In un’epoca di digitalizzazione spinta, il “feticismo” per il software craccato o l’installazione selvaggia di applicativi senza licenza rappresenta ancora una piaga nelle aziende e fra i professionisti. Tuttavia, il gioco del “risparmio a tutti i costi” si trasforma quasi sempre in un boomerang finanziario e legale devastante. Le software house ormai da anni non scherzano più sulla protezione del loro marchio e dei loro software pertanto hanno attivato molti strumenti per recuperare denaro anche avvalendosi di studi legali o società di compliance specializzati in questa materia.
Ecco una veloce analisi del fenomeno dal punto di vista tecnico-giuridico e il ruolo cruciale, che, come informatico forense, posso giocare per aiutare le società o i professionisti interessati da una eventualità del genere.
1 – La Trappola: ecco alcuni esempi di come si viene “beccati”.
Molti pensano che le software house (es. Adobe, Autodesk, Microsoft, Dassault Systèmes) vadano “a pesca” nel buio oppure pensano “figurati se vengono a cercare proprio me!”. La realtà è ben diversa. Fra le varie alternative disponibili, ad esempio, utilizzano sistemi di Phone-home e tecniche OSINT (ricerca di informazioni su fonti aperte):
- Telemetria: Il software comunica con i server della casa madre inviando ID univoci dell’hardware, indirizzi IP e dati sulla licenza.
- Phoning-home forzato: Anche le versioni “crackate” spesso contengono script che, nonostante i firewall, riescono a segnalare l’irregolarità appena il PC si connette a Internet.
- OSINT (Open Source Intelligence): semplificando molto, questo tipo di tecnica, consente di ricercare e reperire informazioni pubbliche, accessibili a tutti, sui soggetti da sottoporre a controllo. Facciamo un esempio: se ad uno studio di progettazione grafica venisse contestato l’utilizzo, senza regolare licenza, di software come Photoshop, Autocad o Illustrator e si negasse di utilizzarli mentre sui social si dichiarasse di aver realizzato progetti importanti proprio con l’ausilio di tali software, la frittata sarebbe fatta!
2 – Il Conflitto: Compliance vs GDPR
Quando una software house rileva l’anomalia, non bussa subito alla tua porta con i Carabinieri, ma può inviare inizialmente una società di compliance (audit esterni) e qui iniziano i problemi:
- Metodologie Invasive: Spesso queste società richiedono di lanciare script di scansione sull’intera rete aziendale.
- Il corto circuito GDPR: Questi tool raccolgono dati che possono includere nomi utente, log di sistema e configurazioni hardware. Se la società di audit non ha una nomina a Responsabile del Trattamento (Art. 28 GDPR) o se i dati vengono trasferiti extra-UE senza adeguate tutele, l’azienda può paradossalmente difendersi sollevando un’eccezione sulla violazione della privacy.
- Stime Gonfiate: Le società di compliance tendono a calcolare il danno basandosi sul prezzo di listino attuale (MSRP) per il massimo numero di installazioni rilevate, ignorando sconti storici, licenze effettivamente possedute o versioni obsolete.
3 – Come l’Informatico Forense aiuta a “limitare i danni”
Il ruolo è quello di un vero e proprio “scudo tecnico” tra l’azienda e l’esagerata pretesa economica delle società di compliance che rappresentano le software house. Ecco una tipica modalità di intervento:
A – Analisi della verità (verifica tecnica)
Effettuare immediatamente:
- Inventario Forense: Utilizzando tool di analisi forense degli artefatti di sistema si può determinare, ad esempio, se il software è stato effettivamente usato o solo installato oppure è un residuo di vecchie installazioni.
- Check delle “False Positività”: Spesso gli script di audit vedono “copie multiple” dove c’è solo un’immagine virtualizzata o un backup. Bisogna quindi smontare ogni tentativo di sovrastima da parte delle società di compliance.
B – Gestione della Catena di custodia dei dati
In caso di ispezione (decretata da un giudice o concordata), è importante monitorare che i dati estratti siano solo quelli pertinenti alla licenza.
- Bisogna Impedire l’esfiltrazione di dati personali non necessari.
- Bisogna verificare che i tool utilizzati dalle società di compliance (auditor) non siano essi stessi malware o software non autorizzati a girare sulla rete del cliente.
C – Contestazione della valutazione economica
Il danno richiesto deve essere reale e provato.
- Se l’azienda ha 50 PC ma il software è stato usato solo su 2, la perizia forense può dimostrare l’uso limitato, spostando la trattativa da una violazione “di massa” a una “episodica”.
- Viene anche documentata la presenza di licenze regolarmente acquistate che non sono state riconosciute dai tool automatici di audit.
- Vengono documentate eventuali modifiche alle postazioni PC oggetto di contestazione (es. i PC sono stati formattati da poco tempo, sono stati sostituiti ecc.)
4 – La Strategia Difensiva
L’azienda o il professionista colti in fallo hanno il dovere di regolarizzarsi, ma non devono diventare un bancomat per le software house. Come informatico forense, una delle strategie iniziali da proporre può essere:
- Isolamento: non consentire che le postazioni PC continuino ad utilizzare il software potenzialmente irregolare e se necessario inibirne l’accesso ad internet.
- Reportistica: Creare una relazione tecnica solida che quantifichi l’uso effettivo.
- Contrattazione basata sui fatti: Fornire ai legali dell’azienda i dati tecnici per contestare le sanzioni basate su stime arbitrarie. Non è raro che le società di compliance adottino tecniche per mettere pressione alle aziende o i professionisti colpiti dal controllo chiedendo cifre molto pesanti al fine di spaventarli e indurli a pagare subito.
Conclusioni
Quanto esposto non è una trattazione esaustiva su un argomento complesso e delicato come questo. Ogni caso deve essere verificato, investigato e analizzato con molta attenzione e scrupolo avvalendosi anche di un legale esperto di procedimenti informatici. È fondamentale evitare l’utilizzo software senza regolare licenza (crackato) per motivi legati sia alla sicurezza che alla richiesta di risarcimento che si può subire se si viene colti in “flagranza”. È vero, le licenze regolari possono costare molto denaro e pesare in maniera seria sul budget di una azienda o di un professionista…chiediamoci se non sia il caso di iniziare a sperimentare anche delle risorse liberamente disponibili. A volte basta solo informarsi un po’ di più. Ad ogni modo non sottovalutate le richieste di compliance pensando che siano solo dei tentativi di truffa, spesso non lo sono. Contattate invece il vostro legale e naturalmente un bravo consulente informatico forense.