Perché lo spionaggio aziendale continua ad essere ignorato (Il Sole 24Ore)

di Antonino Vaccaro, del 11 giugno 2020

Non c’è dubbio che lo spionaggio aziendale sia un tema poco considerato dalla classe dirigente italiana. Basta controllare attentamente le notizie della stampa nazionale degli ultimi anni. A parte qualche fulmineo e superficiale interessamento, la questione è relegata a pochissimi specialisti, per lo più lontani dal mondo del business.
Eppure lo spionaggio aziendale è un problema rilevante per la sicurezza della nostra economia nazionale. Il rapporto annuale al Parlamento del Sistema di Informazione per la Sicurezza della Repubblica (per intenderci, i nostri servizi segreti) di un paio di anni fa sottolineava chiaramente “la persistente esposizione ad iniziative di spionaggio industriale, specie con modalità cyber agevolate dalla digitalizzazione pressoché integrale dei processi produttivi e più pervasive nei confronti delle piccole e medie imprese”.
Purtroppo sono tantissime le istituzioni, governative e private, che nemmeno accennano a tali problematiche nelle mappe di rischio dei propri modelli di compliance. Per dirla in termini più semplici, nella gran parte dei casi, lo spionaggio industriale è fuori dai radar di chi è deputato alla sicurezza organizzativa.
Nel corso di un decennale progetto di ricerca (i cui risultati sono stati recentemente pubblicati nel libro “Lo Spionaggio Aziendale”, edito per i tipi di Rubbettino), ho provato ad identificare e caratterizzare le dinamiche più importanti associate a questa attività illecita.
Un primo elemento che merita una riflessione attenta riguarda la dimensione socio-culturale. L’evidenza empirica di oltre cinquanta casi su cui ho avuto modo di lavorare, sia come ricercatore che come professionista, ha mostrato la scarsissima sensibilità dei middle e top manager al valore dell’informazione. Sono rari i casi di imprese che adottano dei seri piani di information governance. Informazioni sensibili, di tipo tecnologico e commerciale, sono spesso nella disponibilità di gran parte della forza lavoro. Basta per esempio prendere un treno pendolari con un po’ di assiduità, ascoltare le conversazioni (con relative sempre presenti lamentele) dei lavoratori di un’impresa, per acquisire informazione sensibile e di grande valore per i competitor diretti dell’azienda stessa.
La seconda dimensione è relativa ai sistemi di protezione dai cosiddetti “elementi di contatto” (boundary elements). Sono tantissimi i casi su cui ho lavorato, anche in contesti penali, in cui l’informazione sensibile è stata acquisita da consulenti, fornitori o persino stagisti. È una delle tante conseguenze nefaste dell’era dell’outsourcing. Molte funzioni aziendali sono sempre più esternalizzate, lasciando i manager d’impresa a funzioni puramente gestionali (per non dire meramente burocratiche) con la conseguente fuoriuscita di informazione sensibile su cui ovviamente viene perso completamente il controllo.
La terza dimensione è tecnologica. Su questo punto val la pena condividere due considerazioni. La prima, sono tantissime le imprese italiane, soprattutto di piccole e medie dimensioni, che sottovalutano l’importanza della cyber-security. Ricordo almeno una dozzina di casi in cui informazioni preziose sono state facilmente rubate perché il management aveva scelto sistemi di protezione virtuale di scarsissima qualità. C’è poi una questione ancora più complicata, quella dei partner. È questo per esempio, il caso del colosso americano Target che ha perso, in seguito ad un attacco cyber, 40 milioni di numeri di carte di credito con relativi codici di sicurezza. In quel caso la porta di accesso dei cyber-criminali era stato il computer sgangherato di un piccolissimo fornitore che si occupava dell’installazione e mantenimento di sistemi di refrigerazione. Incredibile ma vero.
Vorrei accennare anche al ruolo dei governi nazionali e dei relativi servizi segreti. Tra il 2006 ed il 2013, secondo un report della Mandiant, l’Unità 61398, che fa parte dello Stato Maggiore della Difesa Cinese, è stata responsabile dell’intrusione cibernetica in almeno 141 imprese, di cui 115 localizzate negli Stati Uniti, 7 in Canada e Inghilterra, in 20 differenti industrie. Sebbene dati così dettagliati non siano disponibili per il contesto europeo ed italiano, è difficile credere che tali attività abbiano riguardato solamente i paesi anglosassoni.
Non dobbiamo mai dimenticare che l’Italia è la seconda potenza industriale d’Europa e che il nostro patrimonio tecnologico e scientifico fa gola a molti, soprattutto a tanti paesi, vicini e lontani, che vedono nell’Italia una terra di conquista e di potenziale arricchimento.