Contrastare i furti di proprietà intellettuale (know how, marchi, disegni, modelli, ecc) con l’Intelligence Digitale
30 ottobre 2015
Le aziende che sviluppano la propria attività commerciale ed industriale anche e soprattutto avvalendosi di
progetti, marchi e design (ma anche brevetti) devono porre grande attenzione a come difendere in modo appropriato questo loro importante patrimonio informativo oltre a quello, naturalmente, dei
files relativi sia ai clienti e fornitori, che ai cosiddetti corporate data, tanto finanziari che di bilancio.
E’ noto, infatti, come lo spionaggio aziendale di natura digitale agisce in una forma
malignamente invisibile, producendo danni talora non riparabili. Si va:
- da quelli di immagine e reputazionali connessi con la perdita di
fiducia sia da parte dei clienti (ovvero perché l’attacco digitale ha riguardato
apparecchiature ed impianti venduti e già in funzione) sia da parte dei
dipendenti e degli stakeholders tutti;
- a quelli legali, per azioni che potrebbero essere intentate da terzi;
- a quelli economico-finanziari per interruzione dell’attività, ovvero per
l’onere di compensi ricattatori richiesti per il ripristino della funzionalità
dei sistemi.
Da qui l’importanza della protezione per gli assets rappresentati dalle informazioni secretate e, più in generale, per i
segreti industriali. In proposito vale citare la pubblicazione dell’OCSE “La gestione del rischio nella sicurezza digitale per una prosperità economica e sociale”, nella quale, rivolgendosi con raccomandazioni a governi ed imprese - sembra voler ricordare che alla
maggiore professionalizzazione da parte degli intrusori digitali è necessario rispondere con una più attenta e continue forme di difesa.
E lo stesso Parlamento Europeo ha recentemente avanzato la proposta di una Direttiva
ad hoc. Dato che – oggi - si constata che, a fronte di paesi che hanno legiferato specificamente a protezione dei segreti industriali, altri non ne hanno neppure fornito una definizione legale, e tanto meno approvato la normativa che ne consente la protezione.
Al punto 7 di tale Report on the Proposal for a directive of European Parliament
si legge infatti: “The differences in legal protection of trade secrets provided for by the Member States imply that trade secrets do not enjoy an equivalent level of protection throughout the Union, thus leading to fragmentation of the internal market in this area and weakening the overall deterrent effect of the rules”.
Il testo continua poi soffermandosi sulle negative implicazioni micro e macroeconomiche che ne discendono, a motivo del fatto che tali differenti forme di protezione riducono l’incentivo a sviluppare attività imprenditoriali transfrontaliere nel settore dell’innovazione, tanto nel campo della ricerca che in quello della produzione, laddove tali attività dipendano grandemente dall’utilizzo di segreti industriali (N1).
E vi si legge: “ In addition higher business risk appears in Member States with comparatively lower levels of protection, whether trade secrets may be stolen or otherwise unlawfully acquired more easily.”
Tale report giunge quindi ad una prima conclusione sottolineando come siffatta situazione generi
costi aggiuntivi di protezione aziendale per coprire il gap relativo a quella (insufficiente) di natura legale. Al riguardo si pensi agli oggettivi limiti protettivi ottenibili con la firma di un Undisclosure and Non Circumvention Agreement, in particolare se relativo al rilascio di informazioni confidenziali attinenti modelli o disegni di prodotto.
Passando dunque a tali (maggiori) costi di protezione, rileviamo che sono in generale ascrivibili alla necessità di doversi dotare di idonei strumenti (hardware software) per l’individuazione in primo luogo degli attacchi
cyber in arrivo – talora operati attraverso l’introduzione di back door Trojan - , nonché – laddove richiesto - per la creazione di una difesa estesa sia alla
counterintelligence che alla prevenzione del cyber warfare. In considerazione del fatto che il
malware ricerca informazioni aziendali ad ampio spetto, gli attacchi vengono sovente estesi anche ai
server mail. Gli attacchi vengono infatti perpetrati spesso tramite innocue mail ricevute da
indirizzi conosciuti, ma relativi ad entità aziendali sprovviste di idonee difese digitali (N2).
La protezione viene in generale applicata con soluzioni personalizzate e mirate a prevenire/bloccare possibili azioni quali: accesso non autorizzato, uso delle informazioni secretate, loro distruzione, modifica, ovvero
disclosing a terze parti. In effetti le finalità con le quali gli attacchi cyber vengono realizzati mirano per lo più alla sottrazione per successiva cessione a concorrenti o rivali, anche con rischio di
brevettazione – o registrazione del marchio all’estero – con tempistiche anticipate rispetto a quelle cui dovrebbe attenersi l’azienda titolare.
Le cause risiedono anche nel comportamento delle risorse umane, o male addestrate, ovvero non consapevoli della reale portata del rischio digitale, ovvero distratte se non negligenti. (Secondo una recente ricerca, una percentuale molto elevata dei dipendenti di un'azienda, fa uso di applicazioni per programmi software senza averne l’autorizzazione).
