Archivi tag: statuto dei lavoratori

Il dipendente infedele – Inquadramento, prevenzione e acquisizione delle prove

Martedì 6 luglio 2021 si terrà il corso organizzato dalla società Paradigma sul “Dipendente Infedele – Inquadramento della fattispecie, Strumenti di prevenzione e di contrasto successivo delle condotte illecite, Casistiche più ricorrenti”, con la partecipazione in qualità di docenti di legali, consulenti ed esperti della materia.

Paradigma - Il Dipendente Infedele

Durante il seminario terrò un breve intervento sul ruolo della digital forensics nella giurisprudenza, parlando delle modalità operative di acquisizione e conservazione della prova informatica che portano poi a produrre la perizia informatica forense, spesso utilizzata in ambito civile o penale quando l’indagine verte sul dipendente infedele.

Il tema dell’acquisizione forense della prova informatica è infatti uno dei più delicati in ambito digital forensics proprio perché avviene nella fase in cui ciò che diventerà evidenza digitale deve essere identificato, raccolto, preservato e copiato in modo tale da poter poi svolgere le analisi forensi sui dati di rilievo, nel massimo rispetto della Legge sulla Privacy, dell’Art. 4 dello Statuto dei Lavoratori e della legislazione vigente.

Acquisizione forense della prova informatica

Gli altri interventi della giornata seguiranno il seguente programma:

  • L’obbligo di fedeltà del dipendente tra obblighi specifici e clausola generale di buona fede e correttezza L’osservanza di codici di condotta, norme di riservatezza e istruzioni specifiche del datore di lavoro nei rapporti del dipendente con concorrenti e fornitori – Prof. Avv. Arturo Maresca, Sapienza Università di Roma
  • Gli obblighi dell’ex dipendente e le clausole del patto di non concorrenza – Avv. Livio Bossotto, Allen & Overy Studio Legale Associato
  • La sottrazione di dati mediante accesso abusivo ai sistemi informatici – Avv. Armando Simbari, DFS Dinoia Federico Simbari Avvocati Penalisti
  • Il rischio di rivelazione di segreti industriali e commerciali e la tutela del segreto garantita dal D. Lgs. n. 63/2018 – Avv. Edoardo Bàrbera, Bird & Bird
  • L’individuazione delle condotte infedeli attraverso il whistleblowing e la gestione delle indagini interne – Avv. Armando Simbari. DFS Dinoia Federico Simbari Avvocati Penalisti
  • Le peculiarità della disciplina probatoria relativa ai casi di infedeltà del lavoratore (Il regime di utilizzabilità delle prove, Il ruolo della digital forensics nella giurisprudenza, Modalità operative di acquisizione e conservazione della prova informatica) – Avv. Fabio Valerini, Studio Legale Valerini e Dott. Paolo Dal Checco, Consulente Informatico Forense
  • La sanzionabilità della condotta illecita del dipendente sul piano disciplinare, civile e penale (La contestazione dell’addebito relativo a specifiche violazioni degli obblighi di non concorrenza e violazioni proprietà intellettuale, Le motivazioni del recesso, L’utilizzo delle prove raccolte a sostegno degli addebiti, Gli strumenti processuali anche d’urgenza
  • Tutela civilistica ed eventuali profili risarcitori, Eventuali profili penalistici nella condotta del dipendente infedele) – Avv. Annalisa Reale, Chiomenti
I controlli difensivi secondo l'Avv. Antonino Attanasio di IISFA

L’Avv. Antonino Attanasio sui controlli difensivi per IISFA for you

I controlli difensivi secondo l'Avv. Antonino Attanasio di IISFA Abbiamo già parlato dell’ottima iniziativa chiamata “IISFA for you“, novità proposta dall’Associazione IISFA e in particolare del suo Presidente Gerardo Costabile che prevede la pubblicazione settimanale di brevi video di 10 minuti su argomenti relativi all’informatica forense e alla sicurezza.

