Furto di dati da parte di dipendenti: il caso HSBC e i limiti intrinseci della sicurezza aziendale

La vulnerabilità delle informazioni continua ad essere uno degli aspetti di maggiore criticità per le aziende, soprattutto perchè la minaccia più pericolosa proviene sempre più spesso dagli "insospettabili", ovvero dai dipendenti.

Tra i casi recenti, quello del furto di dati compiuto ai danni di 24.000 clienti della filiale svizzera di HSBC, da parte del tecnico di computer Herve Falciani, si caratterizza per una marcata componente "politica", in aggiunta alla più tradizionale dimensione "economica". Infatti, l'ex dipendente - di nazionalità italiana e francese - avrebbe cercato di ottenere il suo "giusto profitto" dalla vendita delle informazioni rubate ai Governi europei, sempre più interessati ad investigare le frodi fiscali e il trasferimento illegale di capitali all'estero... la Francia sarebbe entrata in possesso di queste informazioni a seguito di una operazione di polizia, nata dalla denuncia della banca stessa, nell'ambito della quale sarebbero stati confiscati i dati. Ovviamente, quanto accaduto ha reso più tesi i rapporti tra Svizzera e Francia...

A prescindere dalle implicazioni politiche, l'attenzione ricade su altri aspetti rilevanti del fenomeno. Oggi, un dipendente infedele può compromettere la sicurezza - non solo economica - di privati cittadini, incrinare la reputazione dell'azienda di appartenenza, alimentare altri fenomeni criminali globali, quali i reati di traffico o il finanziamento al terrorismo internazionale... tutto per un proprio guadagno personale. Ogni altra motivazione infatti, per quanto rilevante (es. frustrazione per la mancata promozione, antipatia per il capo e/o i colleghi, problemi personali quali il vizio del gioco o la tossicodipendenza...), resta marginale rispetto alle implicazioni economiche.

Premesso che le aziende subiscono da sempre abusi e reati da parte dei loro dipendenti, oggi però non si può non dare loro la "colpa" della mancata prevenzione in primis e poi anche dei mancati controlli o dei controlli inadatti.

La sicurezza aziendale è strutturata su processi inefficienti, spesso estremamente costosi, quasi totalmente affidati a strumenti tecnologici e non supportati da una adeguatamente formata componente umana, il tutto in una logica dove la prevenzione viene troppo spesso soppiantata da un approccio investigativo, che ha il limite invalicabile di "guardare" un fatto quando è già reato (o comunque una violazione delle regole interne), non riuscendo a cogliere nessun segnale preliminare di anomalia.

E' la politica del "contenimento del danno": la soglia di rischio è, in questo modo, spostata in avanti al punto tale che, nella dinamica dei fatti, l'evento si scopre dopo che è stato commesso, quando il danno è subito e le conseguenze sono ormai inevitabili. Possono solo essere contenute, appunto.

Questo approccio alla sicurezza non potrà che continuare a creare opportunità per criminali e frodatori, anche improvvisati - come può essere un dipendente infedele -, determinando rischi e danni sempre più ingenti per i cittadini, per le aziende e per l'intera collettività.