Lo spionaggio aziendale – talvolta chiamato anche spionaggio industriale, spionaggio economico o spionaggio aziendale – è la pratica di usare tecniche di spionaggio per scopi commerciali o finanziari. Di solito pensiamo allo “spionaggio” in termini di spie che lavorano per conto di un governo cercando di ottenere informazioni su un altro. Ma in realtà, molte delle stesse tecniche – e anche molte delle stesse spie – lavorano in entrambi i regni.
Tipi di spionaggio industriale
LegalMatch delinea una serie di tecniche che rientrano sotto l’ombrello dello spionaggio industriale:
- Intrusione nella proprietà di un concorrente o accesso ai suoi file senza permesso
- Fingersi dipendente di un concorrente per apprendere segreti commerciali o altre informazioni confidenziali
- Truffare un concorrente
- Infiltrarsi nei computer di un concorrente
- Attaccare il sito web di un concorrente con malware
Ma non tutto lo spionaggio aziendale è così drammatico. Gran parte di esso può assumere la semplice forma di un insider che trasferisce segreti commerciali da una società all’altra – un dipendente scontento, per esempio, o un dipendente che è stato assunto da un concorrente e porta con sé informazioni che non dovrebbe.
Poi c’è la competitive intelligence, che è, per dirla in termini di infosec, l’hacking white hat dello spionaggio aziendale. Le aziende di competitive intelligence dicono di essere legali e al di sopra delle regole, e raccolgono e analizzano informazioni che sono in gran parte pubbliche e che influenzeranno le fortune dei loro clienti: fusioni e acquisizioni, nuovi regolamenti governativi, chiacchiere su blog e social media, e così via. Potrebbero fare ricerche sul background di un dirigente rivale – non per scavare nel fango, dicono, ma per cercare di capire le sue motivazioni e prevedere il suo comportamento. Questa è la teoria, comunque, anche se a volte, come vedremo, la linea che separa questi operatori dalla criminalità può essere sottile.
Vale anche la pena notare che non tutto lo spionaggio aziendale coinvolge aziende private che spiano altre aziende private. Anche i governi entrano nel gioco – specialmente nei paesi in cui molte aziende sono di proprietà dello stato e il regime vede lo sviluppo economico come un importante obiettivo nazionale. Di conseguenza, anche altri governi si trovano coinvolti in vari gradi; una delle principali motivazioni che il presidente Trump ha dato per intensificare la guerra commerciale con la Cina è stata quella di combattere il furto cinese di segreti commerciali americani. Quando gli attori statali sono coinvolti nel processo, il termine specifico spesso usato è spionaggio economico.
Lo spionaggio industriale è un crimine?
Molte persone hanno l’impressione che spiare una società privata non sia illegale come lo è spiare, per esempio, un paese straniero. Ed è vero che non è illegale ottenere informazioni sui concorrenti con mezzi legali, anche se questi mezzi sono segreti o ingannevoli. Per esempio, si possono mandare “acquirenti segreti” nel negozio di un rivale per vedere come fanno affari, o assumere un investigatore privato per appostarsi intorno ad una fiera e vedere cosa si può ascoltare.
Ma oltre questo, le cose diventano legalmente più complicate. In generale, acquisire segreti commerciali (segreti commerciali che hanno un valore monetario per le imprese che li possiedono) senza il consenso dei loro proprietari è contro la legge.
La legge federale degli Stati Uniti che regola lo spionaggio aziendale è l’Economic Espionage Act del 1996. La legge ha reso il furto di segreti commerciali (al contrario di informazioni classificate o di difesa nazionale) un crimine federale per la prima volta, e codifica una definizione dettagliata di ciò che costituisce un segreto commerciale. Stabilisce anche le sanzioni per lo spionaggio aziendale, che possono arrivare a milioni di dollari e anni di prigione. Gran parte delle misure più severe della legge sono rivolte a coloro che trasferiscono segreti commerciali a società straniere o governi, e infatti la prima condanna in base alla legge ha coinvolto un ingegnere della Boeing che aveva venduto segreti commerciali alla Cina.
