
Criminalità informatica: la vostra azienda è tutelata legalmente dai rischi di Internet?
Attacchi informatici, perdita di dati, estorsioni: le piccole e medie imprese (PMI) sono spesso prese di mira dagli hacker perché meno protette contro la criminalità informatica rispetto ai grandi gruppi. Molte aziende dimenticano inoltre che la criminalità via Internet porta con sé anche questioni e controversie di ordine legale.
Quali criminali mi trovo ad affrontare come azienda nel cyberspazio? E qual è il loro obiettivo?
La forbice della criminalità informatica va dagli attacchi di phishing a quelli Distributed Denial-of-Service (attacchi DDoS) fino alle truffe online e allo spionaggio industriale. Nella maggior parte dei casi i cybercriminali, come del resto i malviventi nella vita «reale», puntano al denaro delle loro vittime. A volte l’obiettivo può essere anche un danno d’immagine alla persona fisica o giuridica.
I computer della nostra start-up sono stati violati e ora siamo oggetto di estorsione. Come posso agire legalmente contro gli autori del reato?
In questo caso è necessario allertare immediatamente le autorità penali, che ormai si sono dotate di unità specializzate per lottare contro la criminalità informatica.
Che cos’è il social engineering e come posso tutelare la mia azienda?
Il social engineering è un metodo particolarmente insidioso nell’ambito della criminalità informatica. Gli aggressori non sfruttano i punti deboli di natura tecnica, bensì quelli umani. Mediante manipolazioni psicologiche i collaboratori vengono indotti a rivelare informazioni confidenziali o a compiere determinate azioni. Con il progresso dell’intelligenza artificiale (IA), il social engineering ha raggiunto una nuova dimensione: oggi i generatori di voce e di testo creano ingannevolmente e-mail, cronologia chat o persino chiamate reali. Nell’illusione emotiva basata sull’intelligenza artificiale, gli aggressori imitano in modo mirato lo stile di comunicazione di persone fidate o creano un’urgenza artificiale per mettere le vittime sotto pressione. La manipolazione dell’IA è più credibile che mai.
Come proteggere la vostra azienda
- Effettuare formazioni regolari per il personale al fine di sensibilizzarlo ai metodi del social engineering, con particolare attenzione ai rischi della manipolazione basata sull’IA.
- Incoraggiare il personale a segnalare i casi sospetti, in modo da poter individuare tempestivamente e respingere potenziali attacchi.
- Linee guida chiare per la gestione dei dati sensibili
Progetto di ricerca: sicurezza e assicurazione per l’intelligenza artificiale
Man mano che l’IA si diffonde sempre più nella nostra vita quotidiana, è essenziale gestire i rischi ad essa correlati. Sotto la guida del professor Lukasz Szpruch, dell'Università di Edimburgo, e in collaborazione con Marcin Detyniecki, Group Chief Data Scientist e Head of Research & Advanced AI presso AXA, il progetto di ricerca «AI2» esamina i servizi assicurativi e di sicurezza che tutelano le aziende da soluzioni di IA inaffidabili, al fine di comprendere, misurare e infine assicurare potenzialmente contro gli errori prodotti dall’IA. Questo darà agli sviluppatori di IA chiari incentivi per sviluppare prodotti più sicuri e affidabili che proteggeranno meglio le persone e le aziende.
Come si concretizza l’azione penale per i reati informatici in confronto ad altri campi?
Le autorità penali svizzere dispongono di servizi specializzati, come la divisione Cybercrime di Zurigo. La collaborazione a livello nazionale e internazionale funziona, ma occorre restare con i piedi per terra: non tutti i criminali del world wide web vengono individuati.
Ho letto che i criminali informatici puntano sempre più a singoli collaboratori con accesso a dati riservati: prima li spiano tramite i social media e poi entrano nei loro computer. Posso vietare ai dipendenti HR o al mio CFO di interagire su Instagram o Facebook?
Sì, si può fare. Rientra fra i diritti del datore di lavoro quello di impartire istruzioni per l’utilizzo dei social media. Il titolare dell’azienda può, ad esempio, vietare al proprio personale di accedere ai social network dal computer della postazione lavorativa. Inoltre può definire come devono essere utilizzati gli strumenti di lavoro. Tuttavia, se non viene fornita alcuna istruzione, il personale ha facoltà di utilizzare i propri computer per accedere alle piattaforme social, seppure in misura limitata.
Sono proprietario di un ristorante. Una collaboratrice è stata attaccata personalmente e offesa su una piattaforma di recensioni perché un servizio è stato giudicato scadente. Come posso agire legalmente e tutelare la mia dipendente?
A fini di prova si consiglia di salvare immediatamente la schermata della piattaforma social contenente il commento denigratorio, dopodiché si può richiederne la cancellazione alla controparte. In ogni caso la violazione del diritto dovrebbe essere segnalata anche alla piattaforma, affinché questa possa eliminare il commento e bloccare chi lo ha pubblicato: in genere è l’unica possibilità per ottenere l’eliminazione di un post offensivo, se non è possibile trovarne l’autore.
Oltre a questo esiste la possibilità di sporgere denuncia: il codice penale elvetico prevede infatti i reati di ingiuria, diffamazione e calunnia, che sono fra quelli connessi in genere al cyberbullismo.