Delle interviste già pubblicate sul canale, una in particolare ho trovato interessante perché parla di una problematica che tutti i proprietari d’azienda si trovano ad affrontare prima o poi e, quindi, indirettamente anche i consulenti informatici forensi e gli Avvocati chiamati ad assistere il cliente.

L’intervista è quella realizzata da Gerardo Costabile all’Avv. Antonino Attanasio, membro del direttivo IISFA, che si occupa da diversi anni di diritti delle nuove tecnologie ed è specializzato in ambiti aziendali, tributari e amministrativi sempre legati alle nuove tecnologie.

L’intervista verte su un tema abbastanza dibattuto all’interno delle aziende e cioè i cosiddetti controlli difensivi, svolti dal datore di lavoro nei confronti del lavoratore dipendente o ex dipendente. Molto spesso la problematica è nota come la questione dei controlli sul computer del dipendente infedele o dell’ex dipendente e se ne dibatte da anni, giostrandosi tra lo Statuto dei Lavoratori, il Garante della Privacy, la legge su accesso abusivo, violazione di corrispondenza, GDPR, D.Lgs 231, etc…

Approfittando di una recente sentenza di conferma di licenziamento avvenuto tramite Whatsapp, Gerardo Costabile apre l’intervista chiedendo all’Avv. Attanasio qual è la modalità giusta e quali sono le regole all’interno dell’azienda per poter consentire al datore di lavoro, o comunque al management, di effettuare quelli che vengono chiamati in gergo i cosiddetti controlli difensivi dei lavoratori da parte del datore di lavoro.

L’avv. Attanasio risponde che “nel 2015 una riforma della normativa del mercato del lavoro ha introdotto il cosiddetto ‘divieto flessibile’ di controllo distanza dell’attività dei lavoratori. Mentre prima non era consentito l’utilizzo di impianti audiovisivi e altri strumenti da cui derivava la possibilità di controllare a distanza l’attività dei lavoratori, adesso questo utilizzo è consentito, per esigenze organizzative produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.“. Attanasio precisa che “questo elenco non è un elenco casuale ma una gerarchia precisa, perché il patrimonio aziendale è riassuntivo delle esigenze organizzative produttive e della sicurezza del lavoro, che sono i tre elementi, le tre colonne portanti di qualsiasi azienda, senza le quali il patrimonio non è possibile.

L’Avvocato aggiunge che “questo patrimonio non è costituito solo dei beni dell’azienda ma anche il posto di lavoro e patrimonio aziendale, quindi una tutela va concepita anche in funzione del lavoro di tutti, infatti parliamo di organizzazione. Si parla di organizzazione, di esigenze organizzative e quindi di beni e persone. Qual è l’eccezione a questo? L’eccezione a questo sono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi delle presenze. E questo è ovvio perché le presenze e gli accessi sono connaturati alla prestazione al patrimonio aziendale, sono connaturati all’esecuzione del contratto, quindi per questi non si parla di controllo e quindi non c’è la necessità di una preventiva autorizzazione. Ovviamente se a questo vengono aggiunti altri temi che sono sovrabbondanti rispetto lo scopo, allora il divieto scatta. In effetti possiamo dire che la riforma del così detto Jobs Act non è altro che la traduzione, in parte, di tutto quello che la giurisprudenza ha elaborato. Soprattutto rimane sempre il succo della normativa sulla privacy che dice che in fondo i dati non possono mai essere utilizzati oltre lo scopo per cui sono dichiaratamente raccolti.

