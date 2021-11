Sempre più spesso, si sente parlare di computer-crimes.

Effettivamente, dall’anno 1834, allorquando i fratelli Blanc perpetrarono il primo cyber-attacco della storia, a oggi, il numero degli anzidetti crimini ha registrato una vera e propria impennata.

Negli ultimi due anni, più specificamente, l’anzidetto numero è addirittura decuplicato, essendosi passati dalle 460 denunce del periodo 1° agosto 2019–31 luglio 2020 alle 4.938 denunce registratesi nel solo periodo 1° agosto 2020-1° agosto 2021.

Se le ragioni di ciò sono molteplici, la più importante é sicuramente rappresentata dalla progressiva, massiccia, digitalizzazione del mondo e della società.

Gli imprenditori, come noto, tendono a pensare i computer-crimes alla stregua di (qual)cosa che le loro aziende possono solamente subire.

Che il problema, così impostata la questione, esista e s’appalesi serio è certamente innegabile.

Basti considerare, in proposito, i tantissimi attacchi che, anche recentemente, hanno interessato aziende come Tiscali, Ermenegildo Zegna, Erg, Konica Minolta, etc.

In tutti questi casi, l’obiettivo perseguito dagli hacker è (stato) semplice: sottrarre dati sensibili per richiedere ingenti somme di denaro a titolo di riscatto.

Così, ancora recentemente, s’è mosso anche il noto gruppo criminale d’origine russa Everest Random Team, che ha infiltrato i server della SIAE, esfiltrando ben 1,95 GB di dati sensibili.

Pensare i computer-crimes in questi soli termini, però, è un errore.

Perché gli anzidetti crimini possono essere commessi da chiunque e, dunque, anche da chiunque operi in nome e per conto di qualsiasi azienda.

Con la conseguenza che qualsiasi azienda potrà trovarsi a rispondere in sede penale per avere commesso commesso, magari senza nemmeno rendersene conto, un computer-crime.

Si prenda, a mero titolo d’esempio, quanto accaduto pochi mesi fa, allorquando a essere stati infiltrati sono stati i server della regione Lazio.

Nell’occasione, gli hacker sembrerebbero avere esfiltrato i dati sensibili di ben 5.800.000 cittadini.

Come è potuto accadere ciò?

Il cyber-attacco che qui c’occupa sembrerebbe essere partito dal p.c. d’un amministratore di rete di Engineering.

Secondo gli esperti, insomma, i cyber-criminali sarebbero stati a conoscenza delle password d’accesso ai server della regione Lazio.

Di qui i sospetti su Engineering: lavorando a stretto contatto con la regione Lazio, infatti, l’anzidetta società sarebbe stata a conoscenza delle anzidette password.

Engineering, ovviamente, ha smentito quanto sopra, ma le indagini sono ancora in corso.

L’esempio che precede, in ogni caso, vale a confermare quanto testé detto: pensare i computer-crimes alla stregua di (qual)cosa che le aziende possono solamente subire è un errore.

Nel caso di specie, infatti, Engineering s’è trovata accusata d’avere commesso un computer-crime che la stessa non ha certamente commesso direttamente, ma che sembrerebbe essere stato commesso da un suo dipendente a sua insaputa.

Come proteggere, dunque, le aziende da consimili, attualissimi, rischi? La risposta deve essere individuata nel MOG 231, imprescindibile strumento di compliance normativa atto a scongiurare altresì la commissione di computer-crimes nell’interesse o a vantaggio dell’azienda, anche qualora commessi, a insaputa della stessa, da persona-fisica che operi in nome e per conto della medesima.

articolo scritto con la collaborazione di Simone Tacconi del team compliance di SCnet Compliance&Corporate e del focus team 231 di SC Avvocati Associati.