Per ulteriori informazioni in materia potete leggere l’ articolo del nostro blog sul «Cyberbullismo».
Qual è la differenza fra l’assicurazione Cyber per le aziende e l’assicurazione complementare «Protezione giuridica del diritto della personalità e per i rischi di Internet»?
L’assicurazione Cyber per imprese di AXA tutela dai danni diretti di un attacco informatico e dalle pretese di risarcimento di soggetti terzi: ad esempio, nel caso in cui a un’azienda vengano sottratti dati sensibili di clienti e questi ultimi chiedano un risarcimento all’azienda stessa.
Il modulo «Protezione giuridica del diritto della personalità e per i rischi di Internet» dell’assicurazione di protezione giuridica per imprese di AXA interviene per le violazioni della personalità su Internet e offre tutela legale in caso di abuso di identità o carte di credito, nonché per contratti relativi ad accesso e dominio Internet.
L’avvocato di un’altra azienda mi ha sollecitato a modificare il mio dominio Internet: vi sarebbe stata una violazione dei diritti sul marchio di tale impresa e io dovrei sottoscrivere una dichiarazione di rinuncia. Devo farlo?
Il diritto dei marchi è estremamente complesso nell’ambito dei domini, per cui ogni situazione deve essere analizzata nel dettaglio. Come regola generale si può tuttavia dire che quanto più simili sono i settori di attività delle parti, tanto più diversi devono essere il marchio e il nome di dominio, per evitare qualunque rischio di scambio.
Importante: in nessun caso si dovrebbe firmare una dichiarazione di rinuncia senza avere prima consultato un esperto di diritto.
Ho sentito che i cybercriminali utilizzano sempre più l’intelligenza artificiale per i loro attacchi. Quali nuovi pericoli comporta l’IA?
Nel mondo cibernetico l’intelligenza artificiale nasconde sia nuove potenzialità che nuovi rischi. I cybercriminali utilizzano metodi sempre più sofisticati per accedere a dati sensibili. Con l’uso dell’IA, il loro modo di procedere diventa ancora più pericoloso.
Un esempio lampante è il phishing, mediante il quale vengono inviate e-mail fraudolente che fingono di provenire da mittenti affidabili. Grazie all’impiego mirato dell’intelligenza artificiale, queste e-mail di phishing risultano ancora più autentiche, in quanto l’IA è in grado di imitare lo stile di scrittura e i modelli di comunicazione del presunto mittente. Di conseguenza aumenta il rischio che gli utenti vengano ingannati da queste e-mail fraudolente.
Anche i siti web fasulli che servono al furto di dati o alla diffusione di malware possono essere resi ingannevolmente autentici con l’aiuto dell’intelligenza artificiale. La capacità dell’IA di generare contenuti personalizzati consente ai criminali informatici di creare siti web fasulli che risultano ancora più convincenti per le loro potenziali vittime.
Inoltre, i deep fake sono una minaccia emergente rafforzata dall’intelligenza artificiale. Gli algoritmi di deep learning che eseguono analisi facciali e vocali possono essere utilizzati per creare registrazioni audio e video false, difficilmente distinguibili dalle registrazioni reali. Ciò apre ai cybercriminali nuove opportunità per la frode di identità e la diffusione di informazioni false.
Le aziende devono prepararsi ai crescenti rischi informatici legati all’IA. In concreto ciò significa che le soluzioni tecniche di sicurezza da sole non bastano più: occorrono una comprensione completa dei rischi rappresentati dall’IA, una formazione continua e un adeguamento costante della strategia di sicurezza.
Un collaboratore si è licenziato ma prima ha sottratto dati riservati dei clienti. Con questi intende avviare una propria attività utilizzando i nominativi raccolti. Come posso agire?
In questo caso il collaboratore viola il proprio obbligo di fedeltà. Se il rapporto di lavoro non è ancora risolto, è ipotizzabile il licenziamento immediato. Inoltre è possibile citare il dipendente per ottenere un risarcimento danni e la restituzione dei dati.
Il comportamento del lavoratore può avere altresì rilevanza in termini penali: i possibili reati da questo punto di vista sono acquisizione illecita di dati, accesso indebito a un sistema per l’elaborazione di dati e violazione del segreto di fabbrica o commerciale. Qualora il collaboratore abbia commesso uno di questi reati, è possibile sporgere denuncia.
La connessione Internet nella mia azienda si interrompe continuamente nonostante io saldi puntualmente le fatture. L’interruzione del lavoro per i miei collaboratori mi costa ogni mese diverse migliaia di franchi. Quali sono i miei diritti?
Qui l’elemento fondamentale è il diritto contrattuale relativo al risarcimento dei danni. Tuttavia il danno deve essere dimostrato, il che non è sempre semplice. A complicare ulteriormente le cose si aggiunge il fatto che nei contratti con i provider Internet le richieste di risarcimento possono essere anche escluse: in tal caso l’indennizzo non può essere preteso nemmeno producendo le relative prove. Sarà quindi compito di un legale decidere se, nel caso specifico, sia conveniente promuovere un’azione nei confronti del provider.