Si tratta in sintesi di un costo che prevede l’implementazione di sistemi per il monitoraggio della
continua integrità dei dati aziendali, e per tenere in continuo aggiornamento le stesse soluzioni per la sicurezza.
Esistono però situazioni nelle quali tali protezioni assumono un rilievo strategico. Se ci riferiamo al
know how relativo alla produzione di un nuovo prodotto, dobbiamo infatti ricordare che in particolari casi potrebbe anche non risultare vantaggioso brevettarlo, ma cercare di mantenerne del tutto secretati i
dati sensibili. Ciò vale in particolare se consideriamo il campo delle applicazioni con coinvolgimento della cibernetica, allorchè:
- si possa brevettare la sola modalità di utilizzo di un ritrovato, mantenendo
segreto appunto il complesso di formule e soluzioni tecnico-operative che ne
descrivono il contenuto, così da potere evitarne i rischi di contraffazione;
- non si disponga dei mezzi tecnologici e conoscitivi idonei a potere
individuare, esaminare e contrastare legalmente eventuali contraffazioni di
brevetto, in particolare se realizzate in contesti aziendali o nazionali poco
permeabili a tali fini;
- il dispendio di risorse finanziarie per una brevettazione estesa a livello
internazionale per una piccola azienda non sia giustificato dalle iniziali
previsioni di vendita del nuovo prodotto.
Ma si può al contrario ritardare l’inveramento – ovvero ridurre l’incidenza - di tali costi
mantenendosi costantemente e pienamente aggiornati sulle continue e veloci evoluzioni dei
malware, ad esempio accedendo con costanza alle informazioni di prima mano ora rese disponibili nel nostro paese dal Computer Emergency Response Team (CERT Nazionale Italia), e
cooperando con esso.
Trattasi di un gruppo operativo di relativamente recente costituzione presso il
Ministero dello Sviluppo Economico che, come si legge nel relativo sito (www.certnazionale.it), “sulla base di un modello cooperativo pubblico-privato, supporta cittadini e imprese attraverso azioni di sensibilizzazione, di prevenzione e di coordinamento della risposta ad eventi cibernetici su vasta scala”. I principali obiettivi del CERT nazionale essendo:
- fornire informazioni tempestive su potenziali minacce informatiche che
possano recare danno a imprese e cittadini;
- cooperare con istituzioni analoghe, nazionali ed internazionali e con altri
attori pubblici e privati coinvolti nella sicurezza informatica;
- facilitare la risposta ad incidenti informatici su larga scala;
- fornire informazioni a imprese e cittadini;
- fornire supporto nel processo di soluzione di crisi cibernetica.
(N1) Il nostro Codice della Proprietà Industriale dedica una intera sezione alle informazioni segrete.
SEZIONE VII - Informazioni segrete Art. 98. Oggetto della tutela
- Costituiscono oggetto di tutela le informazioni aziendali e le esperienze
tecnico-industriali, comprese quelle commerciali, soggette al legittimo
controllo del detentore, ove tali informazioni:
- a) siano segrete, nel senso che non siano nel loro insieme o nella
precisa configurazione e combinazione dei loro elementi generalmente note o
facilmente accessibili agli esperti ed agli operatori del settore;
- b) abbiano valore economico in quanto segrete;
- c) siano sottoposte, da parte delle persone al cui legittimo controllo
sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle
segrete.
- Costituiscono altresì oggetto di protezione i dati relativi a prove o altri
dati segreti, la cui elaborazione comporti un considerevole impegno ed alla cui
presentazione sia subordinata l'autorizzazione dell'immissione in commercio di
prodotti chimici, farmaceutici o agricoli implicanti l'uso di nuove sostanze
chimiche.
Art. 99. Tutela (1)
- Ferma la disciplina della concorrenza sleale, il legittimo detentore delle
informazioni e delle esperienze aziendali di cui all'articolo 98, ha il diritto
di vietare ai terzi, salvo proprio consenso, di acquisire, rivelare a terzi od
utilizzare, in modo abusivo, tali informazioni ed esperienze, salvo il caso in
cui esse siano state conseguite in modo indipendente dal terzo.
(N2) Da ultimo è doveroso ricordare che gli intrusori digitali che agiscono con finalità di spionaggio industriale possono assumere la veste di privati, o di entità non statali , ovvero di
entità statali. La possibilità di “rubare digitalmente” informazioni tecnologiche - o strategiche di altro tipo - fornisce infatti ad un paese un
vantaggio competitivo che potrebbe non riuscire procurarsi in altro modo, ovvero solo sostenendo
costi politici molto elevati. Tanto che le prime due potenze economiche mondiali - USA e Cina - hanno recentemente firmato un accordo specificamente mirato a stabilire condizioni di
fair play spionistico tra di loro: per quanto tali tipi di accordi possano valere…
|