Furto di dati in una PMI: aspetti di diritto penale
Il furto di dati è una minaccia allarmante, anche se astratta, per la maggior parte delle aziende - l'oggetto rubato è intangibile e non "tangibile", l'arma del crimine non è presente.
DIl furto di ate può portare a un danno considerevole in un'azienda, unito alla perdita di reputazione. Il management spesso non è consapevole che misure di sicurezza inadeguate possono anche portare a responsabilità personali.
Dipendenti interni come ladri di dati
istanze di Furto di dati o. Il furto di dati è ampiamente discusso nei media. In particolare, mi vengono in mente i rapporti sul furto di intere basi di clienti nelle banche. Il più delle volte si tratta di costellazioni in cui un dipendente
Le informazioni sui clienti delle banche vengono copiate per poterle vendere in seguito tramite intermediari. I destinatari sono privati, aziende o autorità (fiscali) straniere. Succede anche che un'azienda derubata venga ricattata per ricomprare i dati rubati - per cui un record di dati copiato viene poi messo in circolazione nonostante sia stato ricomprato. Nel caso delle imprese industriali, è anche possibile che le imprese rivali approfittino dei risultati segreti della ricerca in questo modo. Nell'ambiente bancario, il Caso Bradley Birkenfeld particolarmente prominente. Come ex dipendente di UBS, ha consegnato i dati dei clienti alle autorità fiscali statunitensi e ha ricevuto da loro una ricompensa di oltre 100 milioni di dollari1.
Oltre a questo modus operandi, ci sono anche altri modi noti per ottenere illegalmente i dati. Si può pensare alla classica intrusione in un sistema informatico di fuori di un Azienda (cosiddetto Hacking). Questi cyberattacchi hanno recentemente portato a
sempre di più ai rapporti dei media. Qui, il potenziale di danno degli attacchi è particolarmente degno di nota:
- Attacco di hacker all'U.S. Office of Personnel Management (ottenendo 19,7 milioni di file personali contenenti dati personali sensibili), 2
Hacking di 150 milioni di account Adobe (ottenendo più di 38 milioni di dati utente).3
Infine, il furto di dati deve essere distinto da un uso improprio di dati acquisiti, in cui i dati vengono utilizzati dal destinatario finale in modo sleale a proprio vantaggio. Il furto di dati è una fase preliminare dell'attività criminale. Molto diffuso è anche il Corruzione dei dati per mezzo di programmi di virus, che vengono trasmessi da allegati nelle e-mail o dal download di file.
Crimini informatici
Non c'è un'opinione unanime tra gli esperti sul fatto se e in che misura le aziende siano colpite dal crimine informatico, in particolare dall'acquisizione interna non autorizzata di dati. Nel cantone di Zurigo, le statistiche sulla criminalità della polizia indicano una tendenza alla diminuzione 4 . D'altra parte, le imprese investigative sottolineano il crescente rischio di furto di dati per le PMI5 .
Nell'esperienza dell'autore nessuna diminuzione dei reati informatici da notare. Non tutti i casi di furto di dati vengono denunciati alla polizia, anche per evitare la pubblicità come risultato di un'indagine penale. Qui, le forze dell'ordine si trovano di fronte a un numero considerevole sconosciutoche non è incluso nelle loro statistiche. Inoltre, i reati informatici non possono essere sempre assegnati allo stesso reato secondo il codice penale (SCC), il che può portare a una distorsione delle statistiche. Si dovrebbe anche tener conto del fatto che un gran numero di reati non vengono mai a conoscenza delle PMI interessate, o solo dopo molti anni.
Rischio incontrollabile
I dati non sono un oggetto classico del crimine. Nell'omicidio c'è l'arma del delitto, nel furto d'auto c'è il veicolo. I dati d'altra parte sono arbitrario e rapidamente riproducibile. Possono essere scambiati in tutto il mondo in frazioni di secondo. I perpetratori utilizzano server proxy che sono distribuiti in tutto il mondo. Lo stoccaggio finale può essere puramente virtuale sulle nuvole, o il bottino può essere diviso in piccole unità di dati e conservato in qualsiasi luogo. Particolarmente grave è il fatto che anche i set di dati recuperati non offrono alcuna garanzia che mani criminali non siano in possesso di copie multiple.
