Sicurezza informatica. L’impatto dello smart working

Sicurezza informatica. L’impatto dello smart working

Last Updated on Febbraio 12, 2024

In un mondo sempre più digitalizzato e connesso la sicurezza informatica è diventata di fondamentale importanza.

Ma cos’è la cyber-security?

É l’insieme delle «attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche», secondo la definizione data dal Regolamento (UE) 2019/881 relativo all’ENISA (Agenzia dell’UE per la cibersicurezza), ente incaricato di conseguire un elevato livello comune di sicurezza informatica in tutta l’Unione.

La sicurezza informatica aziendale, in particolare, consiste nella salvaguardia dell’integrità, della riservatezza e della disponibilità di dati e informazioni che vengono gestiti direttamente da un’impresa ed è indispensabile sia per consentire la continuità dell’attività, preclusa in caso di attacco informatico, che per tutelare il know-how aziendale e le informazioni personali dei dipendenti.

Le questioni attinenti alla sicurezza informatica sono molteplici e coinvolgono anche il diritto del lavoro. Vediamo insieme in che termini.

Smart working e ampliamento del “perimetro informatico”

Le minacce alla sicurezza informatica si adeguano ai nuovi modi di lavorare e alle nuove tecnologie che possono anche determinare un aumento dei rischi.

La cyber-security, infatti, si basa sul concetto di “perimetro informatico” dell’impresa, inteso come estensione del network in cui vengono scambiate le informazioni aziendali che non devono essere vulnerabili ad attacchi provenienti dall’esterno. Con la diffusione dello smart working si è verificato quello che gli esperti definiscono l’allargamento del perimetro informatico con conseguente ampliamento delle aree in cui si insinua il rischio di attacchi alla sicurezza.

I rischi, infatti, possono derivare da:

  • uso di dispositivi personali per lavorare (approccio denominato BYOD, Bring Your Own Device), in genere privi di misure di sicurezza necessarie per fronteggiare un attacco informatico;
  • connessione a reti domestiche e/o wi-fi pubblici che non hanno lo stesso livello di protezione delle infrastrutture aziendali;
  • errore umano come l’invio di e-mail al destinatario sbagliato con documenti riservati in allegato;
  • accesso a spazi condivisi in cui si lasciano computer incustoditi con e-mail e documenti riservati aperti.

Per ridurre al minimo i rischi informatici è fondamentale che le imprese adottino tutte le misure raccomandate dagli esperti in materia quali, ad esempio, una VPN (i.e. una rete di telecomunicazione privata che consente di comunicare in modo sicuro grazie a una connessione cifrata) e l’autenticazione a più fattori che crea diverse fasi di accesso prima di riuscire ad entrare nel sistema.

Tali strumenti, tuttavia, non sono sufficienti se non accompagnati da un’adeguata formazione dei dipendenti. È necessario, infatti, accrescere la consapevolezza dei propri dipendenti sul corretto utilizzo dei dispositivi aziendali, sui comportamenti da evitare e sui rischi in caso di violazione dei divieti.

A tal proposito, in caso di prestazione lavorativa svolta in modalità agile, è indispensabile che il relativo accordo stipulato con il dipendente specifichi gli obblighi connessi all’uso degli strumenti di lavoro messi a disposizione, quali:

  • utilizzare esclusivamente gli strumenti e le apparecchiature tecnologiche fornite dalla società;
  • utilizzare gli strumenti di lavoro soltanto per lo svolgimento dell’attività lavorativa, nel rispetto di quanto previsto dai regolamenti aziendali, e non per scopi personali o non connessi all’attività lavorativa;
  • custodire gli strumenti di lavoro con la massima cura e diligenza e adottare le necessarie precauzioni affinché terzi, anche se familiari, non possano accedere agli strumenti di lavoro;
  • avvisare tempestivamente il proprio responsabile in caso di guasto, furto o smarrimento degli strumenti e, se del caso, attivare le procedure aziendali di sicurezza.

