Criminalità informatica: la vostra azienda è tutelata legalmente dai rischi di Internet?

Attacchi informatici, perdita di dati, estorsioni: le piccole e medie imprese (PMI) sono spesso prese di mira dagli hacker perché meno protette contro la criminalità informatica rispetto ai grandi gruppi. Molte aziende dimenticano inoltre che la criminalità via Internet porta con sé anche questioni e controversie di ordine legale. 

Quali criminali mi trovo ad affrontare come azienda nel cyberspazio? E qual è il loro obiettivo?

La forbice della criminalità informatica va dagli attacchi di phishing a quelli Distributed Denial-of-Service (attacchi DDoS) fino alle truffe online e allo spionaggio industriale. Nella maggior parte dei casi i cybercriminali, come del resto i malviventi nella vita «reale», puntano al denaro delle loro vittime. A volte l’obiettivo può essere anche un danno d’immagine alla persona fisica o giuridica.

I computer della nostra start-up sono stati violati e ora siamo oggetto di estorsione. Come posso agire legalmente contro gli autori del reato?

In questo caso è necessario allertare immediatamente le autorità penali, che ormai si sono dotate di unità specializzate per lottare contro la criminalità informatica.

Come si concretizza l’azione penale per i reati informatici in confronto ad altri campi? 

Le autorità penali svizzere dispongono di servizi specializzati, come la divisione Cybercrime di Zurigo. La collaborazione a livello nazionale e internazionale funziona, ma occorre restare con i piedi per terra: non tutti i criminali del world wide web vengono individuati.

Ho letto che i criminali informatici puntano sempre più a singoli collaboratori con accesso a dati riservati: prima li spiano tramite i social media e poi entrano nei loro computer. Posso vietare ai dipendenti HR o al mio CFO di interagire su Instagram o Facebook? 

Sì, si può fare. Rientra fra i diritti del datore di lavoro quello di impartire istruzioni per l’utilizzo dei social media. Il titolare dell’azienda può, ad esempio, vietare al proprio personale di accedere ai social network dal computer della postazione lavorativa. Inoltre può definire come devono essere utilizzati gli strumenti di lavoro. Tuttavia, se non viene fornita alcuna istruzione, il personale ha facoltà di utilizzare i propri computer per accedere alle piattaforme social, seppure in misura limitata.

Sono proprietario di un ristorante. Una collaboratrice è stata attaccata personalmente e offesa su una piattaforma di recensioni perché un servizio è stato giudicato scadente. Come posso agire legalmente e tutelare la mia dipendente?

A fini di prova si consiglia di salvare immediatamente la schermata della piattaforma social contenente il commento denigratorio, dopodiché si può richiederne la cancellazione alla controparte. In ogni caso la violazione del diritto dovrebbe essere segnalata anche alla piattaforma, affinché questa possa eliminare il commento e bloccare chi lo ha pubblicato: in genere è l’unica possibilità per ottenere l’eliminazione di un post offensivo, se non è possibile trovarne l’autore.

Oltre a questo esiste la possibilità di sporgere denuncia: il codice penale elvetico prevede infatti i reati di ingiuria, diffamazione e calunnia, che sono fra quelli connessi in genere al cyberbullismo.

Per ulteriori informazioni in materia potete leggere l’ articolo del nostro blog sul «Cyberbullismo».

Qual è la differenza fra l’assicurazione Cyber per le aziende e l’assicurazione complementare «Protezione giuridica del diritto della personalità e per i rischi di Internet»?

L’assicurazione Cyber per imprese di AXA tutela dai danni diretti di un attacco informatico e dalle pretese di risarcimento di soggetti terzi: ad esempio, nel caso in cui a un’azienda vengano sottratti dati sensibili di clienti e questi ultimi chiedano un risarcimento all’azienda stessa.

Il modulo «Protezione giuridica del diritto della personalità e per i rischi di Internet» dell’assicurazione di protezione giuridica per imprese di AXA interviene per le violazioni della personalità su Internet e offre tutela legale in caso di abuso di identità o carte di credito, nonché per contratti relativi ad accesso e dominio Internet.

L’avvocato di un’altra azienda mi ha sollecitato a modificare il mio dominio Internet: vi sarebbe stata una violazione dei diritti sul marchio di tale impresa e io dovrei sottoscrivere una dichiarazione di rinuncia. Devo farlo? 

Il diritto dei marchi è estremamente complesso nell’ambito dei domini, per cui ogni situazione deve essere analizzata nel dettaglio. Come regola generale si può tuttavia dire che quanto più simili sono i settori di attività delle parti, tanto più diversi devono essere il marchio e il nome di dominio, per evitare qualunque rischio di scambio.

Importante: in nessun caso si dovrebbe firmare una dichiarazione di rinuncia senza avere prima consultato un esperto di diritto.

Trovate maggiori dettagli nell’articolo del blog su brevetti, diritto dei marchi e diritto d’autore.

Un collaboratore si è licenziato ma prima ha sottratto dati riservati dei clienti. Con questi intende avviare una propria attività utilizzando i nominativi raccolti. Come posso agire?

In questo caso il collaboratore viola il proprio obbligo di fedeltà. Se il rapporto di lavoro non è ancora risolto, è ipotizzabile il licenziamento immediato. Inoltre è possibile citare il dipendente per ottenere un risarcimento danni e la restituzione dei dati.

Il comportamento del lavoratore può avere altresì rilevanza in termini penali: i possibili reati da questo punto di vista sono acquisizione illecita di dati, accesso indebito a un sistema per l’elaborazione di dati e violazione del segreto di fabbrica o commerciale. Qualora il collaboratore abbia commesso uno di questi reati, è possibile sporgere denuncia. 

La connessione Internet nella mia azienda si interrompe continuamente nonostante io saldi puntualmente le fatture. L’interruzione del lavoro per i miei collaboratori mi costa ogni mese diverse migliaia di franchi. Quali sono i miei diritti?

Qui l’elemento fondamentale è il diritto contrattuale relativo al risarcimento dei danni. Tuttavia il danno deve essere dimostrato, il che non è sempre semplice. A complicare ulteriormente le cose si aggiunge il fatto che nei contratti con i provider Internet le richieste di risarcimento possono essere anche escluse: in tal caso l’indennizzo non può essere preteso nemmeno producendo le relative prove. Sarà quindi compito di un legale decidere se, nel caso specifico, sia conveniente promuovere un’azione nei confronti del provider.