Sicurezza informatica. L’impatto dello smart working

Last Updated on Febbraio 12, 2024

In un mondo sempre più digitalizzato e connesso la sicurezza informatica è diventata di fondamentale importanza.

Ma cos’è la cyber-security?

É l’insieme delle «attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche», secondo la definizione data dal Regolamento (UE) 2019/881 relativo all’ENISA (Agenzia dell’UE per la cibersicurezza), ente incaricato di conseguire un elevato livello comune di sicurezza informatica in tutta l’Unione.

La sicurezza informatica aziendale, in particolare, consiste nella salvaguardia dell’integrità, della riservatezza e della disponibilità di dati e informazioni che vengono gestiti direttamente da un’impresa ed è indispensabile sia per consentire la continuità dell’attività, preclusa in caso di attacco informatico, che per tutelare il know-how aziendale e le informazioni personali dei dipendenti.

Le questioni attinenti alla sicurezza informatica sono molteplici e coinvolgono anche il diritto del lavoro. Vediamo insieme in che termini.

Smart working e ampliamento del “perimetro informatico”

Le minacce alla sicurezza informatica si adeguano ai nuovi modi di lavorare e alle nuove tecnologie che possono anche determinare un aumento dei rischi.

La cyber-security, infatti, si basa sul concetto di “perimetro informatico” dell’impresa, inteso come estensione del network in cui vengono scambiate le informazioni aziendali che non devono essere vulnerabili ad attacchi provenienti dall’esterno. Con la diffusione dello smart working si è verificato quello che gli esperti definiscono l’allargamento del perimetro informatico con conseguente ampliamento delle aree in cui si insinua il rischio di attacchi alla sicurezza.

I rischi, infatti, possono derivare da:

  • uso di dispositivi personali per lavorare (approccio denominato BYOD, Bring Your Own Device), in genere privi di misure di sicurezza necessarie per fronteggiare un attacco informatico;
  • connessione a reti domestiche e/o wi-fi pubblici che non hanno lo stesso livello di protezione delle infrastrutture aziendali;
  • errore umano come l’invio di e-mail al destinatario sbagliato con documenti riservati in allegato;
  • accesso a spazi condivisi in cui si lasciano computer incustoditi con e-mail e documenti riservati aperti.

Per ridurre al minimo i rischi informatici è fondamentale che le imprese adottino tutte le misure raccomandate dagli esperti in materia quali, ad esempio, una VPN (i.e. una rete di telecomunicazione privata che consente di comunicare in modo sicuro grazie a una connessione cifrata) e l’autenticazione a più fattori che crea diverse fasi di accesso prima di riuscire ad entrare nel sistema.

Tali strumenti, tuttavia, non sono sufficienti se non accompagnati da un’adeguata formazione dei dipendenti. È necessario, infatti, accrescere la consapevolezza dei propri dipendenti sul corretto utilizzo dei dispositivi aziendali, sui comportamenti da evitare e sui rischi in caso di violazione dei divieti.

A tal proposito, in caso di prestazione lavorativa svolta in modalità agile, è indispensabile che il relativo accordo stipulato con il dipendente specifichi gli obblighi connessi all’uso degli strumenti di lavoro messi a disposizione, quali:

  • utilizzare esclusivamente gli strumenti e le apparecchiature tecnologiche fornite dalla società;
  • utilizzare gli strumenti di lavoro soltanto per lo svolgimento dell’attività lavorativa, nel rispetto di quanto previsto dai regolamenti aziendali, e non per scopi personali o non connessi all’attività lavorativa;
  • custodire gli strumenti di lavoro con la massima cura e diligenza e adottare le necessarie precauzioni affinché terzi, anche se familiari, non possano accedere agli strumenti di lavoro;
  • avvisare tempestivamente il proprio responsabile in caso di guasto, furto o smarrimento degli strumenti e, se del caso, attivare le procedure aziendali di sicurezza.

È, inoltre, indispensabile:

  • una policy ex art. 4 St. Lav. ovvero l’informativa sulle modalità d’uso degli strumenti di lavoro e di effettuazione dei controlli da parte della società;
  • integrare il codice disciplinare con l’indicazione delle sanzioni previste in caso di violazione degli obblighi sopra elencati.
Cyber security e art. 4 dello Statuto dei Lavoratori

Anche quando la prestazione lavorativa non è resa in modalità agile, è importante fare in modo che l’uso degli strumenti di sicurezza informatica sia compatibile con la disciplina in materia di controllo a distanza dei dipendenti.

