Aziende e Controllo dei Dispositivi Aziendali

Cyber Security Aziendale: limiti, possibilità e cautele

L’esigenza di proteggere l’infrastruttura informatica, prevenire perdite di dati, contrastare accessi non autorizzati e individuare comportamenti potenzialmente dannosi rende la cybersecurity aziendale una componente imprescindibile dell’organizzazione moderna. Questi obiettivi legittimano una serie di controlli tecnici sui dispositivi aziendali, ma solo entro confini ben determinati, per evitare violazioni della privacy e trattamenti illeciti dei dati personali.

I dispositivi forniti dall’azienda – computer, smartphone, tablet, SIM aziendali, reti interne, VPN, software di sicurezza – non appartengono al dipendente: sono strumenti di lavoro. Questo permette un livello più ampio di monitoraggio rispetto a quello consentito sui luoghi fisici, ma non significa libertà assoluta.

Fino a dove l’azienda può spingersi nel controllare i device aziendali

Gli strumenti di cybersecurity possono includere:

  • sistemi antivirus e antimalware;
  • monitoraggio dei log di accesso;
  • controllo del traffico di rete;
  • rilevazione di intrusioni (IDS/IPS);
  • sistemi di Mobile Device Management (MDM);
  • registrazione delle attività sui dispositivi (solo se proporzionata e giustificata).

La legge consente l’uso di tali strumenti se rispettano tre principi cardine:

1. Necessità e proporzionalità

Il controllo deve essere strettamente legato alla sicurezza informatica, all’integrità dei sistemi e alla prevenzione di comportamenti illeciti.

2. Finalità chiare e lecite

Le attività tecniche devono essere destinate alla tutela dell’azienda: protezione dati, continuità operativa, prevenzione di violazioni, difesa del patrimonio.

3. Trasparenza verso il dipendente

Il lavoratore deve essere informato:

  • delle tipologie di strumenti utilizzati;
  • di come vengono raccolti eventuali log;
  • della finalità di sicurezza;
  • dei casi in cui può scattare un controllo approfondito.

L’informativa è obbligatoria anche quando gli strumenti non richiedono accordo sindacale (es. strumenti essenziali per la prestazione).

Dati che possono essere raccolti per motivi di cybersecurity

L’azienda può legittimamente trattare dati che riguardano:

1. Log di accesso e autenticazione

  • orari di accesso a sistemi aziendali;
  • IP utilizzati;
  • tentativi di login falliti;
  • uso improprio delle credenziali.

Questi dati sono essenziali per la sicurezza e normalmente rientrano negli “strumenti di lavoro”.

2. Monitoraggio del traffico di rete

L’azienda può registrare:

  • connessioni verso siti rischiosi;
  • download sospetti;
  • utilizzo anomalo della banda;
  • traffico verso server esterni non autorizzati.

Il contenuto delle comunicazioni non può essere letto se non vi è un fondato motivo legato alla sicurezza e solo secondo procedure formalizzate.

3. Telemetria tecnica dei dispositivi

  • stato del sistema operativo;
  • applicazioni installate;
  • patch mancanti;
  • comportamenti anomali del sistema.

Non è consentito un monitoraggio prolungato e discriminato dell’attività del lavoratore finalizzato a valutarne la produttività.

4. Dati relativi all’uso improprio degli strumenti

È possibile rilevare attività che costituiscono:

  • installazione di software pirata;
  • trasferimento illecito di file;
  • tentativi di accesso a dati sensibili;
  • comportamenti che mettono a rischio la sicurezza informatica.

Tuttavia, l’utilizzo di tali dati a fini disciplinari richiede sempre il rispetto degli adempimenti previsti dall’art. 4 Statuto dei lavoratori.