Tuttavia, è importante notare che non tutti i casi di spionaggio aziendale meritano un’azione penale, e il Dipartimento di Giustizia degli Stati Uniti ha stabilito le linee guida per i casi da perseguire, I fattori includono:
- La portata dell’attività criminale, compresa la prova del coinvolgimento di un governo straniero, agente straniero, o di uno strumento straniero
- Il grado di danno economico per il proprietario del segreto commerciale
- Il tipo di segreto commerciale sottratto
- L’efficacia dei rimedi civili disponibili
- Il potenziale valore deterrente dell’accusa
Ma solo perché un atto non merita un’accusa non lo rende legale, e le violazioni possono servire come base per cause in tribunale civile. E infine, molti stati americani hanno le loro leggi sullo spionaggio aziendale che sono più severe di quelle federali; il caso “pretexting” di Hewlett-Packard (di cui parleremo tra un momento) ha coinvolto una condotta che non era illegale secondo la legge federale degli Stati Uniti ma lo era in California, e ha portato a una multa di 14 milioni di dollari.
Un caso di spionaggio aziendale
Il fornitore di sicurezza Securonix ha reso disponibile un ottimo caso di studio di un tipico atto di spionaggio aziendale. Due persone che erano stati compagni di classe in un programma di dottorato presso la University of Southern California (USC) sono andati a lavorare per le aziende tecnologiche statunitensi e lentamente e metodicamente esfiltrato i dati per diversi anni a collaboratori in Cina, con l’intento di creare la propria azienda lì con la proprietà intellettuale rubata. Securonix illustra i metodi utilizzati e ciò che gli aggressori hanno fatto bene – e male.
Esempi di spionaggio aziendale e industriale
Una delle verità sullo spionaggio aziendale è che la maggior parte dei casi non vengono denunciati, anche se le vittime ne vengono a conoscenza. Questo perché il danno alla reputazione della vittima se viene rivelato che non ha fatto la sua dovuta diligenza in materia di sicurezza può superare il beneficio di intraprendere un’azione legale contro il suo aggressore. Tuttavia, ci sono stati molti casi di alto profilo di spionaggio aziendale, in particolare nell’industria tecnologica, dove le idee e il codice sono importanti e facilmente incollati in una e-mail.
- Il VP in fuga. Danny Rogers, CEO e fondatore della startup di data intelligence Terbium Labs, ha detto a CSOonline che una volta ha lavorato in una piccola azienda dove il VP di ingegneria ha lasciato e ha preso tutti i dati e i file della società con lui per andare in un concorrente più grande. Questo concorrente ha poi cercato di superare la società per un contratto. Alla fine, la polizia è stata coinvolta, la persona è stata perseguita e poi è andata in prigione.
- La guerra civile di HP. Uno dei casi di spionaggio industriale di più alto profilo degli anni ’00 ha coinvolto Hewlett-Packard che spiava… se stessa. Disperata per capire chi stava facendo trapelare informazioni dannose alla stampa, l’azienda ha assunto più agenzie di PI per spiare i propri membri del consiglio di amministrazione, che a loro volta hanno raccolto le registrazioni telefoniche degli obiettivi tramite “pretesto” – essenzialmente, contattando le compagnie telefoniche e bluffando per fargli credere che sei il proprietario dell’account telefonico su cui stai cercando di ottenere informazioni. È un atto criminale in California, e la saga ha messo fine alla carriera di diversi dirigenti HP.
- Battaglia delle lame. Nel 1997, Steven L. Davis era un ingegnere di controllo dei processi per Wright Industries Inc, un subappaltatore di Gillette, ed era appena stato retrocesso a un ruolo inferiore nel progetto Mach 3 della società. Arrabbiato per quello che vedeva come un attacco alla sua carriera, decise di vendicarsi inviando segreti commerciali sul progetto Mach 3, non richiesti e senza alcuna richiesta di denaro, a diversi rivali di Gillette. Onestamente, Schick riferì immediatamente l’atto a Gillette, che coinvolse l’FBI, e Davis finì per andare in prigione per più di due anni.
- Un’indagine trash. Nel 2000, Microsoft stava lottando contro una causa antitrust del governo federale americano, e Larry Ellison, CEO di Oracle, sospettava che due organizzazioni di ricerca apparentemente indipendenti che stavano rilasciando rapporti pro-Microsoft, l’Independent Institute e la National Taxpayers Union, fossero segretamente sul libro paga di Redmond. Dopo essere stato sorpreso a pagare gli investigatori per acquisire la spazzatura dei gruppi, Ellison ha affermato che Oracle stava solo facendo il suo “dovere civico” per aiutare il caso del governo, e si è offerto di inviare la spazzatura della sua azienda al quartier generale di Microsoft nell’interesse della piena trasparenza.
