sabato, Giugno 15, 2024
Labourdì

L’infedeltà digitale del dipendente. Prevenire è meglio che curare ma se occorre curare: cosa fare?

a cura di Avv. Deborah Caputo

Abstract: L’articolo intende accompagnare il lettore nella comprensione di alcuni principi e regole (anche di diritto) e considerazioni utili affinché i datori di lavoro possano, assumendo le opportune misure preventive e di “difesa”, tutelare il patrimonio e le relazioni commerciali della propria società senza violare la legge, rispettando la riservatezza e la libertà dei dipendenti; ciò fornendo indicazioni pratiche in un’ottica di prevenzione di tale fenomeno (molto diffuso nel vissuto quotidiano delle realtà aziendali, a prescindere dalle dimensioni delle stesse).

SOMMARIO: 1. Premessa. – 2. Il potere di controllo del datore di lavoro e il suo obbligo informativo tra Statuto dei Lavoratori e normativa privacy – 3. Azioni di prevenzione. – 4. La ricerca della prova informatica da parte del datore di lavoro.

1. Premessa

Tra i problemi più gravi che possono affliggere un ordinamento sociale rileva, senza dubbio, la diffusione dell’illegalità ben oltre gli standard “fisiologici” che le sue istituzioni sono in grado di gestire e tollerare. Tale affermazione è replicabile anche in relazione al contesto organizzativo aziendale, ove la commissione di illeciti è ormai davvero significativa e in un certo senso facilitata dall’evoluzione tecnologica esponenziale e sempre più sofisticata; evoluzione che molte imprese non sono ancora in grado di coordinare e “governare” anche in ragione della carenza di competenze adeguate alla gestione della sicurezza IT e di risorse finanziare da destinare a investimenti in tecnologia, formazione e consulenza professionale specifica. Ciò costituisce un serio pericolo per il bagaglio informativo di ogni organizzazione.

In termini generali, dal “Global economic crime survey 2020” di Price Waterhouse & Coopers[1] risulta che il 47% delle imprese (su un campionario di oltre 5000 intervistati) ha subito una frode nel corso del 2020, con una media di sei per ciascuna.  Tra i reati più comuni si registrano i crimini informatici e l’appropriazione indebita di risorse. Ben il 37% dei reati è stata realizzata dai dipendenti. La ricerca evidenzia altresì la difficoltà delle imprese di gestire il fenomeno in modo efficace e attivo e quindi le gravi conseguenze economiche e commerciali – e, a mio dire, in alcuni casi reputazionali – che derivano da una mancata prevenzione del rischio e da un preciso tracciamento di un piano di regolamentazione.

L’uso massiccio di strumenti informatici per lo svolgimento delle mansioni lavorative e, quindi, l’accesso sempre più pervasivo e sistematico ai sistemi aziendali da parte di diverse risorse – con la conseguente possibilità di dinamiche e operazioni che sfuggono “all’occhio” del datore – ha inciso in modo rilevante sulla diffusione del “fenomeno” del dipendente infedele, cioè colui il quale attraverso differenti tecniche, tra cui il social engineering[2], e l’utilizzo di sistemi e tecnologie informatiche riesce a (o tenta di) sottrarre alla società informazioni riservate commerciali, finanziarie e di produzione o comunque sensibili circa l’organizzazione e il business della stessa, nonché dati personali inerenti a colleghi, clienti e fornitori.

Pertanto, è sempre più significativa l’esigenza dei datori di lavoro di avere a disposizioni strumenti di verifica del corretto uso degli strumenti informatici da parte del proprio personale e, quindi, utili a proteggere l’azienda, tutelando e valorizzando il relativo patrimonio informativo. Tale legittima esigenza deve naturalmente fare i conti con le previsioni dello Statuto dei Lavoratori (con particolare riferimento a quelle inerenti ai controlli a distanza) e la normativa in materia di protezione dei dati personali.

