Misure di segretazione art. 98 CPI

DOTT. ROBERTO ROCCHETTI

La consulenza tecnica e perizia informatica in materia di protezione delle informazioni aziendali riservate trova il proprio riferimento normativo principale nell’art. 98 del Codice della Proprietà Industriale (c.p.i.), che disciplina la tutela delle informazioni segrete e delle esperienze tecnico-industriali riservate (know-how).

Nelle attività di perizia informatica svolte dal Dott. Roberto Rocchetti, l’analisi delle misure di segretazione adottate da un’azienda richiede l’integrazione tra la normativa giuridica e gli aspetti tecnici legati alla configurazione dei sistemi informatici.

Le misure di segretazione richiamate dall’art. 98 c.p.i. non costituiscono infatti un concetto esclusivamente informatico. Esse devono essere interpretate e verificate alla luce delle tecnologie concretamente utilizzate nei sistemi informativi aziendali.

Tra gli elementi tecnici che possono concorrere alla protezione delle informazioni riservate rientrano, ad esempio:

  • sistemi di autenticazione e gestione dell’identità digitale;
  • sistemi di tracciatura degli accessi (security audit e log di sistema);
  • protezione e gestione degli account utente;
  • policy di sicurezza dei server, comprese le configurazioni di gruppo (GPO – Group Policy Objects);
  • configurazioni relative a User Policies, Computer Policies, Client Policies, Server Policies e Domain Controller Policies;
  • sistemi di autenticazione di rete come NPS (Network Policy Server);
  • configurazioni di firewall e sicurezza perimetrale;
  • politiche di sicurezza applicate a smartphone, workstation e dispositivi mobili.

A questi elementi si aggiungono le configurazioni dei permessi di accesso alle risorse informatiche, tra cui:

  • sistemi di controllo degli accessi (ACL, SACL);
  • meccanismi di sicurezza dei sistemi Linux come SELinux;
  • gestione dei permessi su file, cartelle e stampanti di rete.

Le misure di segretazione nei sistemi informativi aziendali

Dal punto di vista tecnico, le misure di segretazione non corrispondono mai a un singolo comando o a un “pulsante di attivazione”.

Esse sono invece il risultato di una combinazione di configurazioni di sistema, impostazioni di sicurezza e politiche organizzative applicate ai sistemi informatici aziendali dotati di capacità di elaborazione o archiviazione dei dati, quali:

  • computer;
  • server;
  • sistemi di storage;
  • infrastrutture cloud.

Nelle attività di perizia informatica svolte dal Dott. Roberto Rocchetti, la verifica dell’effettiva esistenza di tali misure avviene attraverso l’analisi di numerosi parametri tecnici e organizzativi.

Tra le principali domande tecniche che vengono poste in sede di analisi vi sono, ad esempio:

  • Chi può accedere ai sistemi informatici aziendali?
  • A quali sistemi può accedere ciascun utente e in quali orari?
  • I canali di comunicazione sono protetti mediante sistemi di cifratura?
  • Le password adottate rispettano criteri di complessità adeguati?
  • Come vengono gestite e protette le credenziali di accesso?
  • Dove sono archiviati i file aziendali e su quali dispositivi di storage?
  • I supporti di memorizzazione sono crittografati?
  • I documenti aziendali sono organizzati in funzione dei ruoli aziendali?
  • I documenti sono classificati in base al valore economico e strategico delle informazioni contenute?
  • Esistono livelli di protezione sia fisica che logica dei sistemi?
  • Esiste un sistema di tracciatura degli accessi ai sistemi informatici?
  • Esiste un sistema di tracciatura degli accessi ai file e alle stampanti?
  • Con quale periodicità vengono analizzati i registri di accesso (log)?

Il numero dei parametri tecnici rilevanti può essere molto elevato e dipende dalle tecnologie effettivamente implementate nell’infrastruttura informatica aziendale.

