E’ notorio che, nell’ambito dell’attività d’impresa, l’utilizzo degli strumenti ICT ha un ruolo fondamentale perché garantisce efficienza e riduzione dei costi.
L’utilizzo di queste tecnologie espone, tuttavia, il datore di lavoro ad una duplice responsabilità in caso di illeciti nell’ambiente lavorativo:
- responsabilità diretta verso i lavoratori, nel caso di violazione dei loro diritti;
- responsabilità, ex art. 2049 c.c., per gli eventuali danni causati da fatti illeciti dei dipendenti nell’esercizio dell’attività lavorativa.
E’, pertanto, necessario che l’azienda vigili costantemente sia sulla corretta applicazione di tutte le norme a tutela dei lavoratori sia sul fatto che i dipendenti svolgano la propria attività nel rispetto delle normative vigenti, senza pregiudizio per i terzi.
In questo contesto, un importante strumento a disposizione delle aziende è costituito dalla possibilità di predisporre specifiche policy aziendali, tramite le quali individuare le corrette modalità di esecuzione degli incarichi affidati ai singoli lavoratori.
Nel caso specifico degli strumenti ICT, tali regole interne saranno finalizzate a fornire indicazioni di carattere tecnico-organizzativo sui comportamenti che i dipendenti dovranno adottare nell’utilizzo degli strumenti informatici e sui pericoli connessi a comportamenti non corretti (con particolare riguardo, in particolare, alla cyber-security).
Per avere policy aziendali efficaci per l’uso degli strumenti ICT occorre che siano chiaramente individuati perlomeno i seguenti elementi:
- quali categorie di siti web si considerano, in quanto correlati con l’attività di impresa, affidabili e consentiti e, quindi, legittimamente accessibili dal lavoratore;
- eventuali specifici limiti alla navigazione, con riferimento ai tempi di navigazione, accessi, download, upload, etc.;
- se è possibile conservare files scaricati da internet o dalla posta elettronica sulla rete interna aziendale;
- esplicitare l’adozione di filtri o altri sistemi in grado di impedire, a monte, di accedere a determinati siti ritenuti pericolosi per l’azienda e/o di scaricare files, allegati o software non sicuri;
- qual è il tempo di conservazione dei dati di navigazione per ogni postazione e, in ogni caso, garantire la loro anonimizzazione a tutela della privacy dei singoli lavoratori;
- se e in quale misura è possibile utilizzare l’account di posta elettronica aziendale per ragioni personali;
- chi può accedere alle informazioni memorizzate sugli strumenti informatici affidati ai singoli dipendenti;
- se e quali informazioni possono essere conservate più a lungo, ad esempio, per esigenze di backup, di gestione della rete, di registrazione dei file-log (questi ultimi, in particolare, sono importanti in caso di data breach per ricostruire la dinamica della violazione e, dunque, quale elemento importante da inserire tra le informazioni da fornire al Garante in base alle norme del GDPR);
- se e in quale misura il datore di lavoro si riserva di verificare/controllare gli strumenti informatici affidati al dipendente, con l’indicazione delle relative modalità di accesso;
- le soluzioni tecniche individuate per garantire la continuità dell’attività lavorativa dell’impresa in caso di assenza del dipendente (risponditore automatico, reinoltro automatico su altra casella di posta elettronica, etc.);
- la possibilità o meno di utilizzare gli strumenti aziendali per effettuare acquisti on-line, anche di natura personale;
- le prescrizioni interne sulla sicurezza dei dati e dei sistemi.
Per dare maggiore cogenza a tali norme di comportamento interno nell’uso degli strumenti ICT, l’azienda potrà, inoltre, qualificare eventuali violazioni nel codice aziendale come vere e proprie infrazioni disciplinari, assoggettandole a specifiche sanzioni.
L’importanza di tale insieme di regole per l’utilizzo degli strumenti ICT pare, oggi, quasi scontata alla luce dell’incredibile escalation di violazioni di sistemi informatici aziendali in ogni parte del mondo: i dati relativi all’anno 2016 illustrati dal CLUSIT (l’associazione italiana per la sicurezza informatica che ogni anno pubblica il suo rapporto) evidenziano come l’anno appena trascorso sia stato il peggiore di sempre per la sicurezza informatica, sia a livello globale sia per l’Italia.
Anche i dati (parziali) del 2017 sembrano confermare la crescita inarrestabile del fenomeno: un istituto indipendente che si occupa di antimalware ha intercettato ben 390.000 malware al giorno, per un totale di quasi 700 milioni di malware, nei primi sei mesi del 2017.
Nel 2016, poi, il fenomeno del ransomware è aumentato del 726% rispetto al 2015: il Paese che è maggiormente colpito da questo fenomeno sono gli Stati Uniti, seguiti dal Giappone e dall’Italia.
Symantec ha rilevato in Italia la presenza di un allegato o di un link malevolo in 1 email ogni 141, percentuale vicina alla media mondiale di 131: in questa “speciale” classifica l’Italia si posiziona, purtroppo, al terzo posto a livello mondiale come destinazione di attacchi (7,1%) e, in Europa, si posiziona al primo posto davanti a Paesi Bassi (3,4%), Russia e Germania (3,0%) e Regno Unito (2,7%).
Per minimizzare il rischio di violazioni, la previsione, all’interno della policy aziendale nell’utilizzo degli strumenti ICT, di chiare e precise regole di comportamento anche per l’utilizzo dell’email aziendale diviene un fattore cruciale, dato che, notoriamente, la casella di posta elettronica aziendale è un punto delicato di accesso all’intera infrastruttura digitale delle imprese.
Uno dei rischi maggiori per l’azienda è, poi, quello derivante dall’uso promiscuo (privato e aziendale) dell’account di posta elettronica: in questi casi, l’utilizzo di una specifica policy aziendale permette anche di risolvere a priori la vexata quaestio circa la legittimità, per il datore di lavoro, di accedere alla casella di posta elettronica aziendale del dipendente.
Sul tema si è recentemente espressa la Corte Europea dei diritti dell’uomo con la sentenza del 5 settembre 2017, precisando che “il datore di lavoro può controllare l’uso dei dispositivi aziendali da parte dei dipendenti solo informando preventivamente il lavoratore sulla possibilità e sulle modalità di accesso. Il lavoratore deve essere edotto della possibilità che l’azienda controlli la sua corrispondenza. Senza una previa informativa l’amministratore del sistema non può, pertanto, accedere alle comunicazioni del lavoratore. Il mancato rispetto di questi parametri configura violazione dell’articolo 8 della Convenzione europea dei diritti umani“.
Sono, pertanto, evidenti i molteplici vantaggi, per l’azienda, nell’adottare un’adeguata policy destinata a regolamentare nel migliore modo possibile, in relazione alle specifiche esigenze produttive di ciascun imprenditore, l’utilizzo degli strumenti ICT, così prevenendo anche qualsiasi eventuale contestazione del dipendente in ordine alla legittimità dell’accesso al proprio account da parte del datore di lavoro.
Il tutto, fermo restando che l’azienda deve, comunque, adottare le opportune cautele per garantire e preservare la privacy del dipendente in relazione alla sua corrispondenza privata, tenendo conto, a questo fine, delle articolate linee guida pubblicate dal Garante italiano.