In questo contesto, la questione se e quanti crimini informatici sono contati dalle autorità diventa relativa. Il fatto è che una PMI colpita è esposta a un rischio incontrollabile di perdere per sempre il know-how immagazzinato nei record di dati - con un rischio corrispondente per la reputazione e la commerciabilità. Soprattutto nei casi internazionali, le autorità di polizia si scontrano con i limiti fattuali e legali e non sono più in grado di assicurare i "dati" del crimine.
Classificazione penale della condotta illecita
In caso di furto di dati, un'azienda colpita può avviare procedimenti civili e penali. Questioni di diritto di vigilanza possono anche sorgere se una PMI è soggetta a un'autorità di vigilanza (per esempio l'Autorità dei mercati finanziari). Secondo il diritto civile, un ladro di dati può essere citato in giudizio per danni, e nel caso di un dipendente, con tutta la gamma di strumenti del diritto del lavoro. Naturalmente, questa rimane una piccola consolazione quando un'azienda è minacciata da milioni di danni.
Responsabilità penale (degli organi di una società rubata)?
Per le autorità preposte all'applicazione della legge, si pone inevitabilmente la questione di sapere se gli enti gestori hanno organizzato le loro PMI in modo tale da minimizzare il rischio di reati. I dati erano liberamente disponibili per qualsiasi dipendente? Sono stati effettuati controlli sul traffico di dati? I dati sensibili sono criptati, come viene conservato un backup? Se a queste domande non si può rispondere in modo soddisfacente, l'amministratore delegato può essere accusato di non aver adempiuto alla sua responsabilità e quindi di aver permesso un crimine informatico. Questo ha gravi conseguenze.
Secondo il diritto civile, questo può portare a richieste di risarcimento danni contro un amministratore delegato. In termini di diritto penale, severe pene (detentive) possono essere previste sotto il titolo di gestione infedele (Art. 158 StGB).
Possibilità e rischi di una denuncia penale
Prima di presentare un'accusa penale, bisogna esaminare attentamente quali rischi si creano in questo modo. Non bisogna dimenticare che le autorità penali indagano su un reato penale nell'ambito della loro pianificazione. I procedimenti penali possono procedere in modo relativamente tranquillo o possono anche attirare l'attenzione dei media e causare contenziosi lunghi e costosi. D'altra parte, l'uso illegale dei record di dati può causare danni incontrollabili alle PMI. Spesso, questi non hanno altra scelta che prendere tutte le misure per combattere il danno a causa della responsabilità o delle norme di vigilanza.
Questo significa che il Minimizzare il rischio di un'escalation di indagini penali. Ci sono modi per collaborare con le autorità. C'è un margine di negoziazione nel fatto che nel caso dei reati di petizione, in seguito a un accordo civile con una parte avversa, si può rinunciare a un ulteriore procedimento penale (ritiro della petizione penale o dichiarazione di disinteresse). Come preparazione al procedimento penale e per il controllo approssimativo di un'indagine, una denuncia penale dovrebbe essere preparata da un esperto. Questo dovrebbe essere focalizzato, per cui si deve trovare un equilibrio tra la brevità e la fondatezza delle accuse. Non è consigliabile presentare una denuncia penale oralmente; l'esperienza mostra che è difficile far passare il messaggio principale in questo modo. Non bisogna dimenticare che un'indagine penale può anche causare un notevole carico amministrativo per l'azienda stessa (interviste ai testimoni, redazione di documenti aziendali, ecc.)
Il futuro del furto di dati
Il furto di dati master rimarrà un rischio significativo per una PMI. Per ragioni di costo e di efficienza, il lavoro viene fatto sempre più spesso senza carta, con tutte le transazioni commerciali interne ed esterne documentate sui server.
Le aziende sono più sensibili ai rischi quando si tratta di serie di dati. Tuttavia, i criminali sono anche altamente professionali nel loro campo, e la ricchezza segreta di conoscenze detenute dalle PMI fornisce un incentivo per l'attività criminale. Si può quindi supporre che i crimini informatici per ottenere illegalmente informazioni sui clienti e il know-how operativo delle PMI continueranno ad aumentare.
