Contrastare i furti di proprietà intellettuale (know how, marchi, disegni, modelli, ecc) con l’Intelligence Digitale

30 ottobre 2015

Le aziende che sviluppano la propria attività commerciale ed industriale anche e soprattutto avvalendosi di progetti, marchi e design (ma anche brevetti) devono porre grande attenzione a come difendere in modo appropriato questo loro importante patrimonio informativo oltre a quello, naturalmente, dei files relativi sia ai clienti e fornitori, che ai cosiddetti corporate data, tanto finanziari che di bilancio.
E’ noto, infatti, come lo spionaggio aziendale di natura digitale agisce in una forma malignamente invisibile, producendo danni talora non riparabili. Si va:

  • da quelli di immagine e reputazionali connessi con la perdita di fiducia sia da parte dei clienti (ovvero perché l’attacco digitale ha riguardato apparecchiature ed impianti venduti e già in funzione) sia da parte dei dipendenti e degli stakeholders tutti;
  • a quelli legali, per azioni che potrebbero essere intentate da terzi;
  • a quelli economico-finanziari per interruzione dell’attività, ovvero per l’onere di compensi ricattatori richiesti per il ripristino della funzionalità dei sistemi.
Da qui l’importanza della protezione per gli assets rappresentati dalle informazioni secretate e, più in generale, per i segreti industriali. In proposito vale citare la pubblicazione dell’OCSE “La gestione del rischio nella sicurezza digitale per una prosperità economica e sociale”, nella quale, rivolgendosi con raccomandazioni a governi ed imprese - sembra voler ricordare che alla maggiore professionalizzazione da parte degli intrusori digitali è necessario rispondere con una più attenta e continue forme di difesa.
E lo stesso Parlamento Europeo ha recentemente avanzato la proposta di una Direttiva ad hoc. Dato che – oggi - si constata che, a fronte di paesi che hanno legiferato specificamente a protezione dei segreti industriali, altri non ne hanno neppure fornito una definizione legale, e tanto meno approvato la normativa che ne consente la protezione.
Al punto 7 di tale Report on the Proposal for a directive of European Parliament si legge infatti: “The differences in legal protection of trade secrets provided for by the Member States imply that trade secrets do not enjoy an equivalent level of protection throughout the Union, thus leading to fragmentation of the internal market in this area and weakening the overall deterrent effect of the rules”.
Il testo continua poi soffermandosi sulle negative implicazioni micro e macroeconomiche che ne discendono, a motivo del fatto che tali differenti forme di protezione riducono l’incentivo a sviluppare attività imprenditoriali transfrontaliere nel settore dell’innovazione, tanto nel campo della ricerca che in quello della produzione, laddove tali attività dipendano grandemente dall’utilizzo di segreti industriali (N1).
E vi si legge: “ In addition higher business risk appears in Member States with comparatively lower levels of protection, whether trade secrets may be stolen or otherwise unlawfully acquired more easily.”
Tale report giunge quindi ad una prima conclusione sottolineando come siffatta situazione generi costi aggiuntivi di protezione aziendale per coprire il gap relativo a quella (insufficiente) di natura legale. Al riguardo si pensi agli oggettivi limiti protettivi ottenibili con la firma di un Undisclosure and Non Circumvention Agreement, in particolare se relativo al rilascio di informazioni confidenziali attinenti modelli o disegni di prodotto.
Passando dunque a tali (maggiori) costi di protezione, rileviamo che sono in generale ascrivibili alla necessità di doversi dotare di idonei strumenti (hardware software) per l’individuazione in primo luogo degli attacchi cyber in arrivo – talora operati attraverso l’introduzione di back door Trojan - , nonché – laddove richiesto - per la creazione di una difesa estesa sia alla counterintelligence che alla prevenzione del cyber warfare. In considerazione del fatto che il malware ricerca informazioni aziendali ad ampio spetto, gli attacchi vengono sovente estesi anche ai server mail. Gli attacchi vengono infatti perpetrati spesso tramite innocue mail ricevute da indirizzi conosciuti, ma relativi ad entità aziendali sprovviste di idonee difese digitali (N2).
La protezione viene in generale applicata con soluzioni personalizzate e mirate a prevenire/bloccare possibili azioni quali: accesso non autorizzato, uso delle informazioni secretate, loro distruzione, modifica, ovvero disclosing a terze parti. In effetti le finalità con le quali gli attacchi cyber vengono realizzati mirano per lo più alla sottrazione per successiva cessione a concorrenti o rivali, anche con rischio di brevettazione – o registrazione del marchio all’estero – con tempistiche anticipate rispetto a quelle cui dovrebbe attenersi l’azienda titolare.
Le cause risiedono anche nel comportamento delle risorse umane, o male addestrate, ovvero non consapevoli della reale portata del rischio digitale, ovvero distratte se non negligenti. (Secondo una recente ricerca, una percentuale molto elevata dei dipendenti di un'azienda, fa uso di applicazioni per programmi software senza averne l’autorizzazione).
Si tratta in sintesi di un costo che prevede l’implementazione di sistemi per il monitoraggio della continua integrità dei dati aziendali, e per tenere in continuo aggiornamento le stesse soluzioni per la sicurezza.
Esistono però situazioni nelle quali tali protezioni assumono un rilievo strategico. Se ci riferiamo al know how relativo alla produzione di un nuovo prodotto, dobbiamo infatti ricordare che in particolari casi potrebbe anche non risultare vantaggioso brevettarlo, ma cercare di mantenerne del tutto secretati i dati sensibili. Ciò vale in particolare se consideriamo il campo delle applicazioni con coinvolgimento della cibernetica, allorchè:
  • si possa brevettare la sola modalità di utilizzo di un ritrovato, mantenendo segreto appunto il complesso di formule e soluzioni tecnico-operative che ne descrivono il contenuto, così da potere evitarne i rischi di contraffazione;
  • non si disponga dei mezzi tecnologici e conoscitivi idonei a potere individuare, esaminare e contrastare legalmente eventuali contraffazioni di brevetto, in particolare se realizzate in contesti aziendali o nazionali poco permeabili a tali fini;
  • il dispendio di risorse finanziarie per una brevettazione estesa a livello internazionale per una piccola azienda non sia giustificato dalle iniziali previsioni di vendita del nuovo prodotto.

