Smart Working e Cyber Security - Aspetti Operativi e Problematiche Giuridiche

L’emergenza creata dal diffondersi della pandemia di Covid-19 ha imposto un radicale mutamento nei rapporti sociali, ad ogni livello, dovuto alla necessità di prevenire la diffusione del virus, attraverso quello che viene comunemente definito come “distanziamento sociale”.

A livello normativo sono stati emanati provvedimenti governativi che hanno imposto l’adozione di misure comportamentali particolarmente limitative per quanto riguarda la libera circolazione delle persone e il normale svolgimento delle attività commerciali, professionali e industriali.

In uno scenario in cui il virus ha catalizzato su di se’ l’attenzione generale e tutti gli sforzi sono diretti a fronteggiarne la diffusione, i “cybercriminali” possono trovare ampi spazi di manovra, potendo approfittare dell’enorme e rapido ampliamento delle modalità di lavoro a distanza.

Non sorprende, quindi, come negli ultimi mesi si sia registrata un’esponenziale crescita di cyber attacchi. A livello nazionale, l’allarme è stato lanciato dalla Polizia Postale Italiana, la quale ha accertato diversi tentativi di “phishing” e di “spamming” ai danni dei cittadini e delle istituzioni e ha raccomandato a tutti una maggiore prudenza nelle operazioni on-line.

Anche all’estero le agenzie Reuters e Bloomberg stanno dedicando attenzione al fenomeno dell’hackeraggio informatico incrementato a livello globale dall’inizio della pandemia, e stanno facendo opera di sensibilizzazione sulla sua potenziale pericolosità.

In questi mesi, a causa della pandemia, stante l’esigenza di garantire il distanziamento sociale anche in ambito lavorativo soprattutto nei settore industriale e in quello dei servizi, si è fortemente incrementata la modalità di lavoro a distanza, o “lavoro agile”, e cioè – per ripetere una definizione contenuta dall’Art. 18 comma 1 della L. 22/5/2017 n. 81 – una “modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell'attività lavorativa. La prestazione lavorativa viene eseguita, in parte all'interno di locali aziendali e in parte all'esterno senza una postazione fissa, entro i soli limiti di durata massima dell'orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva”.

Questa modalità di prestazione dell’attività lavorativa, che era praticabile in presenza di un accordo specifico tra impresa e lavoratore, a seguito del diffondersi della pandemia di Covid 19, è divenuta una pratica di fatto obbligatoria, in conseguenza in un primo momento, della emanazione delle norme sul “distanziamento sociale” anche in ambiente lavorativo (ulteriormente rafforzata dalle esigenze di tutela della salute dei lavoratori) e in seguito, anche a causa della sospensione dell’attività di molte aziende appartenenti a settori produttivi “non essenziali” per l’economia nazionale, ovviamente considerando il regime di emergenza nel quale ci si trova ad operare.
Tutte le norme emanate a livello governativo e legislativo dall’inizio dell’emergenza da pandemia fanno riferimento al lavoro a distanza o lavoro agile, allargando in misura sempre maggiore, la diffusione di tale modalità operativa nell’ambito delle imprese.
Tuttavia, se è vero che lo svolgimento del lavoro in modalità agile non è un concetto nuovo, è altrettanto vero che organizzare e gestire tutta la forza lavoro da remoto è un evento senza precedenti.
Peraltro, il legislatore ha emanato una sequenza di disposizioni nel tentativo di dare maggiori contenuti all’accezione dello “smart working”, creando un vero e proprio labirinto normativo in cui diventa alquanto arduo orientarsi.
In particolare, all’Art. 2 del DPCM del 25/2/2020, la cui operatività veniva circoscritta alle c.d. “zone rosse”, è effettuato il primo riferimento all’utilizzo dello “smart working” in forma semplificata, ovverosia applicabile a tutti i lavoratori subordinati residenti nelle zone a rischio, compresi quindi anche coloro che, pur risiedendovi, necessitano di spostarsi per motivi lavorativi in altri territori. Tuttavia, la vera novità si ravvisa nella possibilità, espressamente introdotta, di ricorrere a questa forma di prestazione lavorativa non solo qualora la stessa sia stata contemplata dal contratto di lavoro, ma anche in assenza di uno specifico accordo in tal senso. Ne discende che, a partire dell’entrata in vigore della norma appena richiamata, i lavoratori subordinati delle zone a rischio hanno automaticamente acquisito il diritto di lavorare in modalità “smart”, seppur in via temporanea, per tutta la durata della crisi sanitaria.

