Premessa
La ricerca pilota che presentiamo, attualmente in corso di svolgimento, è centrata su una specifica dimensione del computer crime: i crimini effettuati dai dipendenti all’interno delle aziende utilizzando la tecnologia informatica. Tali autori vengono definiti in termini tecnici “insiders”. Le stime sui crimini informatici prodotte dalla letteratura internazionale collocano infatti in posizione primaria le azioni che provengono dall’interno delle società. I reati informatici più diffusi in ambito aziendale (frodi, spionaggio, sabotaggio) vengono effettuati da coloro che meglio conoscono i sistemi dell’azienda. Le ragioni che sottendono ai crimini informatici da parte degli insiders sono molteplici. In molti casi, azioni di sabotaggio informatico o di estorsione sono stati commessi da dipendenti desiderosi di vendetta per il loro licenziamento o trasferimento o che ritengono in genere di aver subito dei torti. Talvolta le motivazioni sono legate al semplice desiderio di gratificazione dell’ego o per risolvere problemi di insicurezza psicologica. In altri casi gli autori sono dei dipendenti che vogliono proteggere la loro carriera o trarre vantaggi finanziari sfruttando la loro posizione all’interno dell’azienda (Strano M., 2000).


Le basi teoriche della ricerca
L’approccio teorico utilizzato per questo studio psicologico dei crimini informatici è centrato sulla percezione del crimine che è un’attività umana basata principalmente sull’acquisizione e sulla successiva interpretazione di certe situazioni, da parte delle persone, attraverso il senso comune. Tale processo risulta di grande importanza nella moderna Criminologia per la sua influenza sul processo di pensiero che sottende alla costruzione delle azioni umane dirette ad uno scopo. Le azioni criminali vengono infatti costruite, elaborate (e spesso impedite) da un processo di pensiero che molto si basa sull’anticipazione mentale degli effetti del proprio comportamento (effetti sociali e legali) (d). Gli uomini, ovvero, orientano il proprio comportamento in base a una serie di informazioni che provengono dalla sua esperienza e dall’ambiente esterno, soprattutto dall’interazione con gli altri individui e con le norme (giuridiche e sociali) attinenti a tale comportamento. Le sue azioni non possono quindi essere interpretate come il solo prodotto di pulsioni interne e immaginandole in un ambiente asettico ed ininfluente poiché esse risentono dell’attività del fitto “reticolo” socio-culturale che le circonda. (Strano M., 2000). Il contesto sociale e culturale riesce ad influenzare le azioni umane attraverso una dimensione intermedia costituita proprio dalla percezione sociale che si “gioca” all’interno della mente dell’individuo. Analizzare come le persone percepiscono e producono significato intorno ad un determinato comportamento criminale è quindi assai importante poiché tale processo influenza in ultima analisi la progettazione e l’esecuzione di tale comportamento (Baratta, 1983)(e) .


Lo strumento di misurazione utilizzato

La costruzione di uno strumento di indagine che tenti di analizzare i livelli di percezione rispetto ad un determinato crimine all’interno delle aziende è un’attività abbastanza complessa e che spesso incontra resistenze da parte della dirigenza, preoccupata di eventuali perdite di immagine per la propria azienda. Lo strumento è stato organizzato in aree che indagano le varie dimensioni del processo di percezione. Tali aree si riferiscono a:

La reazione sociale

La conoscenza delle norme penali specifiche

La valutazione e interpretazione delle norme penali

La valutazione delle possibilità di scoperta di un determinato crimine

La valutazione e interpretazione delle norme consuetudinarie

La valutazione della propensione alla denuncia penale di un determinato crimine

La vittima (l’azienda)
Le aree sono rappresentate da 39 items in forma chiusa, in alcune delle quali è possibile dare più di una risposta. Il tempo di compilazione dello strumento è di media 10-15 minuti.