Ma si può al contrario ritardare l’inveramentoovvero ridurre l’incidenza - di tali costi mantenendosi costantemente e pienamente aggiornati sulle continue e veloci evoluzioni dei malware, ad esempio accedendo con costanza alle informazioni di prima mano ora rese disponibili nel nostro paese dal Computer Emergency Response Team (CERT Nazionale Italia), e cooperando con esso.
Trattasi di un gruppo operativo di relativamente recente costituzione presso il Ministero dello Sviluppo Economico che, come si legge nel relativo sito (www.certnazionale.it), “sulla base di un modello cooperativo pubblico-privato, supporta cittadini e imprese attraverso azioni di sensibilizzazione, di prevenzione e di coordinamento della risposta ad eventi cibernetici su vasta scala”. I principali obiettivi del CERT nazionale essendo:
  • fornire informazioni tempestive su potenziali minacce informatiche che possano recare danno a imprese e cittadini;
  • cooperare con istituzioni analoghe, nazionali ed internazionali e con altri attori pubblici e privati coinvolti nella sicurezza informatica;
  • facilitare la risposta ad incidenti informatici su larga scala;
  • fornire informazioni a imprese e cittadini;
  • fornire supporto nel processo di soluzione di crisi cibernetica.



(N1) Il nostro Codice della Proprietà Industriale dedica una intera sezione alle informazioni segrete.
SEZIONE VII - Informazioni segrete
Art. 98. Oggetto della tutela
  1. Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni:
    • a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
    • b) abbiano valore economico in quanto segrete;
    • c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.
  2. Costituiscono altresì oggetto di protezione i dati relativi a prove o altri dati segreti, la cui elaborazione comporti un considerevole impegno ed alla cui presentazione sia subordinata l'autorizzazione dell'immissione in commercio di prodotti chimici, farmaceutici o agricoli implicanti l'uso di nuove sostanze chimiche.
Art. 99. Tutela (1)
  1. Ferma la disciplina della concorrenza sleale, il legittimo detentore delle informazioni e delle esperienze aziendali di cui all'articolo 98, ha il diritto di vietare ai terzi, salvo proprio consenso, di acquisire, rivelare a terzi od utilizzare, in modo abusivo, tali informazioni ed esperienze, salvo il caso in cui esse siano state conseguite in modo indipendente dal terzo.

(N2) Da ultimo è doveroso ricordare che gli intrusori digitali che agiscono con finalità di spionaggio industriale possono assumere la veste di privati, o di entità non statali , ovvero di entità statali. La possibilità di “rubare digitalmente” informazioni tecnologiche - o strategiche di altro tipo - fornisce infatti ad un paese un vantaggio competitivo che potrebbe non riuscire procurarsi in altro modo, ovvero solo sostenendo costi politici molto elevati. Tanto che le prime due potenze economiche mondiali - USA e Cina - hanno recentemente firmato un accordo specificamente mirato a stabilire condizioni di fair play spionistico tra di loro: per quanto tali tipi di accordi possano valere…