Verifica e mantenimento delle misure di segretazione

Un’azienda che dichiara di aver adottato determinate misure di segretazione delle informazioni riservate ha anche l’obbligo di verificarne periodicamente l’effettiva efficacia.

Le misure di protezione non devono essere soltanto implementate, ma anche mantenute nel tempo, attraverso attività di monitoraggio, aggiornamento e verifica della sicurezza dei sistemi.

Questo aspetto assume particolare rilievo nelle attività di consulenza tecnica e perizia informatica del Dott. Roberto Rocchetti, nelle quali viene analizzato non soltanto ciò che è stato configurato nei sistemi informativi, ma anche se tali configurazioni siano state mantenute efficaci nel tempo.

La nozione di segretezza secondo l’art. 98 c.p.i.

L’art. 98 del Codice della Proprietà Industriale stabilisce che le informazioni aziendali sono tutelate quando:

  1. siano segrete, ossia non siano, nel loro insieme o nella precisa configurazione e combinazione dei loro elementi, generalmente note o facilmente accessibili agli esperti e agli operatori del settore;
  2. abbiano valore economico, proprio in quanto segrete;
  3. siano sottoposte a misure ragionevolmente adeguate a mantenerle segrete.

È importante osservare che i singoli parametri tecnici di configurazione dei sistemi informatici sono generalmente descritti nei manuali tecnici dei sistemi operativi e delle piattaforme software.

Tali parametri sono quindi noti agli esperti del settore.

Ciò che assume rilevanza ai fini giuridici non è la conoscenza dei singoli strumenti tecnici, ma la specifica configurazione e combinazione delle misure adottate dall’azienda per proteggere le proprie informazioni.

Inoltre, è essenziale che tali configurazioni siano:

  • protette da accessi non autorizzati;
  • aggiornate nel tempo;
  • adeguate a fronteggiare eventuali vulnerabilità o difetti software.

Tutela giuridica delle informazioni aziendali

Ai sensi dell’art. 99 del Codice della Proprietà Industriale, il legittimo detentore delle informazioni aziendali segrete ha il diritto di vietare a terzi, salvo il proprio consenso:

  • l’acquisizione delle informazioni;
  • la loro divulgazione;
  • il loro utilizzo abusivo.

Tale tutela non si applica quando le informazioni siano state acquisite autonomamente e in modo indipendente da terzi, fermo restando il rispetto delle norme sulla concorrenza sleale.

Le informazioni protette possono includere:

  • informazioni tecniche relative a prodotti o processi produttivi;
  • informazioni commerciali e strategiche;
  • informazioni amministrative e organizzative;
  • dati e documentazione aziendale dotati di valore economico.

La giurisprudenza ha più volte affermato che tali informazioni sono tutelate quando non appartengono al dominio pubblico e quando siano mantenute segrete mediante misure di vigilanza ritenute adeguate dall’esperienza tecnica (Tribunale di Bologna, 4 luglio 2007).

Concorrenza sleale e utilizzo di informazioni riservate

Lo studio del Dott. Roberto Rocchetti è a vs disposizione per questioni di concorrenza sleale ai sensi dell’art. 2598, comma 3, c.c., quando un’impresa assume un dipendente chiave proveniente da un’azienda concorrente e lo destina non tanto alle stesse attività professionali generiche — circostanza normalmente lecita — quanto agli stessi specifici clienti che il dipendente seguiva presso la precedente azienda.

In tali situazioni, la preventiva conoscenza delle condizioni contrattuali e delle relazioni commerciali maturate nel precedente rapporto di lavoro può consentire all’impresa un vantaggio competitivo non liberamente acquisibile sul mercato.

Secondo la giurisprudenza, tale comportamento può risultare contrario alla correttezza professionale, in quanto consente all’impresa di ottenere un vantaggio competitivo non derivante dalle generiche competenze professionali del dipendente, ma dalle informazioni specifiche acquisite nel precedente rapporto professionale.