Indagini forensi su dipendente per furto di dati

Il furto di dati da parte di un dipendente, o "insider threat", è una delle minacce più dannose e sottovalutate per un'azienda. A differenza di un attacco hacker esterno, il furto interno proviene da chi ha già le "chiavi di casa": un dipendente, un manager, un consulente o un ex-dipendente che, prima di lasciare l'azienda, decide di sottrarre know-how, liste clienti, segreti commerciali o progetti strategici.

Spesso, questi dati finiscono nelle mani di un concorrente o vengono usati per avviare una nuova attività in palese concorrenza sleale. Il sospetto da solo, però, non basta. Per agire legalmente, licenziare per giusta causa o richiedere un risarcimento danni, servono prove. E non prove qualsiasi: servono prove digitali inconfutabili e acquisite legalmente.

In qualità di periti informatici forensi, il nostro compito è condurre indagini forensi su dipendenti per scoprire la verità e "cristallizzare" le prove digitali in modo che abbiano pieno valore in tribunale. Questo articolo spiega come operiamo, quali sono i campanelli d'allarme e perché un'azione impulsiva può compromettere l'intero caso.

I segnali d'allarme: quando sospettare un furto di dati?

Un furto di dati non sempre è palese. Spesso è un'attività silente, pianificata per settimane. I sospetti più fondati emergono quasi sempre in concomitanza con le dimissioni del dipendente, specialmente se destinate a un'azienda concorrente.

Ecco i principali segnali d'allarme che dovrebbero spingere un'azienda a un'analisi immediata:

• Attività anomala fuori orario: Accessi ai server, download o invio di email in orari insoliti (notte, weekend).
• Utilizzo massiccio di dispositivi USB: Collegamento frequente di hard disk esterni o chiavette USB non autorizzate.
• Invio di email a indirizzi personali: L'inoltro sistematico di email aziendali a indirizzi privati (Gmail, Outlook.com) o l'invio di allegati sospetti.
• Upload su servizi Cloud: Un traffico di rete anomalo verso servizi come WeTransfer, Dropbox o Google Drive, specialmente se non usati per prassi aziendale.
• Cancellazioni di massa: Il tentativo di "pulire" il proprio PC cancellando grandi quantità di file o cronologia poco prima di riconsegnare il computer.
• Consultazione di dati non pertinenti: Un dipendente commerciale che accede a file tecnici o un tecnico che scarica l'intero database clienti.

L'Errore Fatale: il "Fai-da-Te" e il Rischio di Invalidare le Prove

Quando sorge un sospetto, la prima reazione dell'imprenditore o del responsabile IT è quella di "andare a controllare". Si accende il PC del dipendente, si apre la sua casella email, si "curiosa" tra i file. Questo è l'errore più grave che si possa commettere.

Perché?

1. Inquinamento della Prova: Il semplice avvio del PC e l'apertura di un file alterano irrimediabilmente i metadati (come la data di "ultimo accesso"). Questo rende impossibile dimostrare quando *veramente* il dipendente ha toccato quel file l'ultima volta.
2. Invalidità Legale: Un'acquisizione non forense delle prove (es. un "copia-incolla" dei file o uno screenshot) non ha alcun valore in tribunale. Un bravo avvocato di controparte la smonterà in pochi minuti, sostenendo che le prove sono state alterate o create ad arte.
3. Violazione della Privacy: Agire senza un piano d'indagine corretto può esporre l'azienda a contestazioni sulla privacy e violazioni dello Statuto dei Lavoratori (Art. 4, L. 300/1970).

Se sospettate un furto di dati, l'unica azione corretta è: scollegare il PC dalla rete e dalla corrente e chiamare un consulente forense. Non accendetelo.

Il Metodo Forense: Come si Svolge un'Indagine a Norma di Legge

Un'indagine forense per furto di dati è un processo rigoroso che garantisce l'integrità e l'ammissibilità delle prove. Non lasciamo nulla al caso.

1. Acquisizione Forense (La Copia Conforme ISO 27037)

È il momento più critico. Non lavoriamo mai sul computer originale (il "reperto"). Utilizziamo un write-blocker (un dispositivo hardware che impedisce fisicamente qualsiasi scrittura sul disco) per creare un'immagine forense.

Questa è una copia "bit-per-bit" (un clone perfetto) dell'hard disk o dell'SSD del dipendente. L'intero processo segue le linee guida internazionali dello standard ISO/IEC 27037:2012 ("Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence").