Attanasio introduce quindi il concetto di strumenti personali e strumenti aziendali, precisando che “ben venga la distinzione tra strumenti personali strumenti aziendali. Sarebbe opportuno separare le due sfere, fare modo che l’azienda sia un patrimonio veramente condiviso, sia come tempo libero, sia come tempo destinato all’attività lavorativa. Come al solito è meglio la prevenzione di una repressione faticosa, improbabile e soprattutto molto costosa. E’ stato fatto riferimento al licenziamento intimato via Whatsapp dove giustamente, a mio avviso, il tribunale di Catania ha detto che i requisiti di forma ci sono tutti. La comunicazione è arrivata, nel senso che il lavoratore l’ha ricevuta, tanto è vero che fatto ricorso e aveva tutti gli elementi per fare ricorso. È ovvio che al limite poteva essere un problema del datore di lavoro indicare dei motivi puntuali e per i quali c’era la necessità di ottenere un riscontro sulla effettiva ricezione. Paradossalmente gli avvocati del lavoratore avrebbero potuto non far nulla, avrebbero potuto dire che non era dimostrabile che il lavoratore all’ avesse ricevuto o meno, che Whatsapp non è uno strumento di effettivo controllo del datore di lavoro. Quindi io non vedrei problemi su questo. I problemi ci sono laddove si utilizzano strumenti molto invasivi di cui non sia affatto la padronanza in termini di materialità, come può essere qualsiasi bene di compravendita materiale.

Gerardo Costabile chiede quindi all’Avv. Antonino Attanasio ciò che tanti datori di lavoro si chiedono, e cioè “se una persona utilizza un computer, quindi in azienda, un portatile o comunque un computer, il datore di lavoro può durante la sua assenza entrare in quel computer, guardare la posta, guardare Internet, farsi una copia dai dati? E se sì, cosa è possibile e quando, ovvero, in quale contesto aziendale questo è possibile? È necessario fare delle azioni per poter puoi fare questa attività in modo occulto trasparente?

L’avv. Antonino Attanasio risponde che “per quanto riguarda tutta la strumentazione aziendale, in qualsiasi momento, previa adozione di una policy chiara sul punto, ovvero i beni sono accessibili in qualsiasi momento il datore di lavoro. Gli strumenti aziendali no. La casella privata di posta del prestatore di lavoro no, la casella di posta elettronica assegnata dal datore al prestatore di lavoro sempre, perché aziendale. Il confine è questo. È chiaro che in casi dubbi è preferibile sempre una policy aziendale che descriva minutamente tutto l’utilizzo di questi strumenti, ma se vogliamo non è necessario di particolare elucubrazione, basta semplicemente fare ricorso ai principi base del codice civile.

L’Avv. Attanasio procede con un esempio chiarificatore, adducendo che “non ci si fa nessun dubbio che una pala usata da un becchino non possa essere usata per scopi diversi di quello di scavare la terra per la bara, perché ci sono problemi igienici, problemi di sicurezza, problemi di tutela del patrimonio, è chiaro che tu la pala non la si può portare a casa e usarla per altre cose. E’ ovvio ed evidente, basta applicare questi principio di strumenti elettronici, facendo però mente locale sul fatto che lo strumento elettronico per sua natura genera l’immaterialità, l’inconsistenza, e quindi è difficile stabilire dove finisce il diritto e dove comincia un dovere, Per cui la soluzione migliore e la separazione, la qualifica aziendale di qualsiasi cosa impedisce l’uso privato a meno che come capita il datore di lavoro non faccio una deroga, ma si fa una delega poi ne subisce gli effetti“.

Il Presidente IISFA conclude osservando che “questo sicuramente è interessante come principio, noi consigliamo ai dipendenti, ai lavoratori e ai datori di lavoro di separare quello che la vita privata Facebook chat anche lo stesso Whatsapp che può essere utilizzato anche dal computer, come sapete, consigliamo di lasciare un po’ meno tracce, perché poi un’attività investigativa interna per motivi diversi può andare a impattare su dei dati che, impropriamente o involontariamente il dipendente hai inserito perché ha usato lo stesso sistema sia per motivi professionali sia per motivi più ludici privati ,che il datore di lavoro ha consentito senza andare a filtrare.
L’Avv. Attanasio conclude facendo osservare come “con la necessità di integrare persone con disabilità il confine tra privato e aziendale diventerà molto molto evanescente, perché cambierà per forza l’approccio.

