Censorship, Information Security, Tutorial

Segreti industriali: come e perché tutelarne il valore

Se questo articolo ti è piaciuto, condividilo!Il lungo periodo di crisi economica e finanziaria, che tuttora si protrae sui mercati occidentali, ha creato una vera e propria selezione che ha di fatto penalizzato, e in […]
Se questo articolo ti è piaciuto, condividilo!

Il lungo periodo di crisi economica e finanziaria, che tuttora si protrae sui mercati occidentali, ha creato una vera e propria selezione che ha di fatto penalizzato, e in molti casi estromesso, le aziende meno virtuose. Questa selezione ha colpito ovviamente le imprese caratterizzate da una gestione scriteriata, ma anche quelle che non sono riuscite proteggere adeguatamente le proprie risorse strategiche: segreti industriali, invenzioni, innovazioni, soluzioni e tutte quelle informazioni e conoscenze che costituiscono un vero e proprio patrimonio per ciascuna azienda. Dall’idea al disegno, dal processo produttivo alla commercializzazione, dai fornitori alla clientela, la lista delle informazioni riservate, molte delle quali non sono brevettabili, è veramente lunga. Ogni impresa detiene segreti generati e sviluppati durante l’attività imprenditoriale, anche nell’arco di diversi anni, e queste particolari informazioni e conoscenze rappresentano un enorme valore economico e strategico, ma anche un indubbio vantaggio per i diretti concorrenti qualora ne entrino in possesso. Scopriamo, quindi, come e perché è importante tutelarli, nell’interesse di tutti.

 

Il segreto industriale, questo sconosciuto

Mentre alcune imprese sono talmente consapevoli dell’importanza strategica e del valore economico dei propri segreti industriali da richiedere specifiche leggi per ottenere un’adeguata tutela (ne è un chiaro esempio l’industria dell’intrattenimento multimediale che ha spinto per la promulgazione di svariate leggi e regolamentazioni sulla tutela del copyright), la maggior parte degli imprenditori non conosce l’importanza e il valore delle proprie informazioni riservate, né l’esigenza di proteggerle adeguatamente, salvo rendersene conto in maniera drastica e irreparabile quando ormai i segreti sono già stati svelati o compromessi. Addirittura, troppi imprenditori non hanno neanche la minima idea di quali siano i propri segreti industriali. Se consideriamo l’evoluzione dello scenario globale di mercato, caratterizzata dal frenetico susseguirsi di innovazioni tecnologiche, non è difficile comprendere come il segreto industriale sia sempre più attraente e, spesso, troppo facilmente accessibile.

Per segreto industriale, quindi, si deve intendere l’intero bagaglio di informazioni riservate a carattere tecnico-industriale, di conoscenze sviluppate e maturate nel corso dell’attività, di risorse strategiche come invenzioni, idee, soluzioni e modelli di business, nonché tutto ciò che consente all’impresa di conquistare e mantenere un vantaggio competitivo sul proprio mercato di riferimento, talvolta anche solo di sopravvivere. Il segreto industriale è, a tutti gli effetti, un bene economico che ha un valore più o meno quantificabile e che assume rilievo come autonomo elemento patrimoniale. Di conseguenza, la perdita, la sottrazione e la divulgazione non autorizzata del segreto industriale comportano un danno grave, di non facile quantificazione economica, che spesso porta ad una significativa perdita di competitività sul mercato e a conseguenze disastrose per la sopravvivenza dell’azienda. In più, questa particolare tipologia di danno è assolutamente irreparabile, poiché non è possibile ripristinare la sicurezza di un’informazione una volta divulgata, perciò è fondamentale pensare per tempo ad un’adeguata prevenzione.

 

La tutela legale del segreto industriale

In Italia, il segreto industriale è chiaramente definito dal decreto legislativo 10/02/2005 n. 30 “Codice della Proprietà Industriale” (CPI) che ha sostituito la vetusta Legge Italiana sulle Invenzioni (R.D. 1127/1939), modificata nel 1995 con l’introduzione dell’articolo 6-bis in recepimento delle disposizioni provenienti dagli Accordi Internazionali TRIPs del 1994. L’articolo 98 del CPI definisce “informazioni segrete” sottoposte a tutela giudiziaria “le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore”, ovvero “i dati relativi a prove o altri dati segreti, la cui elaborazione comporti un considerevole impegno ed alla cui presentazione sia subordinata l’autorizzazione dell’immissione in commercio di prodotti chimici, farmaceutici o agricoli implicanti l’uso di nuove sostanze chimiche”.

Lo stesso articolo 98 prevede che, per essere considerate effettivamente segrete, le informazioni non devono essere, nel loro insieme o nella precisa combinazione dei loro elementi, generalmente note o facilmente accessibili agli esperti ed operatori del settore. Esse devono anche avere un valore economico in virtù della loro segretezza e devono essere sottoposte a misure di protezione da ritenersi ragionevolmente adeguate a mantenerle segrete. Ecco, quindi, qual è il punto focale della tutela del segreto industriale: la segretezza.  Possono essere considerate segrete solo le informazioni che sono adeguatamente protette e rese difficilmente accessibili a terzi, pertanto se un’informazione viene resa nota, ovvero non viene adeguatamente protetta, perde di fatto gran parte delle possibilità di tutela giuridica. Non solo, le misure di sicurezza adottate per la protezione dei segreti industriali, sia sul piano tecnologico che su quello organizzativo, devono riflettere chiaramente la volontà dell’azienda di proteggere le informazioni.

Questo significa, in breve, che le informazioni riservate, delle quali fanno parte i segreti industriali, non possono essere legalmente considerate tali solo a posteriori, quando i buoi sono ormai lontani dalla stalla, né sulla base della sola opinione dell’azienda che le detiene. Questa, infatti, ha l’onere di provare l’adozione preventiva di tutte le misure di sicurezza, non solo tecnologiche ma anche organizzative, ragionevolmente richieste per proteggerne la confidenzialità e l’integrità, se vuole ottenerne una qualche tutela in sede legale. Ad esempio, se i disegni tecnici di un macchinario strategico per la competitività dell’azienda sul proprio mercato vengono tranquillamente lasciati su una cartella condivisa in rete accessibile da qualsiasi dipendente, senza adottare opportune misure di controllo e segregazione degli accessi sulla base dell’effettiva necessità operativa, non sarà affatto facile per l’azienda ottenere un’adeguata tutela legale in caso di sottrazione ai fini di concorrenza o di danneggiamento per dolo.

La tutela del segreto industriale e delle informazioni confidenziali è regolata dal codice civile e dal codice di procedura penale. L’articolo 2105 c.c. introduce l’obbligo di fedeltà e non concorrenza del prestatore di lavoro, il quale “non deve trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio”. Il mancato rispetto di queste disposizioni può costituire valido motivo di licenziamento del lavoratore dipendente per l’evidente compromissione del rapporto di fiducia con l’azienda. Dal punto di vista penale, la tutela dei documenti segreti, del segreto professionale e dei segreti scientifici o industriali è regolamentata dagli articoli 621, 622, 623 e 623 bis c.p. che condannano chi viola il vincolo di segretezza senza giusta causa o impiega le informazioni riservate a proprio o altrui profitto, prevedendo multe da 30 a 1032 euro e la reclusione fino a tre anni. La violazione, punibile su querela del soggetto offeso, viene intesa in senso molto ampio in quanto è riferita a qualsiasi dato influente sull’attività concorrenziale del datore di lavoro, sia esso di carattere tecnico, amministrativo o commerciale.

 

La relazione confidenziale fra le parti

Sebbene la legge regolamenti il divieto al prestatore di lavoro di operare in concorrenza con l’imprenditore o di divulgare notizie sull’organizzazione e sui metodi di produzione, ovvero di farne uso per arrecarne pregiudizio, sono sempre più frequenti i casi di sottrazione indebita o di divulgazione non autorizzata di segreti industriali ad opera di dipendenti e partner. Si tratta spesso di disegnatori, progettisti, ingegneri, meccanici, collaboratori, agenti o commerciali che, dopo aver sviluppato o consultato un’idea, un’invenzione o un modello di business, ne riconoscono le grandi potenzialità in termini di ritorno economico e di mercato, e scelgono di sottrarre il segreto industriale alla propria azienda per aprire una propria impresa in concorrenza, talvolta cancellandone qualsiasi traccia per danneggiare volutamente l’attività della malcapitata impresa e facilitare così il proprio start-up. Altrettanto spesso le violazioni si verificano per semplice ignoranza del soggetto divulgante: una semplice esternazione al bar o una confidenza troppo dettagliata ad un amico bastano ad innescare il processo di divulgazione dei segreti industriali.

Il pericolo, quindi, non viene solo dall’interno, poiché diverse aziende sono costrette a condividere informazioni riservate e segreti industriali con terze parti per lo svolgimento delle proprie attività, ad esempio con fornitori di servizi o di prodotti industriali necessari per l’allestimento dei propri prodotti. Le condivisioni possono riguardare, ad esempio, idee e conoscenze in vista di una possibile futura collaborazione commerciale, informazioni economiche e finanziarie nell’ambito di aste pubbliche o trattative di cessione di ramo d’azienda, disegni tecnici e test di invenzioni e prototipi per la ricerca di investitori, finanziatori o licenziatari.

Tutte queste delicatissime pratiche creano, di fatto, una vera e propria relazione confidenziale fra le parti, sia nel rapporto fra impresa e dipendente, sia in quello fra due o più aziende, indipendentemente dal fatto che le parti ne siano effettivamente consce o meno. Prima che questa relazione confidenziale abbia luogo, quindi, è fondamentale porre in atto un’adeguata serie di misure di protezione di tipo organizzativo, tecnologico e contrattuale.

 

Le misure organizzative: normativa, sensibilizzazione e disciplina

Una protezione efficace delle informazioni confidenziali è basata su adeguate e robuste misure organizzative volte a minimizzare comportamenti erronei, inefficienze e negligenze che possono metterne a repentaglio la riservatezza. Una buona base di partenza è costituita da una piattaforma normativa aziendale composta da politiche e procedure operative di sicurezza che riflettano adeguatamente la volontà dell’azienda di proteggere i propri segreti e salvaguardare il proprio business, ma che siano anche in grado di guidare efficacemente i dipendenti nel corso della normale attività operativa.

Le procedure operative devono essere costruite sulla base di determinati principi fondamentali in tema di sicurezza delle informazioni, in particolare quelli dell’effettiva necessità di accesso (need-to-know), del controllo incrociato (dual control) per minimizzare il rischio di collusione e della segregazione dei compiti (segregation of duties) nei processi che trattano i segreti industriali e le informazioni confidenziali.

Altrettanto fondamentale, una volta che la normativa è pubblicata, è intraprendere un’opera organica ed efficace di sensibilizzazione (awareness) dell’intera struttura organizzativa aziendale sui temi focali delle politiche aziendali di protezione e sull’importanza di determinate misure che possano risultare difficilmente comprensibili o contestualizzabili, con l’obiettivo di aumentare il livello di consapevolezza di manager e dipendenti, riducendo ulteriormente le possibilità di errore o negligenza e aumentando il grado di accettazione delle misure di sicurezza che possono gravare sull’operatività.

Infine, è fortemente consigliata l’introduzione di un rigoroso procedimento disciplinare, fatto di avvertimenti, note di demerito e sanzioni, da attuare senza eccezioni a fronte di eventuali violazioni per colpa o dolo, poiché è vitale che la volontà dell’azienda di proteggere segreti e business venga fatta rispettare con provvedimenti che siano commisurati alla violazione commessa e all’entità del danno provocato, ovviamente nel rispetto dei limiti imposti dalla legislazione vigente.

Inutile precisare che la normativa, le campagne di sensibilizzazione e i provvedimenti disciplinari devono avere tutti un forte e deciso impegno della proprietà e della direzione aziendale in termini di supporto, sponsorizzazione e imposizione.

 

Le misure tecnologiche: perimetro, segmentazione e controllo accessi

Un approfondimento sulle opportune misure tecnologiche per la protezione di segreti industriali e informazioni confidenziali richiederebbe un lungo articolo dedicato, tanti sono gli scenari, le casistiche, le esigenze e le peculiarità in gioco nella loro definizione. Mi limiterò, quindi, all’illustrazione dei più fondamentali aspetti da non sottovalutare nella definizione delle misure di sicurezza.

Oggi praticamente tutte le aziende sono connesse ad Internet e molte hanno ulteriori connessioni o condivisioni di rete con terze parti per lo scambio di informazioni e servizi, pertanto è innanzitutto necessario attuare un’adeguata protezione del proprio perimetro virtuale con l’adozione di strumenti di filtro, controllo e separazione delle comunicazioni. Firewall, sonde IDS e sistemi IPS ben configurati sono la base irrinunciabile dalla quale partire, per poi introdurre misure più evolute come proxy, web application firewall e next generation firewall, a seconda delle caratteristiche dei sistemi e dei servizi coinvolti.

Un altro elemento fondamentale è la segmentazione della propria rete aziendale interna, ovvero la creazione di isole di rete separate secondo criteri organizzativi e operativi, ad esempio dividendo le comunicazioni amministrative da quelle della produzione, oppure il reparto progettazione da quello commerciale. La segmentazione, infatti, consente di limitare le possibilità di interrelazione non autorizzata fra utenti e sistemi in violazione delle normative vigenti in azienda e dei principi fondamentali di sicurezza precedentemente citati. Ecco perché i criteri di segmentazione dovranno riflettere accuratamente le disposizioni impartite dalle politiche e dalle procedure operative imposte dall’azienda.

Infine, il terzo baluardo della protezione dei segreti aziendali è costituito da opportune misure di controllo accessi, che dovranno essere adottate sia a livello fisico, come il controllo dell’accesso ai locali (biometrico, con badge, ecc.), agli archivi cartacei, agli armadi tecnici e ai sistemi, sia a livello logico, come la protezione dell’accesso alle risorse di rete e ai file, credenziali di accesso personali anche con strong authentication, abilitazioni stringenti legate all’effettiva necessità di accesso, un’attenta gestione del ciclo di vita di account e autorizzazioni d’accesso, fino a specifiche misure di prevenzione (Data Loss Prevention) delle operazioni non autorizzate di copia, estrazione, download, stampa e prelievo di file e informazioni riservate in genere.

Non dimentichiamoci che, al giorno d’oggi, per prelevare informazioni riservate bastano dieci secondi di tempo e uno smartphone con fotocamera come quello che molti di noi hanno sempre con sé.

 

Le misure contrattuali: obbligo di segretezza, patto di non concorrenza e NDA

Le aziende dispongono già di una serie di misure contrattuali attuabili a tutela dei segreti industriali e della posizione di mercato, ma sono rari i casi in cui queste vengono adottate e sfruttate in maniera organica e coordinata fra loro. Ferme restando le disposizioni di legge sopra citate, infatti, l’adozione di opportuna contrattualistica di segretezza e non concorrenza consente di integrare ulteriori termini d’accordo, ad esempio inclusioni al concetto di segreto, restrizioni d’uso, obblighi, penali pecuniarie e scadenze temporali. Ciò assume una maggiore valenza in caso di contratti di lavoro o di collaborazione con soggetti di diversa nazionalità, cioè in tutti i casi in cui le eventuali differenze legislative fra le nazioni possano costituire una minaccia per l’effettiva tutela dei segreti in gioco.

Le aziende dovrebbero studiare opportune integrazioni al contratto di lavoro dipendente e ai contratti di collaborazione con terze parti, affinché le sommarie disposizioni di legge siano integrate da apposite clausole inerenti obblighi di riservatezza, misure di sicurezza e di tutela del segreto aziendale o d’ufficio, nonché accordi di non concorrenza. L’inclusione di adeguate clausole, che non siano in contrasto con le leggi vigenti, consentono di rendere più saldo il legame fra impresa e dipendenti, aumentano il livello di consapevolezza sui vincoli di segretezza e agendo anche da deterrente verso le possibili opportunità di violazione.

Il patto di non concorrenza può avere anche una propria forma autonoma, senza inclusione nei contratti di lavoro e collaborazione. Questo specifico accordo è contemplato dall’articolo 2125 c.c. che prevede regole e limiti ben precisi per la sua applicabilità: deve avere forma scritta, può essere stipulato all’inizio del rapporto di lavoro o nel corso di esso, deve prevedere un termine massimo di durata degli obblighi (non superiore a 5 anni per i dirigenti o 3 anni per le altre categorie), deve esservi specificata l’attività oggetto di restrizione e quali siano i limiti territoriali. Ma il requisito più importante è che l’obbligo di non concorrenza deve essere oneroso, cioè deve prevedere un adeguato corrispettivo soggetto a contribuzione ai fini pensionistici e del TFR, sotto forma di maggiorazione retributiva mensile o di indennità da corrispondere alla cessazione del rapporto di lavoro.

In termini più generali, il patto di non concorrenza deve garantire al sottoscrittore una capacità redditizia adeguata per tutto il periodo di validità degli obblighi e deve salvaguardare le sue potenzialità professionali senza arrecare pregiudizi di carriera o di miglioramento economico. Sebbene la legge non stabilisca l’entità del compenso, neanche in rapporto ai sacrifici richiesti al lavoratore, il giudice potrà ritenerlo incongruo in caso di manifesta sproporzione. Il lavoratore che non rispetta il patto, infine, è tenuto a restituire i compensi percepiti e a risarcire tutti i danni che il datore di lavoro subisce a fronte della violazione.

L’ultimo strumento contrattuale a disposizione delle aziende è il cosiddetto accordo di non divulgazione, conosciuto internazionalmente come “Non Disclosure Agreement” (NDA), spesso denominato anche accordo di riservatezza, accordo di confidenzialità o patto di segretezza. Questo tipo di accordo è espressamente volto alla tutela della relazione confidenziale fra le parti, che possono essere costituite da datore e prestatore di lavoro (si parla di accordo unilaterale) o da due aziende (mutuo accordo), tipicamente contraddistinte da diverse dimensioni e forza contrattuale, che si vincolano vicendevolmente sulla tutela delle informazioni e dei segreti scambiati.

L’accordo di non divulgazione è generalmente slegato da eventuali contratti in essere fra le parti, in particolare nei casi in cui la relazione confidenziale da tutelare sia posta in essere prima di qualsiasi altro accordo o rapporto contrattuale. Le clausole di tutela in esso definite, infatti, sono indirizzate alla protezione dei segreti industriali e delle informazioni riservate, indipendentemente dall’esito delle fasi precontrattuali di valutazione, condivisione e consulenza. L’accordo può comunque essere sostituito da o può affiancare, integrandolo, il successivo contratto sottoscritto fra le parti in causa. Esso deve designare chiaramente le parti, quale sia la natura della relazione confidenziale posta in essere fra loro e quali siano le informazioni riservate e i segreti oggetto dell’accordo, con relative inclusioni ed esclusioni.

La complessità dell’accordo NDA dipende molto dalla criticità delle informazioni trattate: entrambi i contraenti devono concordare le disposizioni normative che regolano l’accordo (soprattutto nei rapporti internazionali), il foro competente, i criteri di risoluzione delle dispute, i limiti di trasferimento di diritti e obblighi a terzi, nonché le restrizioni al trasferimento e al trattamento delle informazioni. Particolare importanza rivestono la durata dell’accordo e le penali a fronte di eventuale violazione. In termini di durata temporale si prevedono differenti termini: si parla, infatti, sia di periodo di divulgazione che di ulteriore periodo di validità dell’obbligo di riservatezza (si parla di sopravvivenza o ultrattività dell’accordo). Le penali in caso di violazione, infine, possono prevedere la corresponsione di un importo forfettario (adeguabile a discrezione del giudice), il risarcimento di eventuali danni quantificabili e il recupero delle spese legali sostenute, con l’onere della (difficile) prova a carico della parte che subisce e rivendica la violazione.

 

Un insieme coordinato di tutele a beneficio di tutti

Gli obblighi contrattuali di riservatezza, il patto di non concorrenza e l’accordo di non divulgazione sono strumenti di delicata attuazione, sia per la complessità delle clausole da definire e concordare, sia per gli inerenti rischi di compromissione sul nascere di eventuali rapporti di lavoro e collaborazione. In Italia, in particolare, queste misure di tutela sono ancora piuttosto rare e le aziende che tentano di introdurle incontrano spesso malumori e opposizioni dalle controparti, che le interpretano come una dimostrazione di scarsa fiducia nei loro confronti. In realtà, l’adozione di queste tutele è una prassi ormai consolidata da diversi anni all’estero, in particolare nel mondo anglosassone, proprio perché oltre a tutelare l’azienda proponente, contribuiscono a regolamentare e a rafforzare il rapporto di collaborazione e la relazione confidenziale fra le parti. Inoltre, poiché qualsiasi azienda o persona seria non dovrebbe avere particolari problemi a sottoscrivere accordi equi in tal senso, essi possono costituire un utile indice di scarsa affidabilità o di premeditazione della controparte.

In definitiva, l’adozione di un insieme ben coordinato di misure organizzative, tecnologiche e contrattuali può garantire un adeguato livello di tutela dei segreti industriali e delle informazioni riservate che costituiscono il cuore dell’attività e del business di un’azienda. L’adozione di tali misure, infatti, deve essere intesa non solo come mera tutela dei segreti industriali ma, in senso più ampio, come salvaguardia del business aziendale e della sopravvivenza dell’impresa sul mercato, nell’interesse dei proprietari e dei dipendenti che da essa traggono esperienza, conoscenze e sostentamento.

 

Ettore Guarnaccia

 


Se questo articolo ti è piaciuto, condividilo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.