash calcolati sull’immagine forense acquisita.

Una volta duplicato il contenuto del disco, è consigliabile conservare comunque quello originale e, nel caso in cui non fosse possibile interromperne l’utilizzo, eseguirne un’immagine su un nuovo disco e inserire quest’ultimo nel computer. Questa precauzione talvolta può sembrare eccessiva, ma in caso di contenzioso poter disporre anche del supporto originale può essere un punto a favore dell’Azienda.

Conclusioni

Come da premessa, la tematica dei controlli datoriali è stata trattata in modo da offrire una panoramica delle possibilità, dei limiti e dei campi d’azione tecnici e giuridici, con l’obiettivo di guidare le aziende e i datori di lavoro nella scelta della migliore strategia difensiva funzionale alla tutela del patrimonio e dell’organizzazione aziendale. Ovviamente, tali valutazioni non possono in alcun modo prescindere da un’analisi attenta e accurata, che tenga conto delle peculiarità e delle caratteristiche del singolo caso concreto, specialmente per ciò che attiene agli aspetti prettamente giuridici della liceità e dell’utilizzabilità dei controlli e delle risultanze acquisite.

Sotto il profilo più propriamente tecnico, infatti, occorre dare atto che le procedure sono ormai piuttosto consolidate e condivise nella comunità scientifica.

Raccomandiamo quindi, a chi dovesse trovarsi nell’esigenza di eseguire controlli datoriali finalizzati a rilevare eventuali comportamenti scorretti o illeciti di un proprio dipendente, di rivolgersi al proprio Studio Legale di fiducia per condividere una linea di condotta che consenta di non incorrere in eventuali sanzioni penali o amministrative, nonché, ultimo aspetto ma non meno importante, di acquisire dati ed elementi probatori pienamente utilizzabili nell’ambito di procedimenti disciplinari, civili e penali.

Seminario su Prova Digitale e Indagini Informatiche

Prova Digitale e Indagini InformaticheGiovedì 7 aprile 2016 alle ore 10:30 terrò, presso l’Università degli Studi Milano Bicocca, un seminario su “La Prova digitale e le Indagini Informatiche“, illustrando le diverse modalità di acquisizione della prova nell’ambito della perizia informatica e delle indagini digitali. Il seminario è organizzato dal Prof. Andrea Rossetti nell’ambito della Cattedra di Filosofia del Diritto, A.A. 2015/2016, è aperto a tutti e avrà sede presso l’Università degli Studi Milano Bicocca, edificio U6 aula 35, Piazza dell’Ateneo Nuovo 1, a Milano, dalle 10:30 alle 12:00.

Si partirà dalle modifiche introdotte nel Codice di Procedura Penale dalla Legge 48/2008 per poi illustrare le basi dell’acquisizione forense di evidenze riprese dall’RFC 3227. Verranno quindi presentati gli strumenti, le metodologie e le problematiche della copia forense di hard disk nell’ambito della computer forensics. Si parlerà quindi dei tool e delle soluzioni per acquisizione forense e recupero dati che si dimostrano attività strategiche durante la perizia su cellulari e smartphone, con alcuni cenni sulle novità emerse con il caso dello sblocco dell’iPhone di San Bernardino.

Dopo aver trattato la perizia informatica forense su computer e cellulari, l’attenzione si sposterà sull’acquisizione forense di siti web e delle evidenze online come profili Facebook, Twitter o Instagram. Anche in questo caso, è necessario seguire particolari metodologie per preservare l’integrità dei dati e garantire la catena di conservazione.

In conclusione, alcuni casi studio come la ormai tradizionale perizia tecnica sul “dipendente infedele” che trafuga i dati aziendali tramite email o pendrive, connessioni di rete o dischi esterni e lascia tracce indelebili che permetteranno al consulente informatico forense di ricostruire le attività eseguite dal dipendente tramite realizzazione di timeline, supertimeline, ricostruzione dell’utilizzo delle periferiche esterne USB, etc…

La presentazione sarà corredata da esempi e aneddoti che illustrano cosa fare e cosa non fare durante le fasi di identificazione, acquisizione, analisi e produzione della consulenza tecnica informatica.