Controlli datoriali e consulenza tecnica sugli strumenti informatici del “dipendente infedele”

Consulenza Tecnica sugli strumenti informatici del "dipendente infedele"A due mesi dall’uscita dell’articolo sulla rivista “ICT Security”, riporto il testo e il PDF dell’articolo che tratta – seppur nello spazio di poche pagine – dal punto di vista tecnico e giuridico alcune problematiche legate ai controlli datoriali e le attività di consulenza tecnica sugli strumenti informatici aziendali in uso al “dipendente infedele”, scritto con la preziosa collaborazione degli amici giuristi Jacopo Giunta e Francesco Meloni. Sempre più aziende, infatti, hanno l’esigenza di eseguire indagini sul comportamento dei propri dipendenti, per motivazioni quali concorrenza sleale, furto d’informazioni, infedeltà che rendono necessari controlli investigativi sulla postazione e gli strumenti di lavoro del dipendente.

ICT Security è il periodico edito da Tecna Editrice e dedicato interamente alla Sicurezza Informatica che, da alcuni mesi, ospita una rubrica sulla Digital Forensics della quale sono curatore all’interno di un Comitato Scientifico dove sono affiancato da esperti di fama ormai consolidata in diversi ambiti e diretto dal grande Corrado Giustozzi. Oltre alla redazione della rivista, Tecna Editrice si fa promotrice di eventi divulgativi in ambito Security come la Cyber Crime Conference e il Forum ICT Security, ai quali quando riesco partecipo sempre volentieri perché con panel interessanti e ben organizzati. Per rimanere al corrente degli eventi e delle pubblicazioni proposte da Tecna Editrice, potete seguire il profilo Twitter o iscrivervi alla newsletter sul sito.

Qui di seguito il testo completo per una comoda lettura online, mentre da questo link è possibile scaricare il PDF dell’articolo estratto dalla rivista ICT Security di maggio 2016.

I controlli datoriali e le attività di consulenza tecnica sugli strumenti informatici aziendali in uso al dipendente “infedele”, di Paolo Dal Checco, Jacopo Giunta e Francesco Meloni

Paolo Dal Checco svolge attività di Consulenza Tecnica in ambito forense collaborando con Procure, Tribunali e Forze dell’Ordine oltre che con aziende, privati e Avvocati. Professore a Contratto del corso di Sicurezza Informatica per l’Università degli Studi di Torino, nel C.d.L. in Scienze Strategiche, socio IISFA, CLUSIT, AIP e Tech & Law è tra i fondatori dell’Osservatori Nazionale per l’Informatica Forense, dell’Associazione DEFT che sviluppa la piattaforma DEFT Linux per acquisizioni e analisi forensi.

Jacopo Giunta, Legal & IT Counsultant @ Studio Legale Associato Ambrosio & Commodo. Si occupa di responsabilità civile, privacy e data protection. Consulente informatico forense, certificato CIFI, socio CLUSIT, IISFA e DFA, nella sua attività ha maturato specifiche competenze in materia di, infortunistica stradale, responsabilità̀ medica, disastri aerei e marittimi, danni da contagio, danni da farmaci, danni ambientali, privacy & data retention.

Francesco Meloni, Avvocato penalista del Foro di Torino, Studio Legale Associato Ambrosio & Commodo. Si occupa di diritto penale societario e di impresa, con particolare riferimento agli ambiti della responsabilità amministrativa degli Enti e delle persone giuridiche ai sensi del D.Lgs. n. 231 del 2001 e della salute e sicurezza sui luoghi di lavoro.