È, inoltre, indispensabile:

  • una policy ex art. 4 St. Lav. ovvero l’informativa sulle modalità d’uso degli strumenti di lavoro e di effettuazione dei controlli da parte della società;
  • integrare il codice disciplinare con l’indicazione delle sanzioni previste in caso di violazione degli obblighi sopra elencati.
Cyber security e art. 4 dello Statuto dei Lavoratori

Anche quando la prestazione lavorativa non è resa in modalità agile, è importante fare in modo che l’uso degli strumenti di sicurezza informatica sia compatibile con la disciplina in materia di controllo a distanza dei dipendenti.

L’art. 4 dello Statuto dei Lavoratori, infatti, prevede che è consentito l’utilizzo delle informazioni raccolte con gli strumenti di lavoro «a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.lgs. 196/2003».

Qualora la società abbia necessità di installare degli strumenti che non vengono utilizzati dai dipendenti per svolgere le proprie mansioni (quindi non qualificabili come strumenti di lavoro), ma dai quali possa derivare un controllo a distanza dei lavoratori occorrerà un accordo sindacale, o, in mancanza, un’autorizzazione da parte dell’Ispettorato del Lavoro.

Qualora i dipendenti usino degli strumenti di lavoro da cui sia possibile realizzare un controllo a distanza della prestazione lavorativa non vi sarà invece bisogno del preventivo accordo sindacale o dell’autorizzazione da parte dell’Ispettorato del Lavoro.

In entrambi i casi è, invece, necessario, introdurre procedure interne che in maniera precisa indichino le modalità di uso e di effettuazione dei controlli con riferimento a tutti i software e hardware che possano consentire un controllo a distanza dell’attività lavorativa.

Elaborata la procedura interna, è poi necessario esplicitare nel codice disciplinare aziendale che le violazioni delle regole contenute nella medesima saranno sanzionate; bisognerà, dunque, collegare ai comportamenti indicati nella procedura le sanzioni disciplinari.

Inoltre, poiché i sistemi di sicurezza informatica aziendale per loro natura profilano anche dati e informazioni personali, questi dovranno essere trattati nel rispetto della normativa privacy e, quindi, dei principî fissati dal Regolamento (UE) 2016/679 (GDPR) quali:

  • liceità, correttezza e trasparenza del trattamento;
  • limitazione della finalità del trattamento (i dati devono essere raccolti per finalità determinate, esplicite e legittime);
  • minimizzazione (i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento);
  • esattezza e aggiornamento (eventuali inesattezze devono essere tempestivamente rettificate ovvero i dati inesatti devono essere cancellati);
  • limitazione della conservazione (i dati devono essere conservati per il tempo necessario al raggiungimento delle finalità per le quali sono trattati);
  • integrità e riservatezza (i dati devono essere sempre trattati in modo da garantire una sicurezza adeguata, il che prevede l’adozione di misure di sicurezza tecniche ed organizzative per proteggere i dati da trattamenti non autorizzati o illeciti, dalla loro perdita, distruzione o dal danno accidentale).
Conclusioni

Una delle principali sfide per le società è sicuramente quella di proteggere i propri dati dagli attacchi informatici sempre più frequenti. La diffusione dello smart working, infatti, ha ampliato il perimetro informatico aziendale e, quindi, le aree in cui si insinua il rischio di attacchi alla sicurezza.

Lo Studio è a Vostra disposizione per suggerirvi le strategie per proteggere le imprese dai rischi informatici, disciplinando le azioni che un dipendente può fare o non nell’uso degli strumenti informatici aziendali sia hardware che software.

Per maggiori informazioni: comunicazione@toffolettodeluca.it

Articoli & Insights

Vedi tutti gli articoli di Articoli & Insights
Rapporto biennale sulla situazione del personale maschile e femminile Parità di genere: attenzione alle scadenze per il rapporto biennale e l’esonero contributivo Aprile 12, 2024 - Il termine per la trasmissione del Rapporto biennale 2022-2023 sulla situazione del personale maschile e femminile è differito dal 30 aprile al 15 luglio 2024. Si ricorda che, ai sensi dell’art. 46 del D.Lgs. n. 198/2006, le imprese che occupano più di 50 dipendenti devono elaborare un rapporto sulla situazione del personale maschile e femminile e inviarlo, con cadenza biennale, al Ministero del lavoro, alle rsa, al Consigliere regionale di parità e al Dipartimento delle pari opportunità della Presidenza del CdM.
digital nomad Immigrazione: operative le regole per l’ingresso e il soggiorno dei nomadi digitali e dei lavoratori da remoto Aprile 8, 2024 - Il 4 aprile 2024 è stato pubblicato il Decreto ministeriale del 29 febbraio 2024 ed è ora operativa la previsione che permette l’ingresso in Italia ai cittadini stranieri che svolgano, in via autonoma o per un’impresa anche non stabilita nel nostro Paese, un’attività lavorativa altamente qualificata mediante strumenti tecnologici che consentano di lavorare da remoto. Detti soggetti sono ammessi in Italia indipendentemente dalle quote stabilite nella programmazione dei flussi di ingresso per motivi di lavoro degli extracomunitari. Il Decreto si applica ai lavoratori autonomi (nomadi digitali), a quelli subordinati e ai collaboratori le cui modalità di esecuzione della prestazione sono organizzate dal committente anche con riferimento ai tempi e al luogo di lavoro (etero-organizzati).
Le novità dell’ultimo anno in materia di salute e sicurezza sul lavoro Le novità dell’ultimo anno in materia di salute e sicurezza sul lavoro Aprile 3, 2024 - La Giornata mondiale della salute e della sicurezza nei luoghi di lavoro del 28 aprile è un’importante occasione per fare il punto sul livello di garanzia realmente raggiunto e per riflettere sulla distanza che ci separa dall’obiettivo “zero morti sul lavoro” nell’Unione europea entro il 2030. Si tratta dell’ambizioso obiettivo fissato dalla Confederazione europea dei sindacati nel 2022. I dati allarmanti sulla sicurezza nei cantieri hanno spinto il Governo ad adottare un nuovo pacchetto di norme, inserito nel decreto legge n. 19/2024 - noto come decreto PNRR 4 - pubblicato in Gazzetta Ufficiale il 2 marzo 2024. Non è questo l’unico intervento dell’ultimo anno in materia di salute e sicurezza: novità interessanti sono state introdotte anche dal Decreto Lavoro 2023 e dall’UE sono arrivate nuove regole sull’esposizione all’amianto.
In caso di dimissioni il datore di lavoro può rinunciare al preavviso senza corrispondere l’indennità sostitutiva In caso di dimissioni il datore di lavoro può rinunciare al preavviso senza corrispondere l’indennità sostitutiva Aprile 3, 2024 - L’istituto del preavviso è comune alla maggior parte dei contratti di durata a tempo indeterminato, come il contratto di agenzia e il contratto di lavoro subordinato, e la sua funzione consiste nell’attenuare le conseguenze pregiudizievoli della cessazione del contratto per la parte che subisce il recesso. Nel caso di rapporti di lavoro a tempo indeterminato la funzione del preavviso è quella di garantire alla parte che subisce il recesso di organizzarsi per trovare un sostituto (in caso di dimissioni) o per trovare un nuovo lavoro (in caso di licenziamento). Che succede se il lavoratore si dimette con preavviso e il datore di lavoro vi rinuncia? Sul punto si sta consolidando un interessante orientamento giurisprudenziale che correttamente dispone che in caso di dimissioni il datore che rinunci al preavviso non debba corrispondere all’ex dipendente l’indennità sostitutiva.