Assumendo le opportune misure preventive e di “difesa” è però possibile tutelare il patrimonio e le relazioni commerciali sociali rispettando, al contempo, la riservatezza e la libertà dei dipendenti.

 

2. Il potere di controllo del datore di lavoro e il suo obbligo informativo tra Statuto dei Lavoratori e normativa privacy

Per quanto di nostro interesse, le modalità di esecuzione dei controlli attuabili dal datore di lavoro sulle attività internet e, più in generale, informatiche dei propri dipendenti sono regolate dallo Statuto dei lavoratori (legge n. 300/70), dalla normativa in materia di privacy (compresi gli interventi del Garante), cui si aggiungono alcune significative pronunce giurisprudenziali.

In particolare, l’ art. 4 dello Statuto dei lavoratori, nella sua attuale formulazione, ammette al primo comma l’installazione di impianti audiovisivi e di altre apparecchiature dai quali derivi anche la possibilità di controlli a distanza dell’attività dei lavoratori purché tali strumenti rispondano a esigenze organizzative e produttive e di sicurezza del lavoro e di tutela del patrimonio aziendale e, comunque, il datore di lavoro, stipuli preventivamente un accordo collettivo con le rappresentanze sindacali unitarie o aziendali ovvero, in caso di imprese con unità produttive ubicate in diverse province della stessa regione o in più regioni, con le associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, il datore deve ottenere una autorizzazione da parte dell’Ispettorato del lavoro competente.

Si badi che tale procedura è inderogabile e non può essere in nessun caso sostituita dall’eventuale consenso dei singoli lavoratori all’installazione delle apparecchiature in esame e ciò anche in ragione del ruolo “di forza” indubbiamente ricoperto dal datore rispetto al lavoratore tale da viziare la libera espressione del consenso stesso da parte del dipendente[3]. Nessuna specifica precondizione è invece prevista, al secondo comma, per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” [4] e che a tale scopo sono a sua disposizione e gli “strumenti di registrazione agli accessi e delle presenze”, in relazione ai quali infatti non opera il filtro dell’accordo con le rappresentanze sindacali o dell’autorizzazione amministrativa.

Per quanto riguarda la normativa in materia di privacy, occorre premettere che il luogo di lavoro è garantito costituzionalmente quale “formazione sociale” ed in esso assume un ruolo fondamentale il corretto bilanciamento degli interessi del datore e di quelli del lavoratore: da un lato, il datore ha l’interesse di verificare il regolare utilizzo degli strumenti aziendali in conformità alle disposizioni in materia di sicurezza sul lavoro e per tutelare la proprietà aziendale contro eventuali furti o danneggiamenti e altri illeciti anche da parte dei dipendenti; dall’altro lato, questi ultimi hanno l’interesse a che le informazioni raccolte a mezzo di tali strumenti di controllo siano trattate in maniera tale da non ledere i loro diritti e la loro dignità. Pertanto, per rispettare i due interessi/diritti, i sistemi informativi e i programmi informatici messi a disposizione dal datore o comunque in uso presso la realtà aziendale dovrebbero essere “strutturati” per prevenire e ridurre al minimo utilizzi impropri da parte del lavoratore (cioè non correlati all’attività lavorativa) e, al contempo, contenere il più possibile la raccolta e l’uso di dati e informazioni riferibili allo stesso lavoratore nell’ambito delle finalità pertinenti al contesto di lavoro[5]. A tale ultimo proposito[6]:

–  occorre evitare modalità di controllo massivo, prolungato e indiscriminato dell’attività del lavoratore, agendo con gradualità nella diffusione e nella tipologia del monitoraggio tale da rendere residuali i controlli troppo invasivi, i quali possono essere legittimati solo a fronte della individuazione di situazioni anomale;

– il trattamento dei dati derivanti dall’uso degli strumenti aziendali e dal legittimo controllo deve svolgersi secondo modalità predefinite e rese al lavoratore note affinché quest’ultimo sia pienamente consapevole;

– i dati trattati devono essere limitati a quelli strettamente funzionali al perseguimento delle finalità dichiarate dal titolare del trattamento/datore di lavoro nell’informativa resa ai lavoratori e attinenti al contesto lavorativo e professionale del dipendente.