Introduzione

Una delle domande ricorrenti che vengono poste a Consulenti Tecnici e Giuristi riguarda il comportamento da tenere nei confronti del “dipendente infedele”, cioè nella situazione in cui l’azienda venga a scoprire o tema che uno dei propri dipendenti stia portando avanti attività di concorrenza sleale o comunque stia causando danni all’azienda. La domanda, tipicamente, verte sulle modalità con le quali i titolari possono commissionare un’analisi del PC e degli altri strumenti informatici in uso al dipendente sui quali, si presume, siano presenti le prove dell’infedeltà o della condotta lesiva. Gli autori dell’articolo, ricoprendo appunto i ruoli di Consulenti Tecnici e Giuristi, risponderanno al quesito esaminando aspetti, modalità tecniche di acquisizione dei dati e limiti dei cosiddetti “controlli datoriali” sugli strumenti informatici aziendali, tentando di districare la matassa e ragionando in termini di tutela del patrimonio aziendale, di difesa dei propri diritti, senza trascurare l’importanza delle policies nello svolgimento delle attività di controllo da remoto in tempo reale o in differita, del rispetto della Privacy e delle modalità tecniche di acquisizione e di conservazione delle evidenze probatorie.

Controlli datoriali sugli strumenti informatici aziendali in uso ai dipendenti

I controlli datoriali sugli strumenti informatici aziendali in uso ai dipendenti (acquisizione e analisi di archivi mail, analisi di account Skype o di messaggistica istantanea, acquisizione e analisi di cellulari, pc e tablet aziendali) nonché le modalità e gli strumenti con cui i medesimi vengono effettuati, costituiscono uno dei temi maggiormente delicati nello scenario dell’organizzazione aziendale, in quanto costituiscono il risultato di un’equazione le cui contrapposte espressioni devono necessariamente trovare un punto d’incontro; da una parte l’imprescindibile esigenza di tutela del patrimonio aziendale e l’interesse del datore di lavoro – che può riservarsi di controllare (direttamente o attraverso la propria struttura) l’effettivo adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 c.c) e, dall’altro, la tutela dei dati personali dei dipendenti (art. 11 D.Lgs 196/2003).

Se da un lato i controlli datoriali, sia preventivi che successivi, danno la possibilità all’azienda di verificare l’operato dei dipendenti e, in ipotesi di c.d. “infedeltà”, di raccogliere riscontri probatori tali da giustificare l’allontanamento del dipendente – e idonei a essere producibili innanzi le competenti autorità giudiziarie – dall’altro gli stessi devono essere adottati e adeguatamente strutturati in una policy interna (di cui gli interessati devono essere compiutamente informati) che ne definisce le modalità ed i limiti nei minimi termini, nel rispetto dei generali principi di necessità, finalità, legittimità, correttezza, proporzionalità e non eccedenza.

Tali controlli, comportando anche deroghe a diritti e a garanzie di rango costituzionale poste a tutela dei lavoratori (in particolar modo ogni qualvolta i controlli coinvolgano la corrispondenza elettronica), indipendentemente dalla fondata sussistenza di profili di “infedeltà”, devono essere limitati nel tempo e nell’oggetto, mirati e fondati su presupposti tali da legittimarne l’esecuzione, pena l’inutilizzabilità dei risultati, l’esposizione a pesanti sanzioni pecuniarie per violazione del trattamento dei dati nonché a eventuali conseguenze di natura penale.

La costante casistica desumibile dai provvedimenti del Garante Privacy, relativa alle procedure di controllo sull’operato dei dipendenti, è conforme nell’accordare all’azienda ampi spazi di movimento, sia nelle procedure ordinarie che in quelle mirate a individuare comportamenti illeciti, purché:

  • le procedure di controllo vengano cristallizzate in una policy aziendale (formata secondo le linee guida per la protezione dei dati personali n. 13 dell’1 marzo 2007 secondo cui, giova ribadirlo, “i dirigenti dell’azienda accedono legittimamente ai computer – ed agli altri dispositivi – in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione”), il cui ruolo rimane centrale per disciplinare in modo puntuale l’utilizzo degli strumenti elettronici affidati in dotazione ai lavoratori.
  • che vengano rispettati i principi generali in materia di trattamento dei dati sopra enucleati, la cui importanza intrinseca è stata peraltro recentemente ribadita anche dopo la riforma dei controlli datoriali operata dal Jobs Act (e anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice Privacy).
  • che le risultanze investigative o di controllo vengano acquisite secondo le best practices della Digital Forensics – di cui si parlerà infra – in quanto le sole a garantire l’immodificabilità del dato originale e quindi la piena valenza probatoria. Tale aspetto assume rilevanza estrema, in particolare nel caso in cui la raccolta dei dati sia prodromica a un’azione giudiziale, sia civile che penale.

Il D.Lgs n. 151/2015, lo Statuto dei Lavoratori e l’utilizzabilità dei dati raccolti

La recente entrata in vigore del D.Lgs. n. 151/2015, emanato in attuazione della delega contenuta nel Jobs Act, ha sensibilmente innovato l’originaria cornice normativa dei controlli datoriali a distanza sul luogo di lavoro.

Secondo la precedente formulazione dell’art. 4, Statuto dei lavoratori, gli impianti di controllo potevano essere installati dal datore di lavoro esclusivamente in presenza di specifiche esigenze organizzative, produttive o di prevenzione di infortuni sul luogo di lavoro.

Traducendo in dato normativo un orientamento ermeneutico recentemente ribadito dalla giurisprudenza della Corte di Cassazione (si veda, da ultimo, Cass., Sez. Lav., 17 febbraio 2015, n. 3122), la riforma del 2015 ha ampliato il novero dei requisiti oggettivi sottesi all’installazione di impianti audiovisivi sul luogo di lavoro o di apparecchi di controllo a distanza, includendovi espressamente la finalità di tutela del patrimonio aziendale.

Allo stato attuale, pertanto, hanno trovato pieno ed espresso riconoscimento i controlli di natura difensiva, volti a prevenire e ad accertare l’eventuale realizzazione di attività illecite poste in essere dai propri lavoratori o da soggetti terzi.

Permane, nella vigente formulazione dell’art. 4, Statuto dei lavoratori, l’obbligo di rispettare taluni adempimenti formali, quali il raggiungimento di un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in alternativa, il conseguimento della prescritta autorizzazione rilasciata dalla competente Direzione territoriale del lavoro.

L’estensione del potere di sorveglianza del datore di lavoro si affianca a un’ulteriore importante novità, prevista dall’ultimo comma dell’art. 4, Statuto dei lavoratori.

Quest’ultima disposizione, facendo seguito a un costante orientamento interpretativo elaborato dalla Corte di Cassazione, ha espressamente sancito l’utilizzabilità delle informazioni e dei dati acquisiti mediante le attività di controllo a distanza a qualsiasi fine connesso al rapporto di lavoro.

A tal fine, è in ogni caso imprescindibile il rispetto degli adempimenti imposti dal Codice della Privacy e delle raccomandazioni impartite dall’Autorità Garante per la protezione dei dati personali. Primi fra tutti, l’adozione e l’attuazione di idonee policies aziendali e l’adeguata informazione ai lavoratori in merito alle modalità di esecuzione dei controlli.

Le risultanze degli accertamenti e delle attività di sorveglianza, dunque, sono pacificamente utilizzabili sia in sede disciplinare, sia nell’ambito del procedimento penale, quale prova documentale di eventuali condotte penalmente rilevanti.

Per contro, i requisiti oggettivi e gli adempimenti formali prescritti dall’art. 4 dello Statuto dei lavoratori non si applicano in relazione ai controlli datoriali esercitati sugli strumenti di lavoro in uso ai dipendenti per lo svolgimento della prestazione lavorativa.

Trattasi di una novità di grande rilievo, introdotta dallo stesso D.Lgs. n. 151/2015: in tali casi l’installazione è libera, fermo restando, naturalmente, l’obbligo di rispettare gli adempimenti imposti dalla normativa sulla Privacy.

