AdSense4

Bing

AdSense3

sabato 25 gennaio 2014

La teoria delle "finestre rotte"

Immaginiamo di abbandonare due automobili assolutamente identiche per marca modello e colore in due zone metropolitane assai diverse tra loro.
La prima nel Bronx a New York, la seconda a Palo Alto in California. Cioè in due quartieri americani con due situazioni sociali ed economiche diametralmente opposte.

Quale delle due automobili ha una maggiore probabilità di essere rubata o danneggiata?

La risposta è ovvia e non sarebbe necessario precisare che quando nel 1969 alcuni ricercatori dell’Università di Stanford fecero l’esperimento, l’automobile parcheggiata nel Bronx fu alleggerita in poche ore degli specchietti, delle ruote, dell’autoradio e nei giorni successivi anche del motore e di alcune parti della carrozzeria.
Agli studiosi posizionati a turno nei pressi dell’automobile pareva di assistere ad un’azione portata a segno da un banco di piranha affamati. Tutti i materiali che potevano essere riutilizzati o venduti furono smontati, mentre quelli senza valore furono soggetti a vandalismo.

Mentre l'automobile abbandonata a Palo Alto rimase perfettamente intatta.

Ma aggiungiamo all'esperimento un ulteriore elemento.

Sarebbe possibile stimolare la popolazione di Palo Alto a commettere una qualche forma di crimine sull'autovettura rimasta illesa?
O meglio, le cause che hanno determinato l’esecuzione del crimine nel Bronx sono riconducibili al solo stato di povertà o al diffuso deterioramento sociale?

Gli specialisti in psicologia dell’Università di Stanford provarono a rompere il vetro di un finestrino dell’automobile incustodita a Palo Alto.
Tempo poche ore ed iniziò il medesimo processo già osservato nel Bronx: furto, smantellamento e vandalismo.

Alla fine nel luogo in cui le vetture furono abbandonate restarono i medesimi rottami.

A provocare il crimine, quindi, non fu la povertà o il disagio sociale, ma fu un vetro rotto!

L'esperimento rese palese la "metafora del vetro rotto".
Il vetro rotto come simbolo evidente di trascuratezza, di deterioramento, disinteresse, abbandono, assenza di norme, di regole e di controllo. Ed ogni nuovo attacco alla vettura incrementava ulteriormente nella popolazione quel senso di noncuranza, moltiplicandolo fino a determinare i comportamenti più estremi.


Studi successivi nel campo sociologico e criminologico svilupparono la “teoria delle finestre rotte”: la criminalità è più elevata nelle aree dove l’incuria, la sporcizia, il disordine e l’abuso sono più alti. Così come la criminalità economica regna là dove permane uno stato di assenza di regole, di controllo e di omogeneità e imparzialità delle pene.

La teoria prevede che una comunità che presenta segni di deterioramento o decadimento sociale, senza che tale situazione venga presa in seria considerazione e contrastata, sarà più esposta alla diffusione della criminalità.
Così in un'azienda, se sono tollerati comportamenti illeciti anche di piccolo conto, si svilupperanno quasi certamente situazioni di maggiore rischio di diffusione di frodi di elevata gravità.

La “teoria delle finestre rotte” è stata applicata concretamente per la prima volta da Rudolph Giuliani nella metropolitana di New York nella metà degli anni novanta.
Per contenere le continue violenze, si cominciò a combattere le piccole trasgressioni, quali i graffiti, lo sporco, lo stato di ubriachezza diffusa, il mancato pagamento del biglietto e i piccoli furti. I risultati furono evidenti, riportando la metropolitana ad essere un luogo sicuro.

Morale: per pretendere ed ottenere il rispetto delle regole, anche in contesti aziendali, occorre che tali regole siano chiare ed eque e che queste siano fatte rispettare in modo imparziale e costante.



mercoledì 22 gennaio 2014

Modelli di analisi del crimine economico (la teoria di Felson)

Forse non tutti sanno che la dottrina economica ha elaborato negli anni alcuni modelli teorici che provano a spiegare l'origine e l'evoluzione dei vari comportamenti fraudolenti inerenti la criminalità economico-finanziaria.

Il blog si è già occupato in passato di questi temi e in particolare della teoria tradizionale riguardante gli studi empirici sul white collar crime condotti da Donald R. Cressey, le cui risultanze sono state pubblicate nel 1973 nel volume Other People’s Money: A Study in the Social Psychology of Embezzlement (Colletti sporchi e l'esigenza di nuovi modelli teorici).

Tuttavia i modelli empirici, per loro natura, si basano sull'osservazione e l'analisi di fatti e comportamenti già accaduti.
Pertanto la sintesi teorica nasce e si sviluppa sia dall'esperienza maturata sul campo dai professionisti del settore sia dalla conoscenza prodotta dallo studio di singoli casi eclatanti.

L'obiettivo è trarre spunto dall'esperienza e dall'osservazione per definire una griglia di comportamenti, in correlazione con determinati ambienti e organizzazioni aziendali, che possono essere indicatori di una potenziale frode in atto.

Il lavoro della dottrina si concretizza nella definizione di modelli teorico-pratici utili a definire i protocolli di prevenzione del rischio di frode, i codici etici e di comportamento, le procedure di vigilanza, controllo e deterrenza.

Gli approcci più tradizionali distinguono gli aspetti soggettivi o individuali della persona evidenziando le caratteristiche che possono rendere più probabile una "predisposizione" alla commissione degli illeciti; predisposizione intensificata o favorita dalle condizioni culturali e dalle pressioni ambientali.
Oppure, al contrario, in assenza di inclinazioni particolari soggettive o ambientali o culturali, si enfatizzano le occasioni e le opportunità create grazie ad un mancato o ridotto controllo da parte degli organi preposti alla vigilanza. In questo caso anche un individuo generalmente onesto, cade in tentazione assumendo un comportamento illecito.

Da ultimo i modelli più tradizionali tendono ad attribuire la serialità degli atti illeciti alla cosiddetta "razionalizzazione". Un determinato soggetto, secondo questi studi, tende ad assumere un comportamento illecito in modo non episodico, non solo se le opportunità ambientali di compiere tali atti sono favorevoli (ad esempio in una condizione di carenza dei controlli) ma anche se ha la capacità di giustificare se stesso (ad esempio si compie un atto fraudolento in conseguenza di una presunta ingiustizia subita).

Un approccio alternativo o integrativo rispetto a quello appena descritto risulta essere il "modello di Felson" elaborato nel 2002 da Marcus Felson nella seconda edizione del libro "Crime and Everyday Life".
In buona sostanza la teoria elaborata dal sociologo, professore della University of Michigan, analizza la problematica distinguendo i tre aspetti fondamentali del problema: la persona, l'obiettivo e il guardiano.
Terreno fertile per la realizzazione di una frode è la presenza di una persona "motivata" che persegue un obiettivo "possibile".
A riequilibrare la situazione il modello di Felson prevede che il guardiano debba essere "capace".

In contesti aziendali nei quali le persone sono poco motivate a delinquere e gli obiettivi illeciti impossibili da raggiungere (o troppo rischiosi per essere perseguiti), può essere accettata l'assenza di guardiani ovvero la presenza di fraud autitor poco capaci.
Il rischio di frode in questo caso sarà pressoché nullo.

Naturalmente l'equilibrio tra buoni e cattivi, potrà essere assicurato (in teoria!) anche in presenza di individui molto motivati alla commissione di illeciti e con obiettivi facili da raggiungere, con la presenza di guardiani molto esperti e capaci nella prevenzione, individuazione e gestione della frode.

Per Felson dunque è una questione di pesi e contrappesi. Di azioni e reazioni a risultato nullo.

Ma chi decide quando e come ottenere l'equilibrio?
E come misurare il raggiungimento dell'uguaglianza tra le forze opposte?

Da queste domande (ce ne sarebbero molte altre) si aprono nuovi orizzonti di studio e ricerca.

Infatti, al momento, non sono noti a chi scrive approfondimenti teorici che permettono di definire, in presenza di elementi che evidenziano un determinato rischio di frode (personale motivato a delinquere e obiettivi possibili) quante risorse economiche investire nella prevenzione e mitigazione di tale rischio aziendale.

Infatti se l'aspetto economico legato all'introduzione di modelli di governance anti-frode (l'inserimento cioè dei cosiddetti "guardiani capaci" citati dalla teoria di Felson) è misurabile in termini quantitativi, non lo è con uguale facilità e immediatezza la stima del grado di "motivazione" a compiere l'atto illecito di uno o più soggetti, ovvero la determinazione della "probabilità" di raggiungere fraudolentemente un dato obiettivo.

Trovare un equilibrio tra buoni e cattivi sembra dunque non essere cosa facile.

Attualmente le cosiddette "fraud policy" aziendali possono prevedere una ampio range di possibilità.
Si osserva in alcuni ambiti aziendali una sorta di "stato di polizia" con l'introduzione di molti apparati di vigilanza e controllo coordinati tra loro con poteri immensi e al limite dalla legislazione, mentre in altre occasioni si constata l'assenza di presidi anti-frode con un ambiente aziendale nel quale vige la più completa anarchia e predisposizione all'illecito.

Tutti gli studiosi però sono d'accordo su di un punto fondamentale.

Per essere davvero efficaci, i protocolli, le procedure, i presidi, gli apparati e le strutture anti-frode, devono essere parte di un progetto di ampio respiro e di lungo periodo, orientato allo sviluppo di un ambiente aziendale sereno e meritocratico.
Infatti un clima aziendale favorevole, ed è stato verificato scientificamente, è sempre garanzia di crescita sana e prosperosa.

s.m.


lunedì 13 gennaio 2014

Accesso abusivo alla casella di posta elettronica personale

La quasi totalità delle informazioni che ci riguardano transitano attraverso la posta elettronica.

Si tratta di dati personali - quali i dati bancari e assicurativi, i referti medici, le credenziali di accesso ai social network e alle chat-room - oppure di informazioni ottenute grazie all'analisi delle conversazioni tra amici, colleghi di lavoro eccetera.

In sostanza nella casella di posta elettronica si può trovare ogni elemento utile a ricostruire l'identità di un determinato soggetto; e chi ha accesso, abusivamente, a questi dati ha in mano uno strumento formidabile da utilizzare per le ragioni più varie che vanno dal ricatto alle attività di marketing e promozionali.

Quanti operano nel settore dell'informatica forense possono confermare che l'accesso abusivo alla casella di posta elettronica è ipotesi piuttosto diffusa. 

Si tratta di un reato grave, qualificato dall'art. 615-ter del codice penale ("Accesso abusivo ad un sistema informatico o telematico"), il quale punisce chiunque si introduce abusivamente in un sistema informatico o telematico protetto da misure di sicurezza.
La pena prevista dal codice è la reclusione fino a tre anni, limite elevato a cinque anni in conseguenza dell'applicazione di alcune aggravanti legate al ruolo rivestito dalla persona che commette il reato o in caso di danneggiamento del sistema che si è violato.
Pene incrementate ulteriormente se i sistemi informatici o telematici violati appartengono all'ambito militare, alla sanità, all'ordine pubblico, alla protezione civile eccetera.

Nel caso di intrusione abusiva alla casella di posta elettronica, il delitto è punibile a querela della persona offesa.


Tuttavia non sempre la vittima ha le capacità tecniche necessarie a fornire una prova utilizzabile in giudizio per dimostrare un accesso abusivo alla propria casella di posta elettronica.

Come comportarsi allora se si sospetta una intrusione illegittima al proprio account?

Al fine di far emergere l'eventuale rilevanza penale dei fatti ed ove si ritenga di voler proporre una querela, risulta indispensabile circostanziarla con i seguenti dettagli:
  1. specificare se la casella di posta è utilizzata con frequenza e in quale ambito (lavoro, tempo libero, altro utilizzo);
  2. è fondamentale riportare nella querela la password esatta di accesso alla casella (poiché il Pubblico Ministero dovrà appurare se il sospettato ha utilizzato la medesima password del querelante per prendere cognizione del contenuto della casella);
  3. insieme all'informazione indicata al punto precedente, è necessario specificare anche la domanda segreta eventualmente pre-impostata per ottenere dal sistema informatico la password in caso di dimenticanza, indicando altresì ogni informazione sulle persone che conoscono tale password o che avrebbero potuto conoscerla;
  4. indicare il tipo di collegamento usato (chiavetta internet, rete wireless, remota, Ethernet eccetera) e l'operatore telefonico fornitore del servizio, nonchè il luogo in cui avviene abitualmente l'accesso (casa, lavoro, università, eccetera);
  5. definire il sistema operativo del PC utilizzato abitualmente per l'accesso alla posta elettronica e descrivere gli eventuali aggiornamenti di sicurezza configurati nonché se l’utente possiede i privilegi di amministrazione di tale computer;
  6. indicare le misure di protezione adottate a tutela della password di accesso all'email;
  7. descrizione dei motivi per i quali si ha il sospetto di uno o più accessi abusivi;
  8. elencare il contenuto della casella di posta al momento dei fatti, con particolare riferimento alla presenza di messaggi di grande rilevanza (dati sensibili, personali, riservati).
Se si tratta di casella di posta elettronica aziendale è opportuno allegare alla querela una relazione tecnica redatta dall'amministratore di sistema dell’azienda con la descrizione dell'architettura della rete e delle protezioni esistenti.

Occorre infine evidenziare se la casella di posta elettronica è abbinata ad altri servizi (ad esempio a conti correnti online): a tal fine, indipendentemente dalla presentazione della querela, bisognerà provvedere al più presto al cambio del riferimento e-mail per tali servizi.



domenica 5 gennaio 2014

2014, il punto della situazione

Come tradizione il primo post dell'anno è dedicato a fare il punto della situazione.

Il blog, primo in Italia sul tema, è stato fondato il 19 ottobre 2011 e da quel giorno sono stati registrati più di 40.000 accessi (di cui 18.000 solo nel 2013) e pubblicati 120 articoli (48 dei quali nel 2013).

Il post che nello scorso anno ha riscosso più successo riguarda il ruolo di colui che all'interno dell'azienda si occupa di contrastare i fenomeni fraudolenti, "Il Fraud Manager", con 520 lettori, seguito con i suoi 470 lettori da un argomento molto attuale e origine di tanti episodi legati al crimine economico-finanziario: le "Operazioni con parti correlate... occulte". 

Al terzo posto si è classificato invece un articolo appartenente al ciclo curato da Carlo Calvi, dal titolo "Banco Ambrosiano: operazioni in conto deposito" con 422 lettori.
Su quest'ultimo tema sono in grado di anticipare che prossimamente il blog darà l'accesso in ESCLUSIVA MONDIALE all'intera documentazione riguardante l'accordo siglato nel 1984 tra Banco Ambrosiano Holding S.A. (Luxembourg), Banco Ambrosiano Overseas Limited (Nassau, Bahamas) e Banco Ambrosiano S.p.A. (Milano), accompagnando la pubblicazione con un commento curato da Carlo Calvi.
Si tratta di documentazione poco nota, utile a tutti coloro che ancora oggi stanno cercando di sciogliere i molti nodi ancora oscuri di quella intricata e misteriosa vicenda, a torto considerata appartenente ad un periodo storico ormai lontano dai tempi e dai fatti attuali.

Accanto agli argomenti legati al Banco Ambrosiano, il blog continuerà a trattare i temi classici riguardanti la teoria delle frodi aziendali e gli schemi utilizzati dal crimine economico-finanziario per strutturare le operazioni illecite.

Nel corso del 2013 "Sulla mensola del fraud auditor" sono comparsi nuovi manuali e saggi utili alla professione del forensic accountant. Ma un libro più di altri ha riscosso un più elevato successo tra i lettori. Si tratta di "Cibo criminale. Il nuovo business della mafia italiana" scritto dagli ottimi giornalisti Mara Monti del Sole 24 Ore e Luca Ponzi della RAI.

Da segnalare inoltre quanto diversi lettori hanno evidenziato riguardo ad una certa carenza di articoli sul tema "cybercrime". Sarà obiettivo primario dell'autore del blog recuperare tali mancanze pubblicando post specifici anche grazie al coinvolgimento di esperti del settore.

Nel 2014 saranno pubblicati nella rubrica "Vita da revisori" altri racconti di varie esperienze professionali, per lo più di natura tragicomica. Il post "Qui è vietato rubare!" è stato visionato da 362 lettori, confermando un certo interesse per questo genere narrativo.

Da ultimo una richiesta di aiuto rivolta a tutti!
In questi anni il blog è stato gestito dal suo amministratore senza l'ausilio di collaboratori permanenti.
Tuttavia questa iniziativa, che è nata come un semplice hobby con lo scopo principale di promuovere una professione quasi del tutto sconosciuta in Italia, avrebbe bisogno di nuove forze in grado di contribuire a sviluppare ulteriormente il progetto iniziale. Naturalmente l'invito è esteso a quanti volessero fornire il solo supporto tecnico nella gestione del layout del sito.
Pertanto, chi fosse interessato a dare una mano non esiti a farsi avanti.

(l'amministratore del blog)