In tale contesto, si comprende l’importanza per il datore di rispettare le disposizioni della normativa privacy e gli adempimenti derivanti, tra cui:

  • prima di procedere al trattamento, lo svolgimento di una valutazione d’impatto sulla protezione dei dati (c.d. DPIA) raccolti mediante l’uso degli strumenti informatici per valutare la necessità e la proporzionalità del trattamento nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli.

Sul punto, si ricorda che il Garante ha individuato un elenco delle tipologie di trattamenti da sottoporre necessariamente a valutazione d’impatto, tra cui figurano espressamente i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti[7];

  • individuazione della base giuridica che legittima il trattamento.

Si può affermare che è lo stesso art. 4 dello Statuto a determinare il fine che giustifica e legittima il trattamento in parola laddove precisa che il controllo deve essere finalizzato a garantire la sicurezza e la tutela del patrimonio aziendale, quindi a prevenire e reprimere inadempimenti ed illeciti, individuando pertanto quell’interesse legittimo che ai sensi dell’art. 6, lett. f), GDPR costituisce una valida base giuridica di trattamento “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”. Limitazione, quest’ultima, “superata” – a seconda dei casi – dalla presenza dell’accordo sindacale o dell’autorizzazione amministrativa o dalla natura ‘essenzialmente lavorativa’ dello strumento da cui derivano i dati raccolti.

Se l’obiettivo dei controlli – cioè la finalità del trattamento – è esclusivamente la gestione della sicurezza e la tutela del patrimonio aziendale, allora non si può escludere la sussistenza di un interesse del datore meritevole di tutela, tale da superare la richiesta preliminare del consenso, poiché, come è stato correttamente evidenziato: “è pacifico che la sicurezza di una rete dipende essenzialmente dalla possibilità di sapere da “cosa” è attraversata;
e “il monitoraggio del traffico di rete è una misura di sicurezza;
– pertanto – pur nel rispetto delle garanzie – il monitoraggio di una rete è lecito se non addirittura obbligatorio, in quanto “misura di sicurezza”[8]
.

Quanto detto può senz’altro valere in relazione ai dati c.d. comuni. Invece, se dai controlli – posti in essere rispettando le relative condizioni di legittimità – derivi un trattamento di dati personali c.d. particolari (cioè, ad esempio, idonei a rivelare l’origine razziale, le opinioni politiche, le convinzioni religiose o l’appartenenza sindacale), rispetto ai quali la disciplina in materia privacy pone peculiari garanzie, detto trattamento può risultare lecito in presenza di una delle seguenti basi giuridiche previste dall’art. 9 GDPR (lett. b; lett. f): “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale; il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria”. In altri termini, al ricorrere di tali condizioni le informazioni di natura “sensibile” possono essere trattate dal datore di lavoro anche senza il consenso del dipendente.

Naturalmente, data la complessità degli interessi in gioco – tutela dei diritti dei lavoratori, protezione dei beni aziendali, adempimento alle prescrizioni in materia di sicurezza sul lavoro – la ricorrenza delle basi giuridiche richiede una valutazione da compiersi caso per caso;

  • successivamente, assolvere l’onere informativo nei confronti dei dipendenti in merito ai trattamenti che li riguardano nell’ambito del rapporto di lavoro.

Per essere esaustiva tale informativa dovrebbe fornire indicazioni: sia sui trattamenti effettuati e sulle specifiche caratteristiche, rispettando quindi i requisiti minimi di contenuto prescritti, a seconda dei casi, dagli artt. 13 e 14 GDPR; sia sui possibili controlli, chiarendo quantomeno le finalità di trattamento dei dati e le tipologie di trattamento che possono riguardarli con possibilità di rinviare, per informazioni più dettagliate, ai disciplinari e regolamenti aziendali, la cui adozione rappresenta uno strumento di ausilio all’accountability.