Sul piano dell’utilizzabilità, nell’ambito del processo penale, dei dati e delle informazioni acquisite tramite l’espletamento di controlli datoriali a distanza, occorre richiamare i seguenti principi, da ultimo confermati all’interno di una recentissima pronuncia della Corte di Cassazione (Cass. Pen., Sez. II, 16 giugno 2015, n. 24998):

  • sul piano normativo, non esiste ad oggi uno standard prestabilito per la metodologia di trattamento e di analisi delle prove informatiche;
  • l’estrazione dei dati informatici archiviati su un computer o su altri dispositivi informatici non costituisce accertamento tecnico irripetibile ai sensi dell’art. 360 c.p.p., trattandosi di operazione meramente meccanica, riproducibile per un numero di volte indefinito;
  • nell’effettuare le operazioni di estrazione dei dati, è necessario adottare misure tecniche idonee ad assicurare la conservazione dei dati originali e a impedirne l’alterazione;
  • ove possibile, è opportuno procedere alla duplicazione dei dati su adeguati supporti informatici, mediante procedure idonee ad assicurarne la conformità della copia all’originale e la sua immodificabilità

Modalità tecniche di acquisizione del dato informatico

Dal punto di vista tecnico, per l’acquisizione del dato informatico valgono le best practices della digital forensics, il ramo della scienza forense che studia le fasi d’identificazione, acquisizione, conservazione, analisi e reportistica nell’ambito dei dispositivi digitali. E’ importante, quando possibile, per il Consulente Tecnico muoversi in accordo con un eventuale Studio Legale che assista l’Azienda, a seguito di nomina ad esempio per l’espletamento di indagini difensive. In genere la nomina può essere motivata dall’esigenza di proteggere asset/informazioni aziendali, eventualmente rafforzata da elementi che diano adito a credere che sia in corso una data exfiltration o comunque un comportamento scorretto da parte di un dipendente. Si raccomanda anche il rilascio, da parte dell’Azienda, di una lettera d’incarico che specifichi l’ambito dell’attività, obblighi del cliente e del fornitore, autorizzazioni, condizioni e termini del trattamento dei dati personali, oltre alle opportune considerazioni in merito all’impianto recato dal Modello Organizzativo 231, ove presente, con riferimento alle disposizioni di parte generale e di parte speciale.

Una volta chiariti gli aspetti formali, l’attività di acquisizione segue l’iter standard che prevede innanzitutto l’identificazione del dispositivo di cui deve essere eseguita copia forense, con verbalizzazione e possibilmente documentazione fotografica della postazione di lavoro, del computer e del disco o dei dischi in esso contenuti. La copia forense – ricordiamo – consiste nella duplicazione integrale di tutto il contenuto del dispositivo, a livello di bit e non di file, partendo dal primo settore del disco fino all’ultimo, coinvolgendo quindi aree contenenti file ancora presenti sul sistema e aree dove invece ci sono informazioni rimaste intatte di file ormai cancellati.

