Gli impatti della cyber security nel nuovo mondo del lavoro

Last Updated on Febbraio 7, 2023

“Non sono più necessari eserciti e missili per causare danni collettivi. Si possono paralizzare impianti industriali, amministrazioni e ospedali con un semplice computer portatile. Si può perturbare un intero processo elettorale con uno smartphone e una connessione a internet”. 

Con queste parole la presidente della Commissione europea, Ursula vor der Leyen – nel suo discorso “sullo stato dell’Unione” tenuto davanti alla plenaria dell’Europarlamento nel settembre 2021 – ha spiegato l’importanza dell’intervento europeo in materia di cyber sicurezza: enti pubblici e privati, imprese e singoli cittadini sono stati oggetto di minacce informatiche sempre più complesse. Ultimo episodio di attacco hacker a livello mondiale è quello di domenica 5 febbraio 2023.

Si sono rivelati, dunque, assolutamente necessari per le imprese interventi in materia di sicurezza informatica in quanto fondamentali sia per consentire la continuità aziendale (lo svolgimento dell’attività lavorativa è, infatti, preclusa in caso di attacco informatico) che per tutelare il know-how aziendale e le informazioni personali dei dipendenti. 

I comportamenti dei dipendenti possono avere un impatto sulla integrità dei sistemi informatici aziendali.

Ogni giorno i dipendenti possono usare erroneamente i dati aziendali, installare applicazioni non autorizzate, inviare e-mail riservate all’indirizzo sbagliato o diventare vittime di un attacco di phishing. 

Altro aspetto da non sottovalutare è quello di fare in modo che l’uso degli strumenti di sicurezza informatica sia compatibile con la disciplina in materia di controllo a distanza dei dipendenti.

L’art. 4 St. Lav., infatti, prevede che è consentito l’utilizzo delle informazioni raccolte con gli strumenti di lavoro «a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. 196/2003». 

Qualora invece la società abbia necessità di installare degli strumenti di sicurezza, che non vengono utilizzati dai dipendenti per svolgere le proprie mansioni (quindi non qualificabili come strumenti di lavoro), ma da quali possa derivare un controllo a distanza dei lavoratori, prima dell’informativa di cui sopra, occorrerà munirsi di un accordo sindacale, o, in mancanza, di un’autorizzazione da parte dell’Ispettorato del Lavoro.

È, pertanto, fondamentale per tutti gli strumenti, di lavoro o meno, introdurre procedure interne che in maniera precisa indichino le modalità di uso e di effettuazione dei controlli con riferimento a tutti i software e hardware che possano consentire un controllo a distanza dell’attività lavorativa.

Elaborata la procedura interna, è poi necessario esplicitare nel codice disciplinare aziendale che le violazioni delle regole contenute nella medesima saranno sanzionate; bisognerà, dunque, collegare ai comportamenti indicati nella procedura delle sanzioni disciplinari.

Inoltre, poiché i sistemi di sicurezza informatica aziendale per loro natura profilano anche dati e informazioni personali, questi dovranno essere usati nel rispetto della normativa privacy ovvero nel rispetto, tra gli altri, dei principî di pertinenza e non eccedenza dei dati trattati (principio di minimizzazione) e di necessità.

Infine, occorre formare i dipendenti per renderli consapevoli dei rischi degli attacchi informatici, facendo particolare attenzione alla formazione di coloro che lavorano in smart working.

Nella formazione dei dipendenti sarà necessario evidenziare:

  • l’importanza di ogni misura da adottare; 
  • le conseguenze delle violazioni dei sistemi di sicurezza e le difficoltà di ripristino;
  • le regole adottate dal datore di lavoro nelle procedure descritte sopra.

Conclusioni

Una delle principali sfide per le aziende è sicuramente quella di proteggere i propri dati dagli attacchi informatici sempre più frequenti. 

Per ridurre tali rischi, evitando, allo stesso tempo, di incorrere in responsabilità nei confronti dei dipendenti, è necessario:

  1. formare e informare i dipendenti sui comportamenti da evitare e sui rischi in termini di sicurezza informatica;
  2. introdurre delle procedure interne che in maniera precisa indichino le modalità di uso e di effettuazione dei controlli con riferimento a tutti i software e hardware che possano consentire un controllo a distanza dell’attività lavorativa;
  3. esplicitare nel codice disciplinare aziendale che le violazioni delle regole contenute nelle procedure di cui sopra saranno sanzionate.
Per maggiori informazioni: comunicazione@toffolettodeluca.it

Articoli & Insights

Vedi tutti gli articoli di Articoli & Insights
Lavoratori Approvata la legge sulla partecipazione dei dipendenti  Maggio 15, 2025 - Approvata la legge che disciplina quattro forme di partecipazione dei dipendenti alla vita delle imprese: gestionale, economica e finanziaria, organizzativa e consultiva.
Cervello digitalizzato (AI) L’intelligenza artificiale rivoluziona il mondo HR tra rischi e opportunità Maggio 7, 2025 - L’intelligenza artificiale entra sempre più nel mondo HR, offrendo grandi opportunità ma anche nuovi rischi, specie sul piano della privacy e della non discriminazione. Il Regolamento 2024/1689 introduce obblighi e divieti che impongono alle imprese un uso consapevole e conforme delle nuove tecnologie.
Macchina su un computer Decreto Bollette: novità per la determinazione del fringe benefit per i veicoli aziendali concessi in uso promiscuo ai dipendenti Maggio 7, 2025 - Il Decreto Bollette chiarisce la disciplina fiscale applicabile ai fringe benefit derivanti dall’uso promiscuo dei veicoli aziendali, colmando un vuoto normativo e offrendo certezza alle imprese nella gestione delle auto aziendali assegnate ai dipendenti.
Clock Direttiva «Stop the clock»: più tempo per sostenibilità e due diligence Aprile 17, 2025 - La Direttiva 2025/794 "Stop the clock" proroga l’entrata in vigore di alcuni obblighi in materia di sostenibilità e due diligence previsti dalla CSRD e dalla CS3D, concedendo più tempo alle imprese per adeguarsi.