Sulla stessa linea si colloca il DPCM 01/3/2020 attuativo delle misure previste dal D.L. n. 6 del 23/2/2020, il quale all’Art. 1, lett. l), che, specificando le misure adottate per il contenimento del contagio da virus nelle c.d. “zone rosse”, e sospendendo lo svolgimento di talune attività lavorative, esclude tuttavia dalla sospensione stessa quelle “attività che possono essere svolte in modalità domiciliare ovvero in modalità a distanza”.

La progressiva diffusione del Covid-19 ha comportato l’estensione delle misure sopra descritte a tutta la penisola italiana, tanto che lo stesso DPCM 01/3/2020, all’Art. 4 punto 1 lett. a) è giunto a prevedere la facoltà di accesso al lavoro in forma agile con riferimento a “ogni rapporto di lavoro subordinato”, quindi anche al di fuori delle c.d. “zone rosse”. Successivamente, con il DPCM del 04/3/2020, il legislatore ha allargato espressamente le strette maglie dell’applicabilità dello smart working anche “in assenza degli accordi individuali ivi previsti”. Pertanto, dalla data dell’entrata in vigore del decreto, i lavoratori subordinati, compatibilmente con la natura dell’attività svolta, possono effettuare il proprio lavoro da remoto.

Con il D.L. n. 18 del 17/3/2020 il legislatore ha consentito di ricorrere allo strumento del lavoro agile anche ai lavoratori disabili e a coloro che, a prescindere dall’esistenza di un contratto di lavoro, abbiano nel proprio nucleo familiare un soggetto disabile da accudire, ampliando, quindi, ulteriormente la fascia di soggetti idonei alle prestazioni di lavoro in forma agile, con uno specifico riferimento al settore privato.

Di contro, i lavoratori autonomi hanno dovuto attendere fino al 25/3/2020 quando è stato emanato il D.L. n. 19/2020, ovverosia a distanza di quasi un mese dal primo provvedimento di tutela, per una regolamentazione normativa della modalità del lavoro agile.

Alla luce del quadro normativo vigente, risulta chiaro che con la pandemia da Covid-19 il lavoro agile o smart working, è divenuto una modalità operativa di fatto obbligatoria in tutti i settori, allargata anche al mondo delle professioni e a quello dei servizi bancari e assicurativi.

A livello globale il processo di ampiamento del lavoro a distanza è iniziato da molto tempo, e nei settori più disparati, ma la diffusione dello smart working ha avuto una accelerazione estremamente rapida, e con essa anche l’impiego crescente di apparecchi informatici e di attrezzature digitali per la comunicazione fra le persone.

Questa accelerazione si è però sviluppata in una situazione di carattere emergenziale, senza una pianificazione organica e ponderata degli aspetti coinvolti, e in alcuni casi diremmo anche travolti, da un diffondersi così rapido ed ampio di una modalità operativa che, se in precedenza era ristretta ad aspetti comunicativi di ordinaria amministrazione (videoconferenze, accesso da remoto al fine di trasferire dati o documenti) o per specifiche e specialistiche attività di tecnologia evoluta (assistenza manutentiva industriale da remoto), allo stato è divenuta non una semplice modalità di trasferimento di informazioni, ma un vero e proprio strumento di attività lavorativa, destinato a coinvolgere integralmente tutti i momenti operativi aziendali nei settori più disparati.

In sostanza, ciò che prima era una possibilità o una opportunità concessa ai lavoratori e alle aziende, oggi è diventata una necessità indispensabile e indifferibile per le imprese; i problemi della prestazione lavorativa fornita in modalità smart working, in senso generale, possono riguardare, relativamente alle problematiche di sicurezza informatica, anche attività professionali o di lavoro autonomo alle quali però può non essere applicabile la normativa specifica di cui alla L. 22/5/2017 n. 81.