Questo standard garantisce che l'acquisizione sia documentata, ripetibile e verificabile. Calcoliamo inoltre un valore hash (un'impronta digitale unica) sia del disco originale sia della copia: i due valori devono combaciare, dimostrando al giudice che la copia è identica all'originale e non è stata alterata.

2. Analisi Forense: Cosa Cerchiamo (e Troviamo)

Una volta creata la copia forense, l'originale viene sigillato e conservato. L'analisi vera e propria si svolge solo sulla copia, utilizzando software forensi specializzati (come EnCase, Magnet AXIOM, FTK).

La nostra analisi va a cercare:

• File Cancellati: Eseguiamo un "data carving" per recuperare file, email e documenti che il dipendente ha tentato di eliminare (spesso svuotando il cestino).
• Dispositivi USB Collegati: Ricostruiamo la cronologia di ogni chiavetta USB o hard disk esterno collegato al PC, con data, ora e, a volte, persino il modello e il numero di serie del dispositivo.
• Movimentazione dei File: Analizziamo i metadati per provare quando i file (es. "lista_clienti.xlsx") sono stati copiati sul dispositivo esterno.
• Attività Cloud e Webmail: Ricostruiamo la cronologia di navigazione (anche quella "cancellata") per trovare le prove di upload su WeTransfer, Dropbox o accessi a email personali per l'invio di dati.
• Analisi delle Email: Verifichiamo l'invio di allegati sospetti, la creazione di "regole" di inoltro automatico o la presenza di email compromettenti nelle bozze o nella posta eliminata.

3. La Relazione Tecnica (Perizia Forense)

L'indagine si conclude con la redazione di una perizia tecnica forense. Questo non è un semplice report: è un documento legale che spiega l'intera metodologia (compreso il rispetto dello standard ISO 27037) e presenta le prove in modo chiaro e cronologico. La perizia è redatta per essere compresa da avvocati e giudici e per essere utilizzata in sede di giudizio.

Conseguenze Legali: Licenziamento, Concorrenza Sleale e Risarcimento

Una perizia informatica che attesta il furto di dati è la base per azioni legali concrete:

• Licenziamento per Giusta Causa: La sottrazione di dati aziendali strategici costituisce una gravissima violazione del vincolo fiduciario e giustifica il licenziamento immediato senza preavviso.
• Azione per Concorrenza Sleale (Art. 2598 c.c.): Se l'ex dipendente (o la sua nuova azienda) utilizza il know-how o le liste clienti rubate, la perizia è la prova regina in una causa per concorrenza sleale per richiedere l'inibitoria e un cospicuo risarcimento del danno.
• Azione Penale: A seconda della gravità, si possono configurare reati come l'Art. 615-ter c.p. (Accesso abusivo a un sistema informatico) o l'Art. 623 c.p. (Rivelazione di segreti scientifici o industriali).

Domande Frequenti (FAQ)

È legale analizzare il PC di un dipendente?

Sì, ma a condizioni precise. I controlli sui PC aziendali sono legittimi se c'è un fondato sospetto di un illecito (come il furto di dati) e se si rispettano le linee guida del Garante della Privacy e lo Statuto dei Lavoratori. È fondamentale che il PC sia uno strumento di lavoro aziendale e che l'indagine sia "mirata" a verificare l'illecito, senza sfociare in un controllo massivo e indiscriminato sulla vita privata. Per questo è essenziale affidarsi a consulenti che operano nel rispetto della normativa.

Quanto tempo ci vuole per un'indagine?

L'acquisizione forense (la copia) è rapida e può essere fatta in poche ore, spesso anche presso la sede del cliente per non fermare l'operatività. L'analisi in laboratorio è la fase più lunga e complessa, che può richiedere da alcuni giorni a diverse settimane, a seconda della quantità di dati da analizzare.

E se il dipendente ha usato il suo PC personale (BYOD - Bring Your Own Device)?

Questo è lo scenario più complesso. L'analisi forense su un dispositivo personale non può essere fatta unilateralmente dall'azienda, ma richiede il consenso del dipendente o, in caso di causa, un ordine del giudice. È fondamentale consultare immediatamente un legale.

Conclusione: Proteggere il Know-How è Proteggere l'Azienda

Il vostro know-how e i vostri clienti sono il patrimonio più prezioso della vostra azienda. Un dipendente infedele può vanificare anni di lavoro in poche ore. Di fronte a un sospetto di furto di dati, l'impulsività è vostra nemica, mentre la metodologia è la vostra migliore alleata.

Un'indagine forense condotta secondo gli standard internazionali (come l'ISO 27037) non serve solo a punire un colpevole, ma a difendere il futuro stesso della vostra impresa, fornendo prove certe per le sedi legali appropriate.