3. Azioni di prevenzione

Inquadrato lo spazio giuridico entro cui può muoversi legittimamente il datore (Statuto dei Lavoratori, Jobs Act, normativa privacy, eventuali policy aziendali, condizioni di utilizzo delle apparecchiature e dei dati, informativa interna, disciplinare, etc.) possiamo individuare quelle misure che in un’ottica preventiva, e in alcuni casi dissuasiva, lo stesso può attuare per contrastare/prevenire casi di “infedeltà digitale” dei propri dipendenti. Tra le misure che risultano utili al datore di lavoro per proteggersi dall’interno possiamo annoverare:

  1. adozione e “diffusione” del regolamento interno/disciplinare sull’uso degli strumenti informatici utilizzati dai lavoratori;
  2. organizzazione di corsi formativi personalizzati e di portata “pratica” idonei a illustrare le procedure e le disposizioni di sicurezza adottate dalla società, sensibilizzando il personale sull’importanza della prevenzione e sul corretto utilizzo degli strumenti informatici interni;
  3. adozione di soluzioni tecniche di sicurezza al fine di organizzare e implementare la propria infrastruttura in modo da bloccare tentativi di accesso non autorizzato e rilevare tempestivamente anomalie.

In tale prospettiva, può essere utile, ad esempio: integrare i dispositivi firewall con sistemi IPS (Intrusion Protection System); adottare sistemi di filtraggio e protezione in tempo reale delle e-mail (al fine di evitare la fuga di informazioni confidenziali tramite e-mail); implementare sistemi di disaster recovery; creazione di backup collocati in diversi posti fisici; predisporre e aggiornare un inventario delle informazioni, applicazioni, sistemi e apparati presenti in azienda sia a livello IT, sia in relazione ai sistemi di controllo industriale (devono quindi essere censiti i sistemi, gli apparati fisici, le piattaforme e le applicazioni software in uso nell’organizzazione[9], nonché nel caso il PLC[10])  valutare l’utilizzo di tecnologie DRM (Digital rights management) per impedire la riproduzione dei dati su un numero illimitato di dispositivi; bloccare gli accessi alle usb o adottare procedure analoghe; controllare con periodicità aggiornamenti e patch, in modo da assicurare protezione con configurazioni corrette e costantemente adeguate; limitare la possibilità di accedere da remoto unicamente tramite VPN;

  1. selezionare i dati per i quali occorre garantire il riserbo, in base alla natura di questi ultimi scegliere il tipo di protezione più adatto, quali, ad esempio, soluzioni di segregazione/segmentazione della rete per garantire l’integrità della stessa; meccanismi di sicurezza specifici per rendere illeggibili o non accessibili determinate informazioni e dati a soggetti non autorizzati (tra cui la crittografia, la firma digitale, i certificati digitali, etc.); processi di pseudonimizzazione, anonimizzazione e segmentazione dei dati; nonché pratiche di steganografia per mantenere nascosta l’esistenza stessa di dati, etc.;
  2. individuare in modo tempestivo i comportamenti anomali posti in essere dal lavoratore soprattutto nell’uso degli strumenti informatici aziendali e quindi idonei a produrre informazioni (ed elementi probatori) digitali circa la condotta del lavoratore stesso.

