Mario Rossi ha rassegnato dimissioni venerdì. Lunedì entra in concorrenza con la tua azienda. Sospetto fondato: ha esportato dati clienti prima di lasciare. Come provarlo? Vediamo come usare audit log per investigazioni interne.
I 5 segnali di sospetto
- Picco di download/esportazioni nei giorni precedenti.
- Accessi a dati fuori dal proprio ambito.
- Login fuori orario lavorativo o da IP esterni.
- Query massive su tabelle clienti/listini.
- Accessi multipli da stesso utente in tempi anomali.
Investigazione step-by-step
Step 1: definisci scope
Cosa cerchi:
- Utente: Mario Rossi.
- Periodo: ultimi 60 giorni prima di dimissioni.
- Tipologia: query, esportazioni, download.
Step 2: filtra audit log
Nel modulo Logging:
- Filtro utente: mario.rossi@azienda.it.
- Filtro periodo: ultimi 60 giorni.
- Visualizza tutto.
Step 3: analizza pattern
Cose da cercare:
- Numero query: aumento drammatico negli ultimi 30 giorni?
- Tipo query: focus su clienti, prezzi, marginalità?
- Esportazioni: aumento di download CSV/Excel?
- Orari: accessi serali/weekend non usuali?
- IP: da casa? Da paesi esteri?
Step 4: timeline eventi
Costruisci timeline cronologica:
| Data | Evento | Anomalia |
|---|---|---|
| 15 marzo | Comunicazione dimissioni | − |
| 18 marzo (sera) | Login da IP non aziendale alle 22:30 | ⚠️ |
| 18 marzo (sera) | 10 export CSV dati clienti | ⚠️ |
| 19 marzo | 5 query massive listino | ⚠️ |
| 20 marzo | Export anagrafica completa | ⚠️⚠️ |
| 22 marzo | Ultimo giorno lavorativo | − |
Step 5: confronto storico
Confronta con periodo precedente:
- Mario faceva normalmente 20 query/giorno?
- 0 esportazioni/mese?
- Mai login serali?
Picco recente di 50 query/giorno + 20 esportazioni in 1 settimana = pattern anomalo.
Step 6: documentazione
Per uso legale, documentazione strutturata:
- Esportazione audit log periodo.
- Screenshot pattern anomali.
- Timeline eventi.
- Confronto con baseline.
- Eventuale verifica integrità (hash log).
Cosa serve come prova
In tribunale o procedura disciplinare interna, audit log valido come prova se:
- Immutabilità dimostrabile: hash, sigilli temporali.
- Catena di custodia: documentata estrazione log.
- Completezza: niente "buchi" temporali.
- Affidabilità sistema: BI con architettura conforme (audit ISO o equivalente).
Implicazioni legali
Diritto del lavoro
Statuto Lavoratori art. 4 (controlli a distanza):
- Audit log è ammesso se finalità organizzative/sicurezza.
- Informativa preventiva al lavoratore obbligatoria.
- Eventuale accordo sindacale per imprese >50 dipendenti.
GDPR
- Trattamento dati personali del lavoratore.
- Base giuridica: legittimo interesse (sicurezza aziendale).
- Conservazione limitata.
Furto dati / concorrenza sleale
Se confermato:
- Azione disciplinare interna (licenziamento per giusta causa).
- Azione civile per concorrenza sleale.
- Eventuale denuncia penale (se truffa, accesso abusivo art. 615-ter c.p.).
Best practice prevenzione
Prima delle dimissioni
Quando un dipendente comunica dimissioni:
- Riduci immediatamente permessi (no esportazioni).
- Monitora attività più frequentemente.
- Eventuale account "sospeso" per ultimi giorni.
Onboarding
NDA e clausole non concorrenza chiare. Comunicate al primo giorno.
Audit periodici
Anche senza sospetti, review periodica audit log per identificare anomalie generiche.
Formazione
Far sapere ai dipendenti che audit log esiste. Effetto deterrente.
Limiti e cautele
Falsi positivi
Pattern anomalo può avere spiegazioni legittime:
- Picco di lavoro per progetto.
- Trasferimento responsabilità prima di dimissioni.
- Documentazione interna (legitt.).
Audit log è punto di partenza, non sentenza. Investigation richiede colloquio col dipendente.
Rispetto privacy
Investigation non deve sconfinare in sorveglianza generalizzata. Solo per sospetti specifici e fondati.
Coinvolgimento legale
Per casi con implicazioni legali: coinvolgi avvocato del lavoro fin dall'inizio.
I moduli ReportIA correlati
Scopri ReportIA con audit trail forense.