- Non molto ospitale. Nel 2010, due grandi catene alberghiere, Hilton Worldwide e Starwood Resorts & Hotels, hanno risolto una disputa legale sullo spionaggio industriale in un modo che dimostra come le sanzioni possono essere severe anche se non si persegue un’azione penale. Lo scandalo è sorto quando Hilton, cercando di replicare il successo del marchio W di Starwood di “lifestyle hotels”, ha assunto due dirigenti di Starwood, che hanno portato via i segreti industriali. Nell’accordo legale che ne è seguito, Hilton ha accettato di pagare a Starwood 75 milioni di dollari in contanti, offrire loro altri 75 milioni di dollari in contratti di gestione alberghiera, non aprire alcun marchio di hotel lifestyle per due anni, e sottoporsi a essere “baby sat” da monitor nominati dal tribunale per garantire la conformità.
Per altri esempi divertenti, controlla questa lista da CSOonline.
Lavori di spionaggio aziendale
Se il mondo dello spionaggio aziendale ti sembra eccitante, potresti voler dare un’occhiata a SCIP, l’organizzazione commerciale per i professionisti di competitive intelligence. Possono metterti in contatto con risorse e altre informazioni.
Per quanto riguarda il modo in cui si entra nel campo: beh, molte delle persone che lavorano nello spionaggio aziendale hanno iniziato dal lato governativo del lavoro di spionaggio. Infatti, così tanti sono ex agenti della CIA e dell’FBI, che usano le competenze acquisite con lo Zio Sam per proteggere o promuovere la causa delle aziende private, che alcuni si sono chiesti se i contribuenti statunitensi stiano sovvenzionando lo spionaggio aziendale.
Società di spionaggio aziendale
Le grandi aziende spesso mantengono i loro dipartimenti interni di intelligence competitiva, con analisti interni che cercano di mantenere una gamba sopra la concorrenza. Alcuni dei più grandi spenditori sono nel settore farmaceutico; più di un quarto delle aziende farmaceutiche spendono più di 2 milioni di dollari all’anno in competitive intelligence. Ma quasi ogni grande azienda spenderà soldi in misure di controspionaggio; dopo che Nasim Najafi Aghdam ha cercato di attaccare la sede di YouTube nel 2018, un dirigente di Google ha detto a Vanity Fair che le era stato serendipitosamente impedito di entrare nell’edificio da misure di sicurezza che erano state effettivamente messe in atto per proteggere i dati.
Ci sono anche aziende indipendenti e società di consulenza specializzate in spionaggio aziendale e industriale, e i loro nomi tendono ad apparire nelle notizie solo quando hanno fatto qualcosa di particolarmente inquietante o egregio. Tra queste, la Kroll, Inc. che ha aiutato a recuperare i fondi depredati da un regime dittatoriale, ma che mantiene anche segreti per le banche di Wall Street; la C2i International, che si infiltra nei gruppi di attivisti, non solo per riferire sulle loro attività, ma anche per mettere i membri uno contro l’altro; e la Black Cube, una società fondata da ex agenti del Mossad che ha lavorato per minare gli accusatori di Harvey Weinstein.
Film di spionaggio aziendale
Vuoi vedere lo spionaggio industriale sul grande schermo? Uno dei film di maggior successo degli ultimi anni sull’argomento è Inception, che presenta consulenti che cercano di acquisire segreti aziendali. Naturalmente, c’è la piccola questione dei metodi che hanno usato – invadere i sogni dei loro soggetti – che non è del tutto realistico.
Per un approccio un po’ più concreto, potresti voler controllare Duplicity, un sottovalutato film del 2009 con Julia Roberts e Clive Owen, che oltre a non coinvolgere paesaggi onirici fantascientifici ha l’ulteriore bonus realistico di rendere le sue due star ex-spie della CIA e del MI-6 che poi passano all’intelligence aziendale.
Ancora sullo spionaggio aziendale
- 4 fattori per evitare attacchi di spionaggio informatico
- Spionaggio informatico: La Cina vuole la proprietà intellettuale delle aziende giapponesi
- Spionaggio industriale: Segreti rubati, fortune perse
- Def Con talk dà consigli low-tech per rilevare la sorveglianza high-tech
- Il furto di foglie di tè e l’evoluzione della prevenzione dello spionaggio informatico