4. La ricerca della prova informatica da parte del datore di lavoro

A questo punto, occorre spostare lo sguardo verso i mezzi che il datore ha a disposizione ex post, cioè successivamente alla commissione del fatto illecito o al tentativo di realizzarlo, per accertare l’accaduto e ricercare elementi di supporto per le successive eventuali azioni disciplinari e/o giudiziali da intraprendere nei confronti del lavoratore. Le prove di un illecito del genere di cui stiamo trattando possono essere rinvenute in molti strumenti utilizzati quotidianamente in azienda: computer, stampanti, memorie di massa (cd, dvd, pendrive, floppy, hard disk, etc.), smartphone/tablet, cloud, posta elettronica, sistemi di messaggistica istantanea, history e file temporanei della navigazione, ma anche il sistema di videosorveglianza o di gestione degli accessi e registrazione delle presenze e le pagine social. Pertanto, il datore che intende muovere una contestazione nei confronti del dipendente ritenuto infedele non può prescindere – per la raccolta del materiale probatorio a sostegno della propria tesi – dall’analisi di tali strumenti, con particolare riferimento a quelli in uso e a disposizione del dipendente della cui condotta si dubita. Tuttavia, in presenza di sospetti ed eventi sentinella, è assolutamente sconsigliabile che il datore svolga autonomamente l’attività “investigativa” rischiando di eseguire analisi eccesive – e quindi esporsi a eventuali violazioni della normativa privacy e giuslavoristica per accesso abusivo, violazione di corrispondenza, trattamento illecito, etc. – e, al contempo, di non acquisire correttamente le prove, non comprendere ciò che è accaduto e pregiudicare l’attendibilità delle risultanze. Poiché l’“arma del delitto” è essa stessa fonte di prova, il datore deve agire affinché gli strumenti in parola restino incontaminati dall’ambiente e dalle azioni circostanti.

Pertanto, con l’obiettivo di “cristallizzare” le condotte censurabili del lavoratore, le opportune ricerche digitali devono essere rimesse ad uno specialista, che secondo la ISO/IEC 27037:2012 è da identificare nel Digital Evidence First Responder; intendendosi con tale definizione “il professionista che si occupa in prima istanza della realizzazione delle copie forensi sulle quali si applica un sigillo elettronico per consentire di offrire ai terzi le massime garanzie in tema di integrazione, autenticità e data certa alle prove”[11].

In via astratta, è preferibile (o comunque occorre valutare se sia opportuno o necessario) che l’esperto non venga nominato autonomamente dal datore di lavoro ma, in considerazione di quanto disposto negli artt. 327-bis e 391-nonies c.p.p., dal difensore precedentemente e ritualmente nominato per la gestione della fattispecie e quindi la raccolta delle prove per il tramite di attività di indagine. Infatti, il difensore –quando sono necessarie specifiche competenze – può avvalersi per lo svolgimento del mandato di propri ausiliari (tra cui, appunto, consulenti di informatica forense).

È fondamentale che la produzione delle prove segua i principi e i processi delle indagini informatiche forensi (c.d. digital forensics) per dare garanzia di rispondenza all’originale e di riferibilità a un preciso momento[12]. La legge n. 48/2008, concernente i reati in materia informatica e che costituisce la base della regolamentazione dell’informatica forense in Italia, sottolinea proprio l’esigenza di adottare strumenti e processi per l’acquisizione della prova atti a garantire la genuinità della prova digitale. La digital forensics è fondata su principi e prassi precise e rigide che gli esperti seguono per gestire e interpretare correttamente – con un metodo scientifico – le fonti di prova, per evitare incomprensioni e affrontare anche strumenti di anti-forensics (come, ad esempio, la crittografia forte).

In tale prospettiva, lo svolgimento delle indagini ad opera di un consulente informatico forense esterno alle dinamiche aziendali e che professionalmente adotta le metodologie forensi può essere considerata una circostanza rilevante in termini di garanzia di imparzialità sia sulle modalità con cui sono state condotte le indagini, sia sulle risultanze a cui si è giunti. Se vengono meno queste garanzie, il datore corre il rischio di raccogliere elementi non utilizzabili in giudizio o comunque censurabili in merito alla loro attendibilità. Da qui la necessità di isolare la “zona del crimine” e di organizzare, con l’esperto, un piano/progetto di azione delle operazioni e le verifiche informatiche da svolgere.

[1] Cfr. Fighting fraud: A never-ending battle. PwC’s Global Economic Crime and Fraud Survey 2020, in Internet https://www.pwc.com/gx/en/forensics/gecs-2020/pdf/global-economic-crime-and-fraud-survey-2020.pdf; pagina web consultata in data 23 gennaio 2021.

[2] Cfr. Dizionario Legal Tech, G. Ziccardi e P. Perri (a cura di), Giuffrè, Milano, 2020, pagg. 886-887. “Il social engineering indica un tipo d’intrusione che si basa sull’interazione umana e, spesso, comporta l’inganno di altre persone, al fine di rompere le normali procedure di sicurezza.  In tal caso, si cerca di ottenere la confidenza di qualcuno che, ad esempio, sia autorizzato ad accedere a un sistema, per indurlo a rilevare informazioni che possono compromettere la sicurezza del network”.

[3] In tale senso, Cass. penale, 17 gennaio 2020, n. 1733.

[4] Per la definizione di strumenti di lavoro cfr. Ministero del Lavoro, nota del 18 giugno 2015 in Internet https://www.lavoro.gov.it/stampa-e-media/Comunicati/Pagine/20150618-Controlli-a-distanza.aspx, pagina web consultata in data 30 gennaio 2021; Ispettorato Nazionale del Lavoro, circolare n. 2/2016 in materia di indicazioni operative sull’ utilizzazione di impianti GPS ai sensi dell’art. 4, commi 1 e 2, L. n. 300/1970; Garante Privacy, verifica preliminare, Trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di veicoli aziendali, 16 marzo 2017, doc. web n. 6275314 e provvedimento, 13 luglio 2016, n. 303, doc. web n. 5408460.

[5] cfr. Garante Privacy, Lavoro: le linee guida del Garante per posta elettronica e internet, 1° marzo 2007, doc web n. 1387522; Internet: proporzionalità nei controlli effettuati dal datore di lavoro, 2 febbraio 2006, doc. web n. 1229854; Audizione del Presidente del Garante per la protezione dei dati personali A. Soro sugli schemi di decreti legislativi attuativi del c.d. Jobs Act, doc web n.  4119045.

[6] G. Ziccardi, Il controllo delle attività informatiche e telematiche del lavoratore: alcune considerazioni informatico – giuridiche, vol. 2, no. 1, 2016, in Internet https://air.unimi.it/retrieve/handle/2434/428644/704856/5997-17680-1-PB.pdf; pagina web consultata in data 31 gennaio 2021.

[7] Cfr. Garante per la protezione dei dati personali, Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, 11 ottobre 2018, doc. web n. 9058979.

[8] P. Perri, Controllare l’internet sul luogo di lavoro, in Internet https://www.ictlex.net/?p=535; pagina web consultata in data 21 gennaio 2021.

[9] Cfr. Framework nazionale per la Cybersecurity 2019 del CINI, in Internet https://www.cybersecurityframework.it/sites/default/files/framework2/Framework_nazionale_cybersecurity_data_protection.pdf; pagina web consultata in data 30 gennaio 2021).

[10] Cfr. per la definizione Wikipedia: “Il controllore logico programmabile (in inglese programmable logic controller, spesso in sigla, PLC) è un computer per l’industria specializzato in origine nella gestione o controllo dei processi industriali” in Internet https://it.wikipedia.org/wiki/Controllore_logico_programmabile; pagina web consultata in data 28 giugno 2021.

[11] Cfr. D.E. Caccavella, M. Ferrazzano, La corretta esecuzione della descrizione inaudita altera parte nel diritto industriale per l’analisi forense di sistemi informatici, in R. Brighi, S. Zullo (a cura di), Filosofia del diritto e nuove tecnologie, Aracne, 2015. pagg. 487-496.

[12] In tale senso, Cass., sez. lav., 18 febbraio 2004, n. 2912.

Lascia un commento