Negli ultimi anni le aziende stanno osservando con particolare attenzione il crescente fenomeno connesso ai reati informatici.

Figure professionali con competenze specifiche, in grado di fronteggiare azioni illecite sospette o evidenti sono sempre più necessarie. Le attività di monitoraggio e controllo debbono garantire, inoltre, un adeguato sostegno alle analisi investigative in caso di reato.

Considerando la funzione sempre più rilevante dei sistemi informativi per la conduzione del business aziendale e la presenza di un crimine informatico più organizzato ed efficace, le ripercussioni di un potenziale reato a danno dell’azienda possono assumere dimensioni molto rilevanti.

Inoltre, le norme attuali danno un peso maggiore alla responsabilità amministrativa dell’azienda nei confronti di azioni effettuate dai dipendenti o della tutela non adeguata del patrimonio informativo.

Nel caso di un incidente informatico con impatto critico sulla sicurezza e continuità delle operazioni, diventa quindi importante la presenza di una figura che bilanci le esigenze di risoluzione dell’incidente da parte del team di supporto e dell’Unità di Crisi con quelle di raccolta delle evidenze e in particolare della non compromissione delle stesse.
Si tratta di un manager con competenze di diritto e di informatica, capace di organizzare e condurre l’indagine a copertura dell’intero processo, a partire dall’identificazione e acquisizione dell’evidenza fino alla presentazione in sede di giudizio.

Le capacità investigative devono essere integrate da politiche di utilizzo dei sistemi informativi per delineare l’uso lecito e autorizzato dei sistemi, dalla tracciatura delle attività chiave, dalla raccolta e conservazione dei log, unitamente all'adozione di misure tecniche o prescrizioni necessarie ad assicurare la custodia dei dati rilevanti e a impedirne l’alterazione e l’accesso, provvedendo anche, ove possibile, alla loro immediata duplicazione.

In alcuni tipi di reati critici e in particolar modo quando l’azienda è esposta sistematicamente a essi (per esempio nel caso delle frodi informatiche) è essenziale supportare l’attività manuale di investigazione con strumenti specifici in grado di monitorare e rilevare le attività fraudolente in modo automatico.

Di fronte a un reato il processo di investigazione diventa l’elemento chiave e, considerando la necessità di agire tempestivamente, è fondamentale che le modalità di intervento siano quanto più possibile predeterminate. Tale processo di investigazione copre un insieme di attività, nell’ambito delle quali occorre rispettare alcuni principi fondamentali:

• Identificazione e acquisizione dell’evidenza. È importante raccogliere “dati grezzi”, ovvero ridurre al minimo le modifiche ai dati raccolti, mantenendo l’integrità del dato rispetto all’originale, e garantire la sequenzialità temporale delle azioni;

• Preservazione. L’attività è finalizzata a riportare e dettagliare con precisione le operazioni per la raccolta e protezione delle evidenze, sia in termini di operazioni effettuate che in termini temporali;

• Analisi. Ogni elaborazione deve essere effettuata su una copia per garantire l’integrità dell’originale e deve essere inoltre sempre ripetibile e verificabile;

• Presentazione. La preparazione della presentazione delle evidenze, che avviene in genere tramite relazioni tecniche e discussioni, oltre alla precisione formale dal punto di vista informatico e legale coinvolge anche aspetti psicologici per affrontare la presentazione in sede di giudizio.