Il questionario

(1) Età:

18-29

30-39

40-49

50-59

60-70

oltre 70

(2) sesso:
M ( ) F ( );

(3) titolo di studio:

licenza elementare;

licenza media inferiore;

diploma media superiore;

laurea;

(4) che tipo di lavoro svolge nell’azienda?

operaio;

impiegato;

quadro/direttivo;

dirigente;

consulente;

(5) ha mai seguito corsi di formazione e/o aggiornamento di informatica?
SI; ( ) NO; ( )

(6) con quale funzione utilizza il computer nel suo lavoro? (può dare più di una risposta);

videoscrittura;

gestione dati;

gestione amministrativa;

grafica;

programmazione;

altro (specificare);

(7) possiede un computer al di fuori dell’ambito lavorativo?
SI ( ) NO ( )

(8) le e’ mai capitato di copiare abusivamente un programma?
SI ( ) NO ( )

(9) conosce qualche tipo di reato di criminalità informatica?
SI ( ) NO ( )

(10) secondo lei e’ possibile commettere un illecito informatico nell’ambito del lavoro senza rendersene conto?
SI ( ) NO ( )

(11) saprebbe fare un esempio di reato informatico aziendale?

(12) quanto sono diffusi secondo lei in Italia i reati informatici?

per niente;

poco;

abbastanza;

molto;

moltissimo;

(13) con quale frequenza lei ritiene che tali reati vengono scoperti nell’azienda?

mai;

quasi mai;

talvolta;

spesso;

sempre;

(14) con quale frequenza lei ritiene che tali reati vengono denunciati dalla dirigenza aziendale?

mai;

quasi mai;

talvolta;

spesso;

sempre;

(15) chi ritiene possa con più probabilità commettere reati informatici? (può dare più di una risposta)

appassionati di computer;

informatici professionisti;

utenti del computer per lavoro;

altro (specificare);

(16) quali ritiene siano le vittime più probabili di un crimine informatico?;

singoli individui;

piccole aziende;

medie aziende;

grandi aziende;

pubblica amministrazione;

(17) nell’azienda in cui lavora si sono mai verificati reati informatici?;
SI ( ) NO ( ) NON SO ( )

(18) se si, può indicarne uno?

(19) se un dipendente dell’azienda in cui lavora utilizzasse il computer per fini illeciti lei cosa farebbe? (può dare più di una risposta)

sarei indifferente;

farei finta di niente;

lo biasimerei;

lo ammonirei;

lo imiterei;

lo ammirerei;

mi preoccuperei;

lo aiuterei;

informerei i superiori;

lo denuncerei alle autorità;

(20) e quale sarebbe secondo lei la reazione degli altri colleghi? (può dare più di una risposta);

sarebbero indifferenti;

farebbero finta di niente;

lo biasimerebbero;

lo ammonirebbero;

lo imiterebbero;

lo ammirerebbero;

si preoccuperebbero;

lo aiuterebbero;

informerebbero i superiori;

lo denuncerebbero alle autorità;

(21) se lei ipoteticamente utilizzasse il computer per fini illeciti nell’ambito del lavoro, cosa crede penserebbero di lei i suoi conoscenti? (può dare più di una risposta);

sarebbero indifferenti;

farebbero finta di niente;

mi biasimerebbero;

mi ammonirebbero;

mi imiterebbero;

mi ammirerebbero;

si meraviglierebbero;

mi aiuterebbero;

informerebbero i superiori;

mi denuncerebbero alle autorità

(22) secondo lei le aziende private e pubbliche vittime di un reato informatico quanto sono propense a sporgere denuncia?;

per niente;

poco;

abbastanza;

molto;

moltissimo;

(23) è a conoscenza di norme che puniscono i reati informatici?;
si; ( ) no; ( )

(24) quali dei seguenti comportamenti, secondo lei, possono costituire un reato? (può dare più di una risposta);

leggere dati e informazioni sul computer di un collega in sua assenza;

scrivere una lettera personale utilizzando il computer dell’ufficio

visitare un sito internet per piacere personale con il computer dell’ufficio

accedere al sistema aziendale utilizzando la password di un collega

cancellare delle email destinate a un suo collega o all’azienda

masterizzare un programma acquistato e regalarlo ad un amico

cancellare dati o programmi del sistema aziendale

utilizzare il computer aziendale per un videogioco

(25) assegni un punteggio da 1 a 5 a ciascuno dei seguenti comportamenti in base a quanto li ritenga gravi secondo il seguente schema: 1=per niente, 2=poco, 3=abbastanza, 4=molto, 5=moltissimo;

accedere senza autorizzazione in un sistema informatico fornito di sistema di sicurezza

diffondere programmi in grado di danneggiare o interrompere un sistema informatico

danneggiare un sistema informatico

detenere/diffondere codici di accesso a sistemi informatici altrui senza autorizzazione

falsificare, alterare, sopprimere comunicazioni informatiche

sottrarre, utilizzare o diffondere informazioni riservate tramite computer

realizzare frodi utilizzando il computer

utilizzare il computer aziendale per scopi personali (es. videogiochi)

