Cerca un Professionista Cerca un Argomento
Cerca un professionista per Categoria / Regione
Cerca un Professionista Cerca un Argomento
Cerca un professionista per Categoria / Regione
Richiedi la prima consulenza oggi
La Rubrica informativa di ProntoProfessionista.it, comprende spazi a pagamento degli autori

Diritto dell`informatica

Man in the mail. Come tutelare l'impresa

Adottare le corrette policy, significa responsabilità e responsabilizzazione dei propri dipendenti, ma soprattutto difendere e far crescere l'impresa

Man in the mail. Come tutelare l'impresa - Adottare le corrette policy, significa responsabilità e responsabilizzazione dei propri dipendenti, ma soprattutto difendere e far crescere l'impresa

Da tempo, gli attacchi informatici si sono evoluti, il crimine lavora con veri e propri processi aziendalistici ed ora il phishing è divenuto parte di frodi più complesse come la c.d “Man in the mail fraud”. 

Di recente questo attacco è stato subito da Bitpay. I criminali hanno ottenuto dal Direttore Finanziario della Società le credenziali del suo account email. Sulla base delle informazioni recuperate dall’account del Direttore finanziario, l’organizzazione criminale ha  poi scritto all’Amministratore Delegato convincendolo ad effettuare svariati versamenti. Bitpay attualmente non ha recuperato nulla dei milioni persi. 

Diverse sono le tipologie di attacchi che un’azienda può subire: un phishing, attacchi brute forcing, trojan, lo sfruttamento delle numerose debolezze dei dispositivi mobili, ecc. Come visto per Bitpay, i criminali inizialmente si limitano ad osservare poi, al momento giusto, si sostituiscono al mittente o inviando alla vittima una mail di richiesta di modifica delle coordinate bancarie oppure una richiesta di denaro. L’azienda a questo punto procede al pagamento con la massima tranquillità (visto che il mittente della richiesta appare sicuro) e la truffa è fatta. 

E’ possibile evitare questa frode? 

Occorre garantire che azienda e partner adottino le adeguate misure di sicurezza. Questo è un aspetto tutt’altro che semplice perché coinvolge moltissimi settori dell’attività di business (come la formazione del personale, i trasparenti canali si comunicazione tra management e dipendenti, policy di comportamento, e di sicurezza ecc), piuttosto che quello squisitamente informatico.  Purtroppo le debolezze informative che frequentemente continuo a riscontrare nelle aziende sono sempre le stesse come password deboli, mancanze di policy nell’utilizzo dei dispositivi mobili, mancata adozione di policy sul trattamento delle informazioni (chi, come, quando, perché), ma anche l’utilizzo di software non aggiornati (si pensi a Windows XP, Java, ecc), non adeguati (molti antivirus) o anche servizi di webmail gratuiti. 

Gli strumenti giuridici 

La realtà è che reagendo all’incidente informatico e alla frode (quindi correndo ai ripari soltanto in seguito all’evento) gli strumenti giuridico-processuali (civili e penali), pur esistenti, si sono dimostrati, sino ad oggi, piuttosto inadeguati e inefficaci. 

Sotto il profilo del diritto penale infatti, l’azione fraudolenta tocca molteplici tipologie di reato, truffa (art. 640 c.p.), sostituzione di persona (art. 494 c.p.), frode informatica (art. 640 ter c.p. anche nell’aggravante del furto o utilizzo indebito dell’identità digitale altrui), accesso abusivo a sistema informatico (615 ter c.p.) rivelazione di segreti (622 c.p.) e altri ancora. Tuttavia, la riuscita dell’azione penale si scontra spesso contro la difficoltà di individuazione dei responsabili e contro la rapidità con cui si conclude la condotta illecita. Senza contare che sovente si pongono dei problemi non indifferenti di giurisdizione (con frodi spesso riconducibili a Paesi extra UE). 

Sotto il profilo processual-civilistico la questione è ancora più complessa. Si pone infatti anche qui, in primo luogo, un problema di individuazione dei responsabili (anche se adottando precise policy è più facile capire chi e cosa è successo). Talvolta è ipotizzabile porre in essere azioni di responsabilità da custodia, responsabilità professionale fino ad arrivare alla residuale azione di illecito arricchimento ma spesso la prova in giudizio è tutt’altro che agevole. 