Dati che NON possono essere raccolti o usati per controllare la fedeltà aziendale

Esistono limiti invalicabili. L’azienda non può:

1. Accedere a contenuti personali privati del lavoratore

Ad esempio:

  • messaggi privati su app personali;
  • contenuti personali presenti all’interno del dispositivo se non strettamente necessari per ragioni di sicurezza;
  • file salvati in cartelle contrassegnate come personali (se l’azienda lo prevede).

2. Effettuare monitoraggio costante e indiscriminato

Non sono ammessi:

  • registrazioni continue delle attività;
  • keylogging non dichiarato;
  • software occulto di intercettazione.

3. Geolocalizzare il dipendente fuori dall’orario di lavoro

Il GPS su veicoli e device può essere attivo solo per finalità aziendali e nel rispetto delle fasce orarie comunicate.

4. Usare strumenti di cybersecurity come mezzo occulto di sorveglianza comportamentale

I sistemi di sicurezza non possono essere trasformati in strumenti per valutare la produttività del dipendente.

Verifica della fedeltà aziendale: quali dati sono utilizzabili

La cosiddetta “fedeltà aziendale” non è un concetto generico, ma deriva dagli obblighi contrattuali di diligenza e buona fede. L’azienda può usare SOLO dati:

  • raccolti legittimamente,
  • trattati in modo proporzionato,
  • resi noti nell’informativa,
  • ottenuti tramite strumenti autorizzati o qualificati come strumenti di lavoro.

Sono ammissibili, ad esempio:

  • log che evidenziano accessi non autorizzati a dati riservati;
  • utilizzo di strumenti aziendali per attività contrarie agli interessi dell’azienda (es. copia di database, cancellazioni illecite);
  • comportamenti informatici che possono configurare violazioni disciplinari o reati.

Non sono ammissibili invece:

  • controlli occulti motivati da sospetti generici;
  • acquisizioni massive di dati non pertinenti;
  • raccolta di informazioni sulla vita privata o opinioni personali.

MDM e strumenti di controllo tecnico: quando sono leciti

Le piattaforme di Mobile Device Management (MDM) sono oggi la norma. Esse permettono:

  • la gestione centralizzata dei dispositivi;
  • la cancellazione remota dei dati;
  • il blocco del device in caso di furto;
  • l’installazione forzata di patch e aggiornamenti.

Il loro utilizzo è legittimo se:

  • il lavoratore viene informato dell’estensione del controllo;
  • non viene monitorato il contenuto delle comunicazioni;
  • non vengono raccolti dati eccedenti le finalità di sicurezza;
  • è chiarito se l’uso personale è consentito o vietato.

Se il dispositivo è BYOD (Bring Your Own Device), le regole sono ancora più stringenti: l’azienda non può accedere a dati personali né imporre controlli invasivi.

In sintesi: cybersecurity sì, ma senza trasformarla in sorveglianza

La cybersecurity legittima molti controlli tecnici sui device aziendali, ma non annulla i diritti del dipendente. Perché i controlli siano validi e i dati utilizzabili:

  • devono avere una finalità chiara e lecita (sicurezza, tutela del patrimonio, prevenzione illeciti);
  • devono essere proporzionati e non eccessivi;
  • devono essere comunicati preventivamente al personale;
  • non possono diventare sorveglianza occulta;
  • devono seguire le procedure dell’art. 4 Statuto dei lavoratori quando configurano controllo a distanza.

Alimentato da
I cookie necessari abilitano funzionalità essenziali del sito come accessi sicuri e regolazioni delle preferenze di consenso. Non memorizzano dati personali.
Nessuno
I cookie funzionali supportano funzionalità come la condivisione di contenuti sui social media, la raccolta di feedback e l’abilitazione di strumenti di terze parti.
Nessuno
I cookie analitici tracciano le interazioni dei visitatori, fornendo dati su metriche come il numero di visitatori, il tasso di rimbalzo e le fonti di traffico.
Nessuno
I cookie pubblicitari offrono annunci personalizzati basati sulle tue visite precedenti e analizzano l'efficacia delle campagne pubblicitarie.
Nessuno
Alimentato da