(26) si e’ mai verificata nella sua azienda qualcuna delle suddette situazioni?
si; ( ) no; ( ) non so; ( )

(27) se si, quale?;

accedere senza autorizzazione in un sistema informatico fornito di sistema di sicurezza

diffondere programmi in grado di danneggiare o interrompere un sistema informatico

danneggiare un sistema informatico

detenere/diffondere codici di accesso a sistemi informatici

altrui senza autorizzazione

falsificare, alterare, sopprimere comunicazioni informatiche

sottrarre, utilizzare o diffondere informazioni riservate tramite computer

realizzare frodi utilizzando il computer

utilizzare il computer aziendale per scopi personali (es. videogiochi)

(28) quale pena ritiene adatta per una persona che utilizzi per fini illeciti il computer nell’ambito dell’azienda? (può dare più di una risposta)

multa proporzionata al danno;

carcerazione proporzionata;

espulsione dal lavoro;

altro (specificare);

(29) lei ritiene che sia più frequente un crimine informatico commesso in un’azienda da:

un dipendente dell’azienda;

un consulente dell’azienda;

un estraneo all’azienda;
(30) la normativa attuale punisce i diversi reati informatici con sanzioni pecuniarie e detentive fino a un massimo di 8 anni. Ritiene che tali norme siano:
adeguate; ( ) inadeguate; ( )

(31) se alla precedente domanda ha risposto inadeguate può indicarne il motivo?

inefficaci;

poco severe;

troppo severe;

(32) saprebbe indicare l’attività prevalente di un hacker (pirata informatico)? (può dare più di una risposta);

rubare computer

danneggiare sistemi informatici introducendo virus

inserirsi abusivamente in sistemi informatici

realizzare truffe mediante computer

non so

(33) qual è, secondo lei, la caratteristica principale di chi commette un computer crime? (può dare più di una risposta)

senso dell’umorismo;

intelligenza;

curiosità;

competenza;

astuzia;

falsità;

avidità;

malvagità;

(34) per quali motivi ritiene che una persona possa commettere un computer crime (può dare più di una risposta)

per dimostrare la propria bravura;

per denaro;

per divertimento;

per curiosità;

per vendetta;

(35) per i danni del computer crime, che genere di costi economici crede che subiscano le aziende:

quasi nulla

scarsi

medi

elevati

elevatissimi

(36) sa cosa sono i virus informatici?:

dei programmi appositamente creati per provocare malfunzionamenti

dei programmi riusciti male che non funzionano e che provocano malfunzionamenti

non lo so

(37) come può infettarsi con un virus informatico il sistema informatico aziendale?

Per un errore dei tecnici della manutenzione

Per un errore dei programmatori

Per la presenza di un virus nei programmi acquistati dall’azienda

Per la presenza di un virus in un floppy o CD personale inserito in un computer da un dipendente

Per la presenza di un virus in un email spedita da fuori

Non lo so

(38) Se un dipendente viene licenziato ingiustamente e danneggia volontariamente il sistema informatico dell’azienda, come lo giudicherebbe:

sarei indifferente;

lo biasimerei comunque;

lo ammirerei per aver dimostrato carattere;

lo giustificherei se il licenziamento è realmente ingiusto

non lo so

Come definirebbe un l’azione di un dipendente che cancella per vendetta dei dati aziendali da un sistema informatico perché sta per essere licenziato ingiustamente? (può dare più di una risposta)

Azione illegale ma talvolta comprensibile

Azione disperata

Azione criminale

Azione inutile

Azione furba

Azione talvolta giusta

Azione sempre ingiusta

Azione talvolta comprensibile


La somministrazione dello strumento pilota
Lo strumento, attualmente ancora nella versione pilota, è in corso di somministrazione in un campione di aziende di diverse dimensioni e diverse categorie produttive e di servizi, con particolare attenzione al settore terziario che risulta storicamente essere maggiormente informatizzato. In particolare sono state selezionate aziende di telecomunicazione, banche, assicurazioni e industrie ad alta tecnologia. Alcune somministrazioni sono state effettuate anche nell’ambito della Pubblica Amministrazione. Nel corso della somministrazione sono state rilevate intuibili resistenze da parte delle organizzazioni, legate in gran parte al timore di eventuali perdite di immagine. La campionatura effettuata all’interno delle varie organizzazioni ha cercato di comprendere soggetti appartenenti a varie aree operative e a vari livelli gerarchici, dal top management ai semplici impiegati.


Alcuni risultati ottenuti
In questa sede, a titolo esemplificativo, presentiamo alcuni risultati ottenuti con una somministrazione pilota (finalizzata soprattutto a testare lo strumento) in una delle aziende incluse nella ricerca. La società opera nell’ambito delle telecomunicazioni, settore particolarmente a rischio per quanto riguarda la criminalità informatica. La somministrazione di questionari ha coinvolto un campione misto di 100 soggetti, comprendente sia il livello di dirigenza sia altri livelli aziendali, quali il settore amministrativo, il settore informatico e quello gestionale.
Per quanto riguarda la diffusione dei reati informatici in azienda (item 27) presentiamo una tabella in ordine gerarchico (all’inizio i più diffusi):


TABELLA DELLA DIFFUSIONE DEI COMPUTER CRIMES IN AZIENDA (item 27)
1. utilizzare il computer aziendale per scopi personali (es. videogiochi)
2. accedere senza autorizzazione in un sistema informatico fornito di sistema di sicurezza
3. diffondere programmi in grado di danneggiare o interrompere un sistema informatico
4. danneggiare un sistema informatico
5. detenere/diffondere codici di accesso a sistemi informatici altrui senza autorizzazione
6. danneggiare un sistema informatico
7. sottrarre, utilizzare o diffondere informazioni riservate tramite computer4
8. realizzare frodi utilizzando il computer
9. falsificare, alterare, sopprimere comunicazioni informatiche

L’utilizzo di videogiochi costituisce quindi il comportamento più diffuso (circa il 60% dei casi descritti) mentre gli altri illeciti presentano un’incidenza media del 7%. Le frodi e le falsificazioni si collocano all’ultimo posto (l’items consentiva più di una risposta). La lettura dei dati necessita però di considerare con attenzione la minore eclatanza di alcune delle manifestazioni delittuose osservate.
I risultati dell’item 13 mostrano una convinzione diffusa circa la ridotta possibilità di scoperta dei crimini informatici aziendali e tale situazione è associata alla convinzione di una ridotta tendenza da parte dell’azienda a presentare denuncia penale per questi illeciti (item 14 e 22).
Le risposte all’item 28 hanno indicato i provvedimenti amministrativi (multa ed espulsione dal lavoro) come più idonei rispetto a quelli penali evidenziando una certa tendenza verso le pratiche di normalizzazione extragiudiziaria.
L’item 33, infine, ha mostrato una certa tendenza nel campione ad attribuire alla figura del criminale informatico non solo connotazioni negative (malvagità, avidità) ma anche talune connotazioni positive (intelligenza, astuzia) e tale modalità di significazione può essere importante nella costruzione di queste azioni criminali.


Conclusioni
Il filone di studi sulla percezione del crimine in azienda si offre oltre che come momento conoscitivo “accademico”, anche come base scientifica per eventuali applicazioni nel settore della prevenzione e sicurezza aziendale. Le informazioni ottenute con la ricerca che abbiamo presentato sono infatti utilizzate dall’equìpe per la progettazione di percorsi di coscientizzazione (nelle aziende e nella Pubblica Amministrazione) tendenti ad una accettabile riduzione di quella porzione di azioni illegali basate su errata o disfunzionale attribuzione di significato alla realtà da parte dell’autore, nella fase antecedente e durante il comportamento illegale. L’intervento in tal senso dovrebbe ad esempio consentire agli individui una corretta stima dei danni provocabili all’azienda, una maggiore consapevolezza della reale gravità del proprio agire, una precisa conoscenza di eventuali norme penali violate e delle conseguenti sanzioni, la reale considerazione delle azioni illegali nell’ambito del proprio gruppo di lavoro e altri fattori significativi nell’abito della dinamica criminale.


Riferimenti bibliografici
Abbagnano Trione A.(1992), “Profili problematici del furto d’uso”, in Archivio Penale vol. 2/Dottrina, pp.205.
Adamski, A. (1999). Crimes related to the computer network. Threats and opportunities: A criminological perspective.
Balloni B., Bisi R.(1993), “Grande distribuzione. Furto, sicurezza e controllo: analisi criminologica”, Clueb, Bologna.
Bernasconi P., La prevenzione del computer crime nel settore bancario: l'esperienza svizzera, in Dir-Inf, 1988, Giuffrè, Milano, pp.723-748.
Correra M.M, Martucci P.P., Putignano C. (1998), “Valori, disvalori e crimine nell’Italia alle soglie del duemila”, Giuffrè, Milano.
Correra M.M., Martucci P.P. (1991), “L’evoluzione della criminalità informatica. Nuovi crimini e nuovi criminali”, in Rassegna Italiana di Criminologia, Milano, Giuffrè, anno II- n.4, ottobre, pp.319.
De Leo G, Patrizi P., La spiegazione del crimine, Il Mulino, Bologna 1999
Galdieri P. (1997), “Teoria e pratica nell’interpretazione del reato informatico”, Giuffrè editore, Milano.
Green Gary S. (1997), “Occupational Crime” (2nd ed.), Chicago: Nelson-Hall.
Greenberg J. (1990), “Employee theft as a reaction to underpayment inequity”, in Journal of applied psychology, dic. Vol 75(6), pp.667.
Manager’s Guide to Preventing Employee Theft”, Park Ridge, Illinois: London House Press.
Hollinger R.C., Clark J. (1983), “Theft by Employees”, Lexington, MA: Lexington Books.
Lewis H. W. (1995), “Il rischio tecnologico”, Sperling & Kupfer, Milano.
Parker D. (1976), “Crime by computer”, Charles Scribner’s Sons, New York, 1976, pp.12.
Parker, D. (1998). Fighting computer crime: A new framework for protecting information. New York: John Wiley & Sons, Inc.
Strano M., Computer crime, Ed. Apogeo, Milano, 2000
Strano M., Di Giannantonio M., De Risio S, Manuale di Criminologia Clinica, Rossini editore, Città di Castello, 2000
Strano M., Il computer crime nelle aziende in BYTE, gennaio 1999;
Sutherland E.H. (1973), “The Professional Thief”, The University of Chicago Press, Chicago.
Sutherland E.H. (1986), “La criminalità dei colletti bianchi ed altri scritti”, a cura di, A.Ceretti, I.Merzagora, Unicopli, Milano.
Tiedemann K. (1988), “Criminalità da computer” in F.Ferracuti (a cura di), Trattato di Criminologia, medicina criminologica e psichiatria forense, vol.X, Il cambiamento delle forme di criminalità e devianza, Giuffrè, Milano.
United Nations (1999). International review of criminal policy – United nations manual on the prevention and control of computer-related crime;
Veneziani G. (1990), “Furto di uso e principio di colpevolezza”, in Riv.it.dir.proc.pen., pp. 299.
Wasik Martin, “Crime and computer”, Oxford- Clarendon, 1991, pp.76.
Young Jeffrey: Spies like us, in Forbes Asap, june 3, 1996, pp.71-92.

---

Note

(a) I.U.R.C. Roma
(b) Università Cattolica, Istituto di Psichiatria e Psicologia, Roma
(c) IURC Roma
(d) De Leo G., Patrizi P., La spiegazione del crimine, Il Mulino Bologna 1999:
(e) A. Baratta, Problemi sociali e percezione della criminalità, in Dei delitti e delle pene, 1, 1983.