Conclusioni 

Con le difese alzate sarà sicuramente molto più facile individuare situazioni anomale. Per esempio nel caso in cui arrivi una richiesta di variazione delle coordinate bancarie basterebbe aver un protocollo di procedure interne che imponga di verificare l’anomalia utilizzando una diversa via di comunicazione, come il telefono o il fax, ecc.; o, ancora, per comunicazioni email sensibili (come i pagamenti) basterebbe ricorrere a software come PGP, criptando e firmando i messaggi. 

Un atteggiamento proattivo e preventivo (sicurezza informatica ed informativa, stesura di adeguate policy ed educazione dei dipendenti) continua ad essere l’unica soluzione. “Protocolli interni” o “policy”, che dir si voglia, significa mettere nero su bianco responsabilità e responsabilizzazione dei propri dipendenti e quindi salvaguardare, difendere e far crescere il proprio business.

articolo del

Profilo dell'autore Richiedi il primo contatto gratuito in studio

Commenta l'articolo

Produezero s.r.l. non si assume alcuna responsabilità circa il contenuto dei commenti rilasciati dai singoli Utenti del sito www.ProntoProfessionista.it, che abbiano carattere diffamatorio, denigratorio ovvero contrario alla legge.
Produezero s.r.l. fornirà all'Autorità Giudiziaria ogni informazione utile all'identificazione del singolo Utente che abbia rilasciato commenti in contrasto con la normativa vigente.
Accetto
Invia
Resetta

L'autore è esperto in
Diritto dell`informatica

Studio Legale Avv. Emiliano Vitelli - Latina (LT)

Studio Legale Avv. Emiliano Vitelli

Avvocati / Penale

Viale Pablo Picasso 30

04100 - Latina (LT)

L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Ad esempio: Località / Indirizzo

Altri articoli del professionista

Luci ed ombre del Privacy Shield

Dichiarato invalido Safe Harbor per il trattamento dei dati personali UE ed USA concordano sui principi di un nuovo Accordo: il Privacy Shield

Continua

Corte Strasburgo, Jobs Act, controlli a distanza

L'azienda può licenziare il proprio dipendente sulla base dei controlli effettuati sugli strumenti utilizzati per lavorare (mail, messenger).

Continua

Industria 4.0 e cyber security aziendale

Il patrimonio informativo aziendale si comincia a difenderlo dall’interno: educazione, formazione, difesa

Continua

Il nuovo Regolamento Europeo sulla Privacy

Il 15 dicembre 201 c'è stato l'accordo in UE sul nuovo Regolamento della Privacy che avrà grande impatto sia per le persone che per le aziende

Continua

Il subappalto responsabile esterno trattatamento

Quali gli obblighi per il titolare del trattamento e quali quelli del responsabile nell'ambito del subappalto? I provvedimenti del Garante Privacy

Continua

La Corte Europea sul concetto di stabilimento

La normativa di uno Stato membro sui dati personali può essere applicata a una Società straniera che svolge,in tale Stato, un’attività stabile

Continua

Il non disclosure agreement: scambio di informazioni

Per sviluppare il business è necessario condividere informazioni in tutta sicurezza. Diventa fondamentale redigere accordi di non diffusione

Continua

Sicurezza e smaltimento dei RAEE

Lo smaltimento dei rifiuti elettrici ed elettronici non è più soltanto una questione ambientale ma anche e un problema di gestione di dati

Continua

OCSE: sicurezza digitale e sviluppo economico

L'OCSE ha appena emanato una nuova raccomandazione:“La gestione del rischio nella sicurezza digitale per una prosperità economica e sociale”

Continua

Le imprese dopo l'illegittimità del Safe Harbor

La Corte di Giustizia Europea ha invalidato l'accordo Safe Harbor tra UE e USA ritenendo gli Stati Uniti non sicuri per la tutela della privacy

Continua

Le imprese eccellenti sono ancora poco digitali

Rapporto del MISE su PMI innovative eccellenti: l'innovazione salva dalla difficile congiuntura economica, ma sul digitale c'è ancora da fare.

Continua