Ci sono cose difficili da comprendere.
Tra queste c’è l’insostenibile leggerezza del consulente che tenta di argomentare, come scivolando sul vetro, soluzioni e proposte che non hanno ragione d’essere e, a volte, sono semplicemente sbagliate.
“C’è chi dice che sia una semplice questione di conoscenza: se non sai, non puoi consigliare nulla”.
Più probabilmente sono interpretazioni e soluzioni frettolosamente sviluppate; poi magari il consulente ci pensa sopra e comprende di non aver colto nel segno, ma ovviamente insiste nel difendere la propria creazione anche quando è chiuso nell’angolo.
L’esempio di scuola è quello dei delitti informatici di cui all’art. 24-bis del D. Lgs. 231/01; la Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, è stata adottata dal nostro paese nel 2008, introducendo una nuova famiglia di reati quali reati presupposto della responsabilità amministrativa delle società.
Sarebbe bastata una semplice e rapida lettura del testo di questi reati, come dei documenti di accompagnamento del disegno di legge, per comprendere che si tratta per lo più di atti criminali a danno di dati e sistemi. Il fascicolo del Servizi Studi della Camera dei Deputati [n. 249 del 24 settembre 2007, A.C. 2807] chiarisce il concetto già nelle prime pagine: si tratta, per citare un caso a titolo esemplificativo, di danneggiamento di sistemi informatici o telematici altrui. Buon senso direbbe che quindi, per quanto riguarda la responsabilità amministrativa delle società, stiamo parlando di danneggiamento di sistemi informatici o telematici altrui con interesse o procurato vantaggio per la società i cui soggetti apicali o i dipendenti hanno commesso il reato.
Insomma, stiamo parlando di attività sensibili caratterizzate da una condotta criminale particolarmente grave, con una componente psicologica dolosa evidentemente forte e che richiedono tra l’altro una competenza tecnica e strumentazione sofisticata per essere portate a segno; il tutto – non dimentichiamo – procurando danni ad altri e interesse o vantaggio per chi mette in atto questi comportamenti criminali.
Ti aspetteresti di non trovare situazioni di questo tipo nelle aziende comuni:
- primo perché non è facile immaginare perché mai un’azienda industriale che fa laminati si metta a pensare, in qualche modo, a danneggiare e rendere inservibili i dati e i sistemi del concorrente per averne un vantaggio;
- secondo perché la competenza media IT degli utenti in azienda rende ricche le società che fanno outsourcing dell’Help Desk IT.
Invece prendi la Parte Speciale dedicata ai delitti informatici e ci trovi venti pagine di protocolli di controllo a presidio dei propri sistemi dagli attacchi altrui, insomma una manuale di sicurezza informatica degna dei servizi tecnologici di una banca nazionale. Che poi, per carità, non c’è niente di male a proteggere i propri sistemi dagli attacchi altrui, anzi è cosa buona e giusta. Semplicemente non c’entra nulla con i reati informatici commessi a danno dei dati e sistemi altrui con proprio interesse o vantaggio, insomma con un proprio beneficio o tornaconto.
A quel punto fai un bel respiro e chiedi al consulente che ti ha preceduto [brutta storia trovarsi in questa situazione, ma capita] perché mai si sia imposto al cliente di adottare un ISO 27001 a protezione dei propri sistemi e delle proprie informazioni se al massimo ciò che rilevava erano i dati e i sistemi altrui. L’insostenibile leggerezza del consulente allora ti guarda e ti spiega che è tutto necessario per proteggere in via precauzionale il traffico Internet in uscita su un normale browser e i messaggi di posta elettronica in uscita, perché – non si sa mai – potrebbero contenere un virus che passiamo ad altri.
Mai che invece dica che si è trattata di una mera iniziativa commerciale di bassa lega: il cliente voleva un semplice taglio e piega, ma lo hai convinto a fare anche il colore.