Questa nuova situazione ha generato – e presumibilmente causerà in futuro - diverse criticità nel sistema: se da una parte vanno considerate le “storiche” esigenze di tutela dei lavoratori, in considerazione delle dinamiche di controllo a distanza dell’attività dei lavoratori (che devono essere regolate contrattualmente, ai sensi dell’Art. 21 della L. 22/5/2017 n. 81), nonché quelle connesse alla riservatezza dei dati, nuove situazioni di rischio sono indotte da problematiche di carattere tecnologico e di sicurezza informatica, o “cyber security”.

Basti pensare al fatto che un sistema di rete aziendale, dovrebbe essere strutturato e protetto con l’impiego di tecnologie specifiche, volte alla protezione della comunicazione tra i dispositivi aziendali e quelli in uso al lavoratore (a titolo di esempio ci si riferisce , alla limitazione all’accesso all’intranet aziendale, ai “cloud”, alle procedure di autenticazione, all’uso di codici univoci, l’utilizzo di processi digitali ad elevata protezione) mentre nella maggior parte dei casi lo smart working viene svolto – in particolare in questo momento contingente – con l’utilizzo di reti digitali pubbliche o private, o di reti Wi-Fi domestiche che hanno livelli di sicurezza non elevati, e che possono essere facilmente violati.

L’utilizzo di dispositivi personali del lavoratore (BYOD – Bring Your Own Device) per lo svolgimento di attività di smart working può essere causa di criticità del sistema, in quanto oltre a poter essere pregiudicata l’integrità delle comunicazioni tra gli interessati, anche la vulnerabilità della rete di uno dei destinatari potrebbe essere compromessa (pensiamo alla possibilità di raggiungere, attraverso il dispositivo del lavoratore che ha livelli di protezione non adeguati, le reti aziendali e i dati in esse contenuti, in particolare, nel caso di banche, istituzioni pubbliche, assicurazioni o industrie).

Dal punto di vista operativo esistono, e sono di uso comune, tutta una serie di comportamenti, rientranti tra quelle condotte che vengono definite di cosiddetta “igiene informatica”, finalizzati alla protezione dei dati trasmessi attraverso il mezzo informatico, alla integrità del dispositivo ( sia esso personal computer, o smartphone o tablet) e dei programmi in esso installati; si evidenziano ad esempio l’esecuzione di backup, l’utilizzo di password complesse, l’utilizzo e l’aggiornamento di sistemi antivirus, la condivisione di dati solo con soggetti autorizzati, l’impiego di virtual private network (VPN) per la trasmissione dei propri dati al server o di sistemi di crittografia nella posta elettronica.

Se dal punto di vista operativo, esistono delle indicazioni generalmente condivise sulle procedure e sugli accorgimenti da adottare per la sicurezza informatica dello smart working, dal punto di vista normativo è opportuno verificare la sussistenza di regole in materia e quali siano gli eventuali conseguenti obblighi per gli operatori (aziende, lavoratori, professionisti, etc.) .

Affrontando sommariamente le problematiche della cyber security (che data la finalità della presente trattazione non vengono esaminate in modo esaustivo), vedremo come specifiche norme tecniche configurino azioni da intraprendere per la protezione della sicurezza informatica, che sono quindi applicabili anche nell’ambito dello “smart working”.

La Legge 22/5/2017 n. 81, limitatamente ai rapporti di lavoro nei quali le parti abbiano convenuto la prestazione lavorativa in modalità di lavoro agile, prevede obblighi specifici per quanto riguarda gli aspetti di sicurezza informatica dell’attività lavorativa.

Infatti l’Art. 18 comma 2 della Legge dispone che: “Il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell'attività lavorativa”, il che fa ritenere che l’unico soggetto responsabile per la sicurezza e per il corretto funzionamento dei dispositivi utilizzati per lo svolgimento dell’attività in smart working sia il datore di lavoro, al quale compete ogni obbligo relativo alla sicurezza informatica dell’attività.

Detta circostanza non impedisce che il lavoratore possa comunque essere ritenuto responsabile, nel caso in cui avvalendosi nel caso di dispositivi personali, non abbia applicato la dovuta diligenza nel seguire le indicazioni impartite in ordine alle modalità di utilizzo dei dispositivