Cyber-spionaggio: fenomeno in costante crescita
Il 2014 è sicuramente stato l’anno del cyber-spionaggio. Il rapporto di Verizon sul “data breach” del 2014 ha rivelato ben 63.000 incidenti informatici in tutto il mondo. Un numero tre volte superiore a quello registrato tre anni fa. Oltre agli incidenti “dichiarati” vanno tenuti in considerazione anche quelli “tacitati” dalle aziende per evitare oltre al furto di dati anche il quasi inevitabile danno di immagine. Un fenomeno di questo tipo non può più riguardare uno stretto numero di professionisti esperti nel settore, ma sta progressivamente coinvolgendo anche gran parte dei legali che si occupano di diritto penale societario.
Le ragioni di questo incremento sono di duplice natura. In primo luogo, il massivo utilizzo di sistemi informatici in ambito aziendale porta alla tendenza di privilegiare la rapidità di accesso al dato piuttosto che la sicurezza dello stesso. In secondo luogo, la crisi economica e il suo impatto trasversale su più settori industriali ha generato un sempre più elevato numero di disoccupati “qualificati” potenzialmente in grado di accedere a dati confidenziali e di rilevante valore economico.
La casistica
- Il valore dei dati
Uno dei più importanti casi di cyber-spionaggio che negli ultimi anni ha occupato l’attenzione dei media nazionali anche alla luce dell’importanza e della notorietà dei soggetti coinvolti esemplifica il filone del valore dei dati. Il Tribunale di Milano, l’estate scorsa, ha posto la parola fine condannando gli imputati ad una pena elevata (quantomeno fino al grado d’appello).
Nel 2004, un team di esperti in sicurezza informatica , al servizio di un’importante società di telecomunicazioni italiana, al fine di ottenere le prove di attività illecite perpetrate in danno della società italiana da parte di emissari di altra società, violarono i sistemi informatici di un’agenzia investigativa internazionale. I file e i dati sarebbero stati quindi illegalmente carpiti, sottratti e poi copiati e, così facendo, si sarebbe integrato il reato di accesso abusivo al sistema informatico.
Oltre ai responsabili IT fu anche coinvolto il legale rappresentante della società di telecomunicazioni, in quanto costui, nello specifico, aveva ricevuto un CD, consegnato alla sua segreteria direttamente dagli esperti in sicurezza informatica, contenente i files “rubati”; da ciò l'accusa di aver commesso il reato di ricettazione, ovvero la condotta di chi riceve cose – costituite, nel nostro caso, dai dati “sottratti” e riportati su un CD - provenienti da altro reato.
Del resto, l’utilizzo del reato di ricettazione, che prevede pene più severe e termini di prescrizione più lunghi, sembra ultimamente assai aumentato proprio alla luce dello svilupparsi dei supporti informatici (CD o penne USB) che sono stati ritenute le cose, oggetto del reato e come tali soggette a sottrazione da parte di terzi. In questo modo si è superato il limite applicativo previsto dalla giurisprudenza, secondo la quale non era configurabile la ricettazione qualora il soggetto si sia limitato a ricevere dati o informazioni tratti da documenti oggetti di furto.
A situazioni del genere si potrebbe altresì applicare anche l’ulteriore reato di rivelazione del contenuto di documenti segreti (art. 621 c.p.): la tutela in questo caso cade sul diritto alla riservatezza di documenti o atti riservati, pubblici o privati, di cui qualcuno sia venuto –abusivamente - a conoscenza.
- Cyber-spionaggio “interno”
Ma lo spionaggio non necessariamente si realizza attraverso un attacco esterno, ma, caso tutt’altro che infrequente, anche tramite l’aiuto di soggetti compiacenti ed interni all’azienda “derubata”. Ci si riferisce, in particolare, allo spionaggio realizzato dai dipendenti – e quindi soggetti del tutto legittimati a detenere e gestire informazioni riservate - poi segretamente trasmesse e vendute alla concorrenza o al miglior offerente.
Ebbene, cosa accade in questi casi e come si può intervenire sul fronte penale?
La questione non è affatto di semplice soluzione. Si pensi a un dipendente che acceda legittimamente ai dei dati confidenziali facendone una copia pochi giorni prima delle sue dimissioni. In questo caso, la configurabilità dell’accesso abusivo al sistema telematico è certamente più problematica.
Tuttavia, come ben si può immaginare, la condotta successiva alla sottrazione delle informazioni, e maggiormente qualificante l’attività di spionaggio, ovvero la rivelazione, da parte del dipendente infedele, delle informazioni stessa a terzi soggetti è “coperta” da sanzioni penali espressamente previste dal codice.
In tale contesto due sono le diverse ipotesi di reato da tenere in considerazione: rivelazione di segreto scientifico o industriale (art. 623 c.p) e rivelazione di segreto professionale (art. 622 c.p.); nel primo caso, oggetto di tutela è la riservatezza su informazioni riguardanti segreti relativi a scoperte, invenzioni scientifiche o applicazioni industriali, nel secondo caso, invece l’oggetto di tutela è la riservatezza su informazioni non riguardanti scoperte, invenzioni o applicazioni.
Va chiarito che, per quanto concerne la norma prevista all’art. 623 c.p., non deve trattarsi necessariamente di segreti coperti da brevetti: la giurisprudenza ha applicato il descritto reato anche al “semplice” furto di know how, ossia l’insieme delle notizie attinenti ai metodi di progettazione, produzione o messa a punto dei beni prodotti e caratterizzanti la struttura industriale.
Diverso è invece il ragionamento relativo ai segreti più strettamente commerciali (la situazione economica dell’azienda, i prezzi di vendita, i contratti in corso), in tali casi la giurisprudenza, escludendo che questi possano considerarsi segreti scientifici o industriali in senso stretto, come previsto all’art. 623 c.p., li ha invece ricompresi sotto la definizione di segreti professionali, facendo così entrare in gioco il diverso reato previsto all’art. 622 c.p.
Il dipartimento di diritto penale di R&P Legal ha maturato una profonda esperienza processuale in relazione alle fattispecie penali connesse al fenomeno dello spionaggio industriale, prestando la propria assistenza ad importanti società italiane ed estere coinvolte in procedimenti penali su tutto in territorio nazionale.
Negli ultimi anni, ad esempio, abbiamo assistito una multinazionale americana leader del settore dell’ingegneristica per microprocessori in un procedimento sorto a seguito di illeciti informatici commessi da alcuni ex dipendenti di una quotata italiana nonché una società che aveva subito un furto di rilevanti documenti con disegni industriali che costituivano il Know How della produzione industriale del settore metallurgico
Attualmente, stiamo assistendo alcuni manager e la società chiamata in causa come responsabile civile in due diversi procedimenti penali nel quale sono stati contestati i reati di introduzione abusiva in un sistema informatico, rivelazione di segreti industriali e ricettazione di supporti informatici: si tratta di una importante e faida giudiziaria tra uno dei più risalenti e consolidati colossi dell’industria siderurgica italiana e il più rilevante gruppo indiano del settore dell’acciaio.
TAGS
RP Legal & Tax