Negli incidenti informatici che presentano possibile rilevanza criminale, la distruzione delle prove, nella prassi ordinaria, non avviene quasi mai per dolo, ma spesso per errore, fretta o pressione organizzativa.

È nei primi momenti, e attraverso i comportamenti del personale aziendale, che si decide se un’organizzazione sarà in grado di ricostruire i fatti o resterà priva di elementi difensivi credibili.

Ecco il ruolo fondamentale delle persone ed in particolare del personale non tecnico e quindi meno esperto sotto il profilo forense o investigativo, delle procedure e della cultura organizzativa nella gestione iniziale dell’incidente.

Ed ecco perché formazione, disciplina e responsabilità condivisa sono oggi componenti essenziali della sicurezza richiesta dalla NIS 2.

La cultura interna come misura di sicurezza

Quando si parla di incidenti informatici con possibile rilevanza criminale, l’attenzione tende a concentrarsi sugli strumenti tecnici e sugli esperti forensi.

Si immagina che la fase decisiva sia quella dell’analisi, quando i professionisti entrano in scena.

In realtà, molto spesso, il destino dell’indagine e la posizione dell’organizzazione vengono decisi prima, nei gesti compiuti in buona fede da chi si trova per primo davanti al problema.

La gestione iniziale di un incidente non è una questione di competenza tecnica, ma di comportamento.

È qui che emerge la differenza tra un’organizzazione che improvvisa e una che governa ed è qui che la cultura interna diventa una vera misura di sicurezza.

Gli errori invisibili che distruggono la prova

Uno degli aspetti più insidiosi degli incidenti con possibile rilevanza criminale è che la compromissione delle prove avviene spesso senza che nessuno se ne accorga.

Non c’è alcuna intenzione di occultare né la volontà di alterare i fatti, ma solo l’urgenza di ripristinare, la pressione del tempo e il timore di apparire inadempienti o di aumentare la portata del danno.

Azioni apparentemente innocue come eseguire comandi “per capire cosa non va”, aprire e chiudere file sospetti, cancellare elementi ritenuti inutili o procedere immediatamente al ripristino da backup possono alterare in modo potenzialmente irreversibileinterpretate log, timestamp e dati di sistema.

Il risultato è una scena digitale contaminata, in cui diventa difficile distinguere ciò che è accaduto prima dell’incidente da ciò che è avvenuto dopo.

In questi casi, la perdita di valore probatorio non è frutto di incompetenza, ma di inconsapevolezza.

La scena del crimine digitale come chiave culturale

Quando un incidente assume potenziali profili criminali, il sistema informativo coinvolto diventa, a tutti gli effetti, una “scena del crimine digitale”.

Questa non è solo una metafora suggestiva ma un principio operativo che va interiorizzato.

Così come nessuno entrerebbe in una scena del crimine fisico spostando oggetti o cancellando tracce, allo stesso modo un sistema compromesso richiede:

• cautela;
• rispetto;
• metodo.

Interiorizzare questo concetto aiuta il personale a comprendere perché azioni normalmente accettabili diventino, in quel contesto, inaccettabili o addirittura essere potenzialmente ambigue o suscettibili di fraintendimento.

Non si tratta di paralizzare l’operatività, ma di agire con consapevolezza, sapendo che ogni intervento modifica lo stato dei fatti.

Procedure e formazione: dalla carta al comportamento

Molte organizzazioni dispongono di procedure di gestione degli incidenti formalmente corrette, ma che talvolta risultano inefficaci nella pratica poiché una procedura che resta sulla carta non guida il comportamento sotto stress che si genera inevitabilmente in situazioni di emergenza.

Le procedure realmente efficaci sono quelle costruite sulle reali capacità delle persone che devono:

• indicare con precisione cosa fare e cosa non fare nei primi minuti;
• essere ripetute, simulate e interiorizzate.

Una procedura troppo complessa viene ignorata mentre una procedura semplice ha maggiori probabilità di essere eseguita.

La procedura va poi spiegata attraverso una specifica attività di formazione che non può essere ridotta a una lezione teorica anche perché la gestione dei primi minuti si apprende proprio attraverso l’addestramento che comprenda almeno simulazioni, esercitazioni, scenari guidati che consentono alle persone di sperimentare l’incidente in un contesto controllato.

Le simulazioni devono comprendere diversi scenari come, per esempio, la gestione di un evento potenzialmente criminale in condizioni di smart working.

Tutte le attività di informazione e formazione, comprese le simulazioni è opportuno che siano registrate.

L’argomento potrebbe essere anche affrontato nel corso della giornata dedicata alla cyber sicurezza.

Leadership, segnalazione e clima organizzativo

Un fattore spesso sottovalutato è la pressione gerarchica. In molte organizzazioni, gli errori più gravi nascono perché qualcuno chiede di “risolvere subito” e di non interrompere l’operatività.

In questo contesto, il personale è portato a intervenire in modo affrettato, sacrificando la preservazione delle prove.

Pertanto, i responsabili hanno un ruolo decisivo nel creare lo spazio temporale e decisionale per fare la cosa giusta non solo quella veloce.

Questo significa sostenere chi segnala un’anomalia, anche quando la soluzione immediata sembra più conveniente.

Allo stesso modo, la segnalazione interna deve essere percepita come un atto di responsabilità e mai come una colpa.

Comportamenti corretti come tutela dell’organizzazione

Il modo in cui il personale agisce nei primi minuti ha un valore che va ben oltre l’aspetto tecnico.

In un contesto di valutazione giuridica o istituzionale, poter dimostrare che il personale era formato, che le procedure erano note, che i comportamenti iniziali sono stati corretti e che le azioni sono state documentate costituisce un elemento difensivo rilevante per l’organizzazione.

Quando arrivano gli esperti forensi, un ambiente ordinato, con sistemi correttamente isolati e documentazione disponibile, consente analisi più rapide e affidabili.

Al contrario, un contesto caotico e già alterato rende l’indagine più complessa e indebolisce la posizione dell’organizzazione.

La responsabilità organizzativa, come è quella rafforzata dalla NIS 2, si costruisce attraverso comportamenti individuali coerenti e ripetibili.

La qualità della cultura organizzativa

Nei primi minuti di un incidente informatico con possibile rilevanza criminale si decide molto più di quanto si immagini.

In quella fase non si misura la competenza tecnica, ma la qualità della cultura organizzativa.

Sapere cosa non fare, preservare senza distruggere, documentare, segnalare senza paura e agire con metodo sono gesti semplici ma potenti, che possono fare la differenza tra un’organizzazione che subisce l’incidente e una che lo governa.

La sicurezza richiesta dalla NIS 2 non è solo tecnologia o conformità normativa ma è, prima di tutto, comportamento umano consapevole.

Nel prossimo articolo l’attenzione si sposterà sul passaggio più delicato dell’intero sistema forense: la catena di custodia.

Si vedrà perché, senza una gestione rigorosa, documentata e continua delle evidenze, anche il dato tecnicamente più corretto perde identità, valore probatorio e credibilità giuridica.