Negli incidenti informatici che possono assumere rilievo penale, la perdita delle prove digitali non è quasi mai il risultato di un’azione intenzionale: è proprio nei primi istanti dell’evento, e attraverso i comportamenti delle persone coinvolte, che si decide se un’organizzazione sarà in grado di ricostruire l’accaduto o se, al contrario, resterà priva di elementi probatori credibili. In questo scenario, il ruolo del personale aziendale (in particolare di quello non tecnico) diventa centrale, così come quello delle procedure e della cultura organizzativa. Non a caso, formazione, disciplina operativa e responsabilità condivisa rappresentano oggi pilastri fondamentali della sicurezza richiesta dalla direttiva NIS 2.

Quando si affrontano incidenti informatici con possibili implicazioni criminali, l’attenzione tende a concentrarsi sugli strumenti tecnologici e sull’intervento degli specialisti forensi. Si dà per scontato che la fase decisiva coincida con l’analisi tecnica svolta dagli esperti. In realtà, molto spesso l’esito dell’indagine e la posizione dell’organizzazione si determinano prima, attraverso le azioni di chi si trova per primo a gestire l’anomalia. La fase iniziale di un incidente non richiede competenze altamente specialistiche, ma comportamenti corretti e consapevoli. È qui che emerge la differenza tra un’organizzazione che reagisce in modo improvvisato e una che sa governare l’emergenza, trasformando la propria cultura interna in una vera misura di sicurezza.

Uno degli aspetti più insidiosi di questi eventi è la facilità con cui le prove possono essere compromesse senza che nessuno ne abbia piena consapevolezza. L’urgenza di “sistemare” il problema, la paura di aggravare il danno o di apparire inadempienti portano spesso a compiere azioni apparentemente innocue: eseguire comandi per capire cosa stia accadendo, aprire o chiudere file sospetti, cancellare dati ritenuti superflui o procedere immediatamente al ripristino da backup. Tuttavia, questi interventi possono alterare in modo irreversibile log, marcature temporali e informazioni di sistema, contaminando la scena digitale e rendendo difficile distinguere ciò che è avvenuto prima dell’incidente da ciò che è successo dopo. In questi casi, la perdita del valore probatorio non dipende dall’incompetenza, ma dalla mancanza di consapevolezza.

Per questo motivo, quando un evento informatico presenta possibili profili criminali, il sistema coinvolto deve essere considerato come una vera e propria “scena del crimine digitale”. Non si tratta di una semplice metafora, ma di un principio operativo che dovrebbe essere interiorizzato da tutto il personale. Così come nessuno interverrebbe su una scena del crimine fisica spostando oggetti o cancellando tracce, allo stesso modo un sistema compromesso richiede cautela, rispetto e metodo. Comprendere questo concetto aiuta a capire perché azioni normalmente accettabili diventino, in quel contesto, inappropriate o potenzialmente ambigue.

Molte organizzazioni dispongono di procedure formalmente corrette per la gestione degli incidenti, ma spesso inefficaci nella pratica: una procedura che resta sulla carta non guida il comportamento in situazioni di stress. Quelle davvero utili sono semplici, chiare e costruite sulle reali capacità delle persone: devono indicare con precisione cosa fare e cosa evitare nei primi minuti ed essere ripetute, simulate e interiorizzate: di fatto, la formazione non può limitarsi alla teoria, ma deve includere esercitazioni e simulazioni, anche in scenari complessi come lo smart working, affinché i comportamenti corretti diventino automatici.

Un ulteriore elemento critico è rappresentato dalla pressione gerarchica: la richiesta di “risolvere subito” può indurre interventi affrettati che compromettono le prove, dunque, i responsabili hanno quindi il compito di creare uno spazio decisionale che consenta di fare la scelta giusta, non solo quella più rapida, valorizzando la segnalazione interna come atto di responsabilità e non come colpa. In definitiva, la sicurezza richiesta dalla NIS 2 non si esaurisce nella tecnologia o nella conformità normativa, ma si fonda soprattutto sulla qualità della cultura organizzativa e sulla consapevolezza dei comportamenti umani.

 

Visualizzazioni: 3