L’aumento dello smart working ha fatto sì che i cyber criminali perfezionassero nuove truffe ai danni delle reti informatiche aziendali, tra le più diffuse la truffa di tipo BEC: Business Email Compromise, che generalmente colpisce gli account di CEO o di dirigenti aziendali sia nel settore pubblico che privato.
Lo scopo è ovviamente quello di ottenere dei profitti economici e di impossessarsi del know-how aziendale.
La truffa BEC o Ceo Fraud solitamente segue dei passaggi standard, che iniziano con l’introduzione del cyber criminale nell’account di posta elettronica del dirigente, per poi utilizzare le mail inviate e ricevute dai dipendenti per ottenere informazioni sensibili e confidenziali, che vengono poi adoperate dal cyber criminale come merce di scambio, chiedendo alla stessa azienda del denaro per non distruggerle o diffonderle, o rivendendole ad aziende competitor.
Il BEC ha colpito almeno una volta il 70% delle aziende e degli enti mondiali. L’Italia è il secondo Paese al mondo più colpito, preceduta dagli Stati Uniti.
Questo tipo di truffa può includere anche altre illeciti, come il phishing, l’e-mail spoofing, le fatture contraffatte, nelle quali, ad esempio, viene sostituito l’IBAN di un fornitore con quello del cyber criminale o l’autorizzazione di pagamenti o di altre operazioni disposta dal finto CEO.
L’azienda, però, prima di investire ingenti somme nella cybersicurezza per difendersi dagli attacchi esterni, deve necessariamente verificare l’affidabilità dei propri dipendenti. Questo tipo di truffa, infatti, più di ogni altra, si basa sulla complicità dei dipendenti infedeli.
I cyber criminali spesso contattano direttamente i dipendenti dell’azienda di interesse tramite LinkedIn o altri siti e social, corrompendoli con promesse di denaro in cambio di credenziali di accesso o altre informazioni rilevanti che possano facilitare un attacco informatico o un atto di concorrenza sleale.
Le conseguenze di questo tipo di attacchi sulla reputazione aziendale, inoltre, possono essere devastanti.
Gli investigatori privati sono chiamati spesso ad intervenire in casi simili. I controlli difensivi, mirati a prevenire, ad individuare e a contrastare gli illeciti dei dipendenti, vengono effettuati, in questi casi, con delle attività di monitoraggio e di pedinamento, con delle attività di business intelligence e con delle attività di cybersecurity, per l’analisi dei rischi informatici e la valutazione dei danni.
Il report investigativo finale contiene tutti gli elementi riconducibili all’illecito, alle sue modalità di attuazione ed ovviamente ai suoi responsabili. Il dossier ha valore probatorio e il datore di lavoro può produrlo in giudizio per tutelare i propri diritti e dimostrare l’inaffidabilità dei dipendenti coinvolti.
Con le modifiche apportate all’art. 4 dello Statuto dei Lavoratori dall’art. 23 del Dlgs 151/2015, attuativo del Jobs Act poi integrato dal Dlgs 185/2016, il datore di lavoro è autorizzato ad effettuare dei controlli sui dispositivi informatici utilizzati dai dipendenti. Le informazioni così raccolte possono essere utilizzate per tutti gli scopi connessi al rapporto di lavoro, anche quelli disciplinari.
La Cyber security può funzionare correttamente solo se le misure tecniche adottate dall’azienda sono affiancate dalle misure che tutelano, perfezionano e curano lo human factor, il “fattore umano”.
Come possono intervenire gli investigatori privati, in questi casi?
