Smart working: pericoli della rete e le tutele dell'azienda

Contenuti nascondi

4 Orientamenti della Corte di Cassazione

Cosa è lo SMART WORKING?

Lo smart working è quella modalità di lavoro che consente ai dipendenti pubblici o privati di lavorare per lunghi periodi di tempo al di fuori degli uffici, in un contesto dove sono inevitabilmente meno controllati dal datore di lavoro e hanno un minore supporto dalle strutture aziendali (ad esempio il supporto It). Questa situazione rischia di facilitare comportamenti che possono mettere a rischio la conformità dell’azienda alla normativa sul trattamento dei dati personali e anche facilitare un cyber attacco con notevoli conseguenze negative sull’operatività dell’azienda e ingenti danni economici.

Le aziende reagiscono adottando policy aziendali che tendono a proteggere i dati (bene dell’impresa in senso lato) e prevedendo limiti molto rigorosi alle applicazioni derivanti dall’uso degli strumenti tecnologici posti a disposizione dei dipendenti per lo svolgimento della loro attività lavorativa. Le policy devono comunque rimanere nel contesto delle tutele personali predisposte dal Garante dell privacy, anche in riferimento all’art.4, comma 3 dell. 4 della Legge 300/79 il quale subordina ad una informazione adeguata relativa alle modalità di funzionamento e di controllo, l’utilizzazione dei dati e delle informazioni a tutti i fini connessi al rapporto di lavoro.

I rischi informatici

Diversi report e indagini dei vari Big nel settore delle soluzioni di cyber security hanno evidenziato un considerevole aumento dell’attività complessiva di ransomware (procedura che infetta i dati contenuti nel computer permettendone l’utilizzo solo tramite riscatto), legata in special modo ai seguenti ambiti lavorativi:

piattaforme web: i criminali informatici mirano ad ottenere l’accesso alla grande quantità di informazioni scambiate on line dagli operatori. Il principale obiettivo degli attacchi sono state proprio le piattaforme, tramite le quali gli utenti usano e consultano innumerevoli documenti spesso anche soggetti alla tutela privacy, durante una tipica giornata di lavoro;
ambienti di lavoro domestici: gli hacker hanno preso di mira sempre di più gli operatori in smart working da casa per potersi avvicinare più facilmente alle reti aziendali in considerazione del fatto che a causa della pandemia il confine tra casa e ufficio si è assottigliato in modo significativo;
utilizzo browser: gli hacker utilizzano strumenti che iniettano codici o reindirizzano gli utenti verso siti dannosi. Questo fenomeno sta aumentando in maniera esponenziale considerato che i dipendenti, che in genere beneficiano di servizi di gestione di accesso sicuro al web quando navigano dalla rete aziendale, risultano più esposti quando navigano al di fuori della intranet aziendale;
attacchi focalizzati sulla raccolta di informazioni personali: il furto di proprietà intellettuale e l’acquisizione di dati, con specifico riferimento alle aziende coinvolte nella ricerca sul vaccino e nello sviluppo di politiche sanitarie come agenzie governative, aziende farmaceutiche, università e aziende di ricerca medica;
i settori maggiormente colpiti riguardano:
- l’assistenza sanitaria
- le società di servizi professionali e ai consumatori
- le aziende del settore pubblico
- le società di servizi finanziari
- le filiere produttive

Come difendersi

strategia integrata : conoscere e gestire il rischio degli attacchi in modo da adottare le strategie più idonee. L’uso dell’intelligenza artificiale e il rilevamento automatico delle minacce possono consentire alle aziende di affrontare gli attacchi immediatamente mitigando gli effetti e le conseguenze negative;
consapevolezza diffusa: educare la generalità degli utenti in tema di cyber security deve rimanere una priorità di tutte le imprese per garantire almeno un livello minimo di formazione sulle best practice;
utilizzo della VPN: la Virtual Private Network consente di creare una rete privata virtuale che garantisce privacy, anonimato e sicurezza dei dati attraverso un canale di comunicazione riservato tra dispositivi che non necessariamente devono esser collegati alla stessa LAN. Senza sfociare in attività di monitoraggio dei dipendenti, ogni attività che avviene in questo ambiente può essere tracciata e quindi ricostruita per verificare eventuali perdite di dati, comportamenti illeciti o in violazione delle policy della società ed è protetta dai sistemi di sicurezza aziendali;
utilizzo DIP: nel caso in cui i dipendenti per lo scambio dei dati utilizzino il proprio account di posta elettronica si possono usare i DIP, si tratta dei Data Loss Prevention System che analizzano il traffico dati in uscita per bloccare gli allegati contenenti numerosi dati personali. L’obiettivo è prevenire la violazione, grazie a sistemi che impediscano di eseguirla.

Orientamenti della Corte di Cassazione

Gli ultimi orientamenti giurisprudenziali pongono sempre di più al centro dell’attenzione il largo uso di strumenti tecnologici per l’espletamento della prestazione lavorativa, e la conseguente necessità dei datori di lavoro di “proteggere” i propri dati (di produzione aziendale, di clientela e di know how). Il datore di lavoro potrà quindi vietare (o concedere solo in parte) l’utilizzo della mail aziendale e di navigare in internet su siti non richiesti.

pronuncia della Suprema Corte n. 25147/2017 : in questa sentenza viene riconosciuta la piena legittimità di un licenziamento adottato nei confronti di un dipendente che aveva copiato, sulla propria chiavetta personale, dati aziendali, peraltro non protetti da password e non catalogati come riservati, pur se gli stessi non erano stati ceduti a soggetti terzi. L’infrazione veniva ravvisata nella mancata e colpevole diligenza sul lavoro;
Cassazione sentenza n. 14862/2017: è stato ritenuto legittimo un licenziamento adottato per giustificato motivo soggettivo nei confronti di un dipendenti che, per 27 volte, per un totale di 45 ore e con un notevole scambio di dati, aveva in maniera sistematica utilizzato la connessione internet aziendale per fini esclusivamente personali, con una condotta reiterata e intenzionale. La Corte analizzava la questione sotto tre aspetti:
- le infrazioni contestate non dovevano essere esposte in un regolamento aziendale in quanto relative violazioni di norme penali o di fedeltà e diligenza come previste dagli artt. 2104 e 20105 cc;
- non si trattava di controllo a distanza del datore di lavoro, in quanto non riguardano l’attività lavorativa, ma sono finalizzati a colpire un comportamento illecito destinato a ledere il patrimonio dell’impresa, inteso sotto il profilo della sua integrità e del regolare funzionamento;
- non si ravvisa violazione della privacy del dipendente in quanto, nel caso di specie, il datore di lavoro, non ha analizzato i siti visitati, non ha verificato la tipologia dei dati scaricati, ne li ha salvati sulla propria strumentazione, essendosi limitato, nella lettera di contestazione, ad indicare la data, l’ora, la durata della connessione e l’importo del traffico che, sicuramente, non sono dati personali;
pronuncia della Suprema Corte n.25732 del 22 settembre 2021, leggi la sentenza e l’approfondimento del dott. Massi sul sito di Generazione Vincente
pronuncia della Suprema Corte n.33809 del 12 novembre 2021 che legittima l’azienda al controllo degli strumenti informatici utilizzati dal dipendente per motivi difensivi e di tutela del proprio patrimonio. La Cassazione sottolinea che la produzione di documenti anche di natura personale del dipendente è consentita allorquando, in giudizio, sia necessario per esercitare un diritto. Leggi l’approfondimento del Dott. Massi