  • Se il Consulente possiede un write blocker (strumento che permette il collegamento di un hard disk a un computer in modo “sicuro” senza rischi di scritture accidentali) può aprire il case del PC, estrarre il disco e collegarlo al suo computer per avviare la fase di copia. Spesso al posto dei write blocker si utilizzano copiatori forensi, strumenti più evoluti che permettono la copia ad alta velocità di un disco sorgente su di uno di destinazione, senza bisogno di un computer che si ponga da interfaccia.
  • Nel caso in cui tali strumenti non siano disponibili, oppure sia difficile estrarre fisicamente l’hard disk dal PC, ci si può avvalere di sistemi software per avviare il computer del dipendente mediante un Sistema Operativo esterno che permetta l’accesso e la copia del disco interno senza comprometterne l’integrità. Il sistema infatti funge da write blocker e copiatore forense software, con la differenza che non si sta utilizzando uno strumento esterno ma è lo stesso PC contenente il disco che provvede ad accederne al contenuto in maniera sicura. Esistono al mondo diversi sistemi di questo genere, definiti per tradizione “Live CD” ma che ora possono essere utilizzati anche sotto forma di pendrive USB: in Italia abbiamo DEFT o CAINE e all’estero PALADIN o RAPTOR, basate su sistema Linux, ma esistono altre varianti come WinFE basate su OS Windows o persino vecchie versioni di RAPTOR.
  • Il risultato della copia sarà un file, grande quanto il disco acquisito, che contiene ciò che viene comunemente definito “immagine forense”, poiché contiene una copia speculare detta “immagine” creata a fini “forensi”, cioè per diventare una potenziale “prova” in ambito giudiziario penale o civile.
  • Sulla copia dovranno essere calcolati almeno due codici, chiamati “valori hash”, che costituiscono una sorta di firma univoca o meglio d’impronta digitale del disco così come è stato acquisito, finalizzata ad attestarne l’integrità nel tempo. Il tempo è proprio un elemento che va “congelato”, apponendo a questi due valori una data certa, o timestamp digitale, impresso ad esempio tramite il servizio offerto da operatori come Infocert, Aruba, etc… che può essere arricchito da eventuale firma digitale di chi ha eseguito l’operazione di copia.

Il timestamp serve per poter attestare in maniera incontrovertibile che il disco è stato acquisito in una tale data, con i contenuti anch’essi certificati a catena e che quindi a tale data esistevano. In passato si usava stampare i valori hash su carta e fare apporre data certa presso il Servizio Postale, così come si usava procedere per certificare i DPS: fortunatamente l’evoluzione digitale permette ora di eseguire la procedura dal proprio PC, opportunamente connesso alla rete e a un servizio di marca temporale. Chi non possiede un servizio di timestamping può utilizzare, più semplicemente, la PEC, inviando al proprio indirizzo una messaggio di posta elettronica certificata contenente i valori hash calcolati sull’immagine forense acquisita.

Una volta duplicato il contenuto del disco, è consigliabile conservare comunque quello originale e, nel caso in cui non fosse possibile interromperne l’utilizzo, eseguirne un’immagine su un nuovo disco e inserire quest’ultimo nel computer. Questa precauzione talvolta può sembrare eccessiva, ma in caso di contenzioso poter disporre anche del supporto originale può essere un punto a favore dell’Azienda.

Conclusioni

Come da premessa, la tematica dei controlli datoriali è stata trattata in modo da offrire una panoramica delle possibilità, dei limiti e dei campi d’azione tecnici e giuridici, con l’obiettivo di guidare le aziende e i datori di lavoro nella scelta della migliore strategia difensiva funzionale alla tutela del patrimonio e dell’organizzazione aziendale. Ovviamente, tali valutazioni non possono in alcun modo prescindere da un’analisi attenta e accurata, che tenga conto delle peculiarità e delle caratteristiche del singolo caso concreto, specialmente per ciò che attiene agli aspetti prettamente giuridici della liceità e dell’utilizzabilità dei controlli e delle risultanze acquisite.

Sotto il profilo più propriamente tecnico, infatti, occorre dare atto che le procedure sono ormai piuttosto consolidate e condivise nella comunità scientifica.

Raccomandiamo quindi, a chi dovesse trovarsi nell’esigenza di eseguire controlli datoriali finalizzati a rilevare eventuali comportamenti scorretti o illeciti di un proprio dipendente, di rivolgersi al proprio Studio Legale di fiducia per condividere una linea di condotta che consenta di non incorrere in eventuali sanzioni penali o amministrative, nonché, ultimo aspetto ma non meno importante, di acquisire dati ed elementi probatori pienamente utilizzabili nell’ambito di procedimenti disciplinari, civili e penali.