Smart working e cyber security
L’emergenza creata dal diffondersi della pandemia da Covid-19 ha imposto un radicale mutamento nei rapporti sociali, a ogni livello, dovuto alla necessità di prevenire la diffusione del virus, attraverso quello che viene comunemente definito come “distanziamento sociale”.
A livello normativo sono stati emanati provvedimenti governativi che hanno imposto l’adozione di misure comportamentali particolarmente limitative per quanto riguarda la libera circolazione delle persone e il normale svolgimento delle attività commerciali, professionali e industriali. In uno scenario in cui il virus ha catalizzato su di sé l’attenzione generale e tutti gli sforzi sono diretti a fronteggiarne la diffusione, i “cybercriminali” possono trovare ampi spazi di manovra, potendo approfittare dell’enorme e rapido ampliamento delle modalità di lavoro a distanza. Non sorprende, quindi, come negli ultimi mesi si sia registrata un’esponenziale crescita di cyber attacchi.
a cura di Avv.ti G. Caramori , C. Cimadom e O. M. Kichitskaia
A livello nazionale, l’allarme è stato lanciato dalla Polizia Postale Italiana, la quale ha accertato diversi tentativi di “phishing” e di “spamming” ai danni dei cittadini e delle istituzioni e ha raccomandato a tutti una maggiore prudenza nelle operazioni on-line.
Anche all’estero le agenzie Reuters e Bloomberg stanno dedicando attenzione al fenomeno dell’hackeraggio informatico incrementato a livello globale dall’inizio della pandemia, e stanno facendo opera di sensibilizzazione sulla sua potenziale pericolosità.
In questi mesi, a causa della pandemia, stante l’esigenza di garantire il distanziamento sociale anche in ambito lavorativo soprattutto nei settore industriale e in quello dei servizi, si è fortemente incrementata la modalità di lavoro a distanza, o “lavoro agile”, e cioè – per ripetere una definizione contenuta dall’Art. 18 comma 1 della L. 22/5/2017 n. 81 – una “modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa. La prestazione lavorativa viene eseguita, in parte all’interno di locali aziendali e in parte all’esterno senza una postazione fissa, entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva”.
Questa modalità di prestazione dell’attività lavorativa, che era praticabile in presenza di un accordo specifico tra impresa e lavoratore, a seguito del diffondersi della pandemia di Covid 19, è divenuta una pratica di fatto obbligatoria, in conseguenza in un primo momento, della emanazione delle norme sul “distanziamento sociale” anche in ambiente lavorativo (ulteriormente rafforzata dalle esigenze di tutela della salute dei lavoratori) e in seguito, anche a causa della sospensione dell’attività di molte aziende appartenenti a settori produttivi “non essenziali” per l’economia nazionale, ovviamente considerando il regime di emergenza nel quale ci si trova a operare.
Il quadro normativo vigente in fatto di smart working
Tutte le norme emanate a livello governativo e legislativo dall’inizio dell’emergenza da pandemia fanno riferimento al lavoro a distanza o lavoro agile, allargando in misura sempre maggiore, la diffusione di tale modalità operativa nell’ambito delle imprese.
Tuttavia, se è vero che lo svolgimento del lavoro in modalità agile non è un concetto nuovo, è altrettanto vero che organizzare e gestire tutta la forza lavoro da remoto è un evento senza precedenti.
Peraltro, il legislatore ha emanato una sequenza di disposizioni nel tentativo di dare maggiori contenuti all’accezione dello “smart working”, creando un vero e proprio labirinto normativo in cui diventa alquanto arduo orientarsi.
In particolare, all’Art. 2 del DPCM del 25/2/2020, la cui operatività veniva circoscritta alle c.d. “zone rosse”, è effettuato il primo riferimento all’utilizzo dello “smart working” in forma semplificata, ovverosia applicabile a tutti i lavoratori subordinati residenti nelle zone a rischio, compresi quindi anche coloro che, pur risiedendovi, necessitano di spostarsi per motivi lavorativi in altri territori. Tuttavia, la vera novità si ravvisa nella possibilità, espressamente introdotta, di ricorrere a questa forma di prestazione lavorativa non solo qualora la stessa sia stata contemplata dal contratto di lavoro, ma anche in assenza di uno specifico accordo in tal senso. Ne discende che, a partire dell’entrata in vigore della norma appena richiamata, i lavoratori subordinati delle zone a rischio hanno automaticamente acquisito il diritto di lavorare in modalità “smart”, seppur in via temporanea, per tutta la durata della crisi sanitaria.