L’art. 4 dello Statuto dei Lavoratori, infatti, prevede che è consentito l’utilizzo delle informazioni raccolte con gli strumenti di lavoro «a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.lgs. 196/2003».

Qualora la società abbia necessità di installare degli strumenti che non vengono utilizzati dai dipendenti per svolgere le proprie mansioni (quindi non qualificabili come strumenti di lavoro), ma dai quali possa derivare un controllo a distanza dei lavoratori occorrerà un accordo sindacale, o, in mancanza, un’autorizzazione da parte dell’Ispettorato del Lavoro.

Qualora i dipendenti usino degli strumenti di lavoro da cui sia possibile realizzare un controllo a distanza della prestazione lavorativa non vi sarà invece bisogno del preventivo accordo sindacale o dell’autorizzazione da parte dell’Ispettorato del Lavoro.

In entrambi i casi è, invece, necessario, introdurre procedure interne che in maniera precisa indichino le modalità di uso e di effettuazione dei controlli con riferimento a tutti i software e hardware che possano consentire un controllo a distanza dell’attività lavorativa.

Elaborata la procedura interna, è poi necessario esplicitare nel codice disciplinare aziendale che le violazioni delle regole contenute nella medesima saranno sanzionate; bisognerà, dunque, collegare ai comportamenti indicati nella procedura le sanzioni disciplinari.

Inoltre, poiché i sistemi di sicurezza informatica aziendale per loro natura profilano anche dati e informazioni personali, questi dovranno essere trattati nel rispetto della normativa privacy e, quindi, dei principî fissati dal Regolamento (UE) 2016/679 (GDPR) quali:

  • liceità, correttezza e trasparenza del trattamento;
  • limitazione della finalità del trattamento (i dati devono essere raccolti per finalità determinate, esplicite e legittime);
  • minimizzazione (i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento);
  • esattezza e aggiornamento (eventuali inesattezze devono essere tempestivamente rettificate ovvero i dati inesatti devono essere cancellati);
  • limitazione della conservazione (i dati devono essere conservati per il tempo necessario al raggiungimento delle finalità per le quali sono trattati);
  • integrità e riservatezza (i dati devono essere sempre trattati in modo da garantire una sicurezza adeguata, il che prevede l’adozione di misure di sicurezza tecniche ed organizzative per proteggere i dati da trattamenti non autorizzati o illeciti, dalla loro perdita, distruzione o dal danno accidentale).
Conclusioni

Una delle principali sfide per le società è sicuramente quella di proteggere i propri dati dagli attacchi informatici sempre più frequenti. La diffusione dello smart working, infatti, ha ampliato il perimetro informatico aziendale e, quindi, le aree in cui si insinua il rischio di attacchi alla sicurezza.

Lo Studio è a Vostra disposizione per suggerirvi le strategie per proteggere le imprese dai rischi informatici, disciplinando le azioni che un dipendente può fare o non nell’uso degli strumenti informatici aziendali sia hardware che software.

Per maggiori informazioni: comunicazione@toffolettodeluca.it
Conversione del premio di risultato in welfare: suggerimenti per superare le barriere culturali ed informative Novembre 11, 2024 - L’articolo esplora le opportunità e le sfide nella conversione del premio di risultato in welfare aziendale, con particolare attenzione alle barriere informative e culturali e ai vantaggi fiscali per lavoratori e aziende.
Lavoro digitale: nuove regole dall’UE Novembre 11, 2024 - L'11 novembre 2024 è stata pubblicata la Direttiva UE 2024/2381 per migliorare i diritti dei lavoratori delle piattaforme digitali. La normativa mira a tutelare i lavoratori tramite nuove regole su trasparenza, gestione algoritmica e protezione dati.
L'intelligenza artificiale: opportunità e responsabilità per il mondo del lavoro Intelligenza artificiale e lavoro. Un percorso tra innovazione e tutela dei diritti Ottobre 24, 2024 - Il Regolamento UE sull'intelligenza artificiale mira a promuovere l'innovazione tecnologica proteggendo i diritti fondamentali dei lavoratori. Esamina le norme sull'uso dell'IA e i sistemi ad alto rischio nel contesto lavorativo.
Lavoratori stranieri, flussi migratori Nuove disposizioni per l’ingresso dei lavoratori stranieri e la lotta al caporalato Ottobre 14, 2024 - Il Decreto Legge n. 145/2024 semplifica l'ingresso dei lavoratori stranieri e rafforza le misure contro il caporalato, garantendo procedure più sicure e la protezione dei lavoratori sfruttati.