Sulla stessa linea si colloca il DPCM 01/3/2020 attuativo delle misure previste dal D.L. n. 6 del 23/2/2020, il quale all’Art. 1, lett. l), che, specificando le misure adottate per il contenimento del contagio da virus nelle c.d. “zone rosse”, e sospendendo lo svolgimento di talune attività lavorative, esclude tuttavia dalla sospensione stessa quelle “attività che possono essere svolte in modalità domiciliare ovvero in modalità a distanza”.
La progressiva diffusione del Covid-19 ha comportato l’estensione delle misure sopra descritte a tutta la penisola italiana, tanto che lo stesso DPCM 01/3/2020, all’Art. 4 punto 1 lett. a) è giunto a prevedere la facoltà di accesso al lavoro in forma agile con riferimento a “ogni rapporto di lavoro subordinato”, quindi anche al di fuori delle c.d. “zone rosse”. Successivamente, con il DPCM del 04/3/2020, il legislatore ha allargato espressamente le strette maglie dell’applicabilità dello “smart working” anche “in assenza degli accordi individuali ivi previsti”. Pertanto, dalla data dell’entrata in vigore del decreto, i lavoratori subordinati, compatibilmente con la natura dell’attività svolta, possono effettuare il proprio lavoro da remoto.
Con il D.L. n. 18 del 17/3/2020 il legislatore ha consentito di ricorrere allo strumento del lavoro agile anche ai lavoratori disabili e a coloro che, a prescindere dall’esistenza di un contratto di lavoro, abbiano nel proprio nucleo familiare un soggetto disabile da accudire, ampliando, quindi, ulteriormente la fascia di soggetti idonei alle prestazioni di lavoro in forma agile, con uno specifico riferimento al settore privato.
Di contro, i lavoratori autonomi hanno dovuto attendere fino al 25/3/2020 quando è stato emanato il D.L. n. 19/2020, ovverosia a distanza di quasi un mese dal primo provvedimento di tutela, per una regolamentazione normativa della modalità del lavoro agile.
Una necessità indispensabile e indifferibile per le imprese
Alla luce del quadro normativo vigente, risulta chiaro che con la pandemia da Covid-19 il lavoro agile o “smart working”, è divenuto una modalità operativa di fatto obbligatoria in tutti i settori, allargata anche al mondo delle professioni e a quello dei servizi bancari e assicurativi.
A livello globale il processo di ampiamento del lavoro a distanza è iniziato da molto tempo, e nei settori più disparati, ma la diffusione dello smart working ha avuto un’accelerazione estremamente rapida, e con essa anche l’impiego crescente di apparecchi informatici e di attrezzature digitali per la comunicazione fra le persone.
Questa accelerazione si è però sviluppata in una situazione di carattere emergenziale, senza una pianificazione organica e ponderata degli aspetti coinvolti, e in alcuni casi diremmo anche travolti, da un diffondersi così rapido e ampio di una modalità operativa che, se in precedenza era ristretta ad aspetti comunicativi di ordinaria amministrazione (videoconferenze, accesso da remoto al fine di trasferire dati o documenti) o per specifiche e specialistiche attività di tecnologia evoluta (assistenza manutentiva industriale da remoto), allo stato è divenuta non una semplice modalità di trasferimento di informazioni, ma un vero e proprio strumento di attività lavorativa, destinato a coinvolgere integralmente tutti i momenti operativi aziendali nei settori più disparati.
In sostanza, ciò che prima era una possibilità o una opportunità concessa ai lavoratori e alle aziende, oggi è diventata una necessità indispensabile e indifferibile per le imprese; i problemi della prestazione lavorativa fornita in modalità smart working, in senso generale, possono riguardare, relativamente alle problematiche di sicurezza informatica, anche attività professionali o di lavoro autonomo alle quali però può non essere applicabile la normativa specifica di cui alla L. 22/5/2017 n. 81.
Le norme tecniche da intraprendere per la sicurezza informatica
Questa nuova situazione ha generato – e presumibilmente causerà in futuro – diverse criticità nel sistema: se da una parte vanno considerate le “storiche” esigenze di tutela dei lavoratori, in considerazione delle dinamiche di controllo a distanza dell’attività dei lavoratori (che devono essere regolate contrattualmente, ai sensi dell’Art. 21 della L. 22/5/2017 n. 81), nonché quelle connesse alla riservatezza dei dati, nuove situazioni di rischio sono indotte da problematiche di carattere tecnologico e di sicurezza informatica, o “cyber security”.
Basti pensare al fatto che un sistema di rete aziendale, dovrebbe essere strutturato e protetto con l’impiego di tecnologie specifiche, volte alla protezione della comunicazione tra i dispositivi aziendali e quelli in uso al lavoratore (a titolo di esempio ci si riferisce, alla limitazione all’accesso all’intranet aziendale, ai “cloud”, alle procedure di autenticazione, all’uso di codici univoci, l’utilizzo di processi digitali ad elevata protezione) mentre nella maggior parte dei casi lo smart working viene svolto – in particolare in questo momento contingente – con l’utilizzo di reti digitali pubbliche o private, o di reti Wi-Fi domestiche che hanno livelli di sicurezza non elevati, e che possono essere facilmente violati.
L’utilizzo di dispositivi personali del lavoratore (BYOD – Bring Your Own Device) per lo svolgimento di attività di “smart working” può essere causa di criticità del sistema, in quanto oltre a poter essere pregiudicata l’integrità delle comunicazioni tra gli interessati, anche la vulnerabilità della rete di uno dei destinatari potrebbe essere compromessa (pensiamo alla possibilità di raggiungere, attraverso il dispositivo del lavoratore che ha livelli di protezione non adeguati, le reti aziendali e i dati in esse contenuti, in particolare, nel caso di banche, istituzioni pubbliche, assicurazioni o industrie).
Dal punto di vista operativo esistono, e sono di uso comune, tutta una serie di comportamenti, rientranti tra quelle condotte che vengono definite di cosiddetta “igiene informatica”, finalizzati alla protezione dei dati trasmessi attraverso il mezzo informatico, alla integrità del dispositivo ( sia esso personal computer, o smartphone o tablet) e dei programmi in esso installati; si evidenziano per esempio l’esecuzione di backup, l’utilizzo di password complesse, l’utilizzo e l’aggiornamento di sistemi antivirus, la condivisione di dati solo con soggetti autorizzati, l’impiego di virtual private network (VPN) per la trasmissione dei propri dati al server o di sistemi di crittografia nella posta elettronica.
Se dal punto di vista operativo, esistono delle indicazioni generalmente condivise sulle procedure e sugli accorgimenti da adottare per la sicurezza informatica dello smart working, dal punto di vista normativo è opportuno verificare la sussistenza di regole in materia e quali siano gli eventuali conseguenti obblighi per gli operatori (aziende, lavoratori, professionisti, etc.).
Affrontando sommariamente le problematiche della cyber security (che data la finalità della presente trattazione non vengono esaminate in modo esaustivo), vedremo come specifiche norme tecniche configurino azioni da intraprendere per la protezione della sicurezza informatica, che sono quindi applicabili anche nell’ambito dello “smart working”.
La Legge 22/5/2017 n. 81, limitatamente ai rapporti di lavoro nei quali le parti abbiano convenuto la prestazione lavorativa in modalità di lavoro agile, prevede obblighi specifici per quanto riguarda gli aspetti di sicurezza informatica dell’attività lavorativa.
Infatti l’Art. 18 comma 2 della Legge dispone che: “Il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell’attività lavorativa”, il che fa ritenere che l’unico soggetto responsabile per la sicurezza e per il corretto funzionamento dei dispositivi utilizzati per lo svolgimento dell’attività in “smart working” sia il datore di lavoro, al quale compete ogni obbligo relativo alla sicurezza informatica dell’attività. Detta circostanza non impedisce che il lavoratore possa comunque essere ritenuto responsabile, nel caso in cui avvalendosi nel caso di dispositivi personali, non abbia applicato la dovuta diligenza nel seguire le indicazioni impartite in ordine alle modalità di utilizzo dei dispositivi e delle procedure concordate per garantire la sicurezza informatica delle comunicazioni connesse allo svolgimento dell’attività lavorativa.
Oltre alle norme che disciplinano il rapporto datore di lavoro/dipendente, occorre evidenziare che vi sono altre disposizioni che prevedono obblighi e coinvolgono la responsabilità delle aziende in relazione e alla protezione dei dati (prime fra tutte quelle del Regolamento UE 679/2016 o GDPR) e alla gestione della cyber security, con riflesso immediato sull’attività lavorativa svolta in modalità di “smart working”.
Nella seconda parte dell’articolo, che sarà pubblicata nel numero di giugno, saranno esaminate le norme giuridiche e tecniche che regolano la materia della cyber sicurezza, e che possono avere rilevanza particolare nella gestione del lavoro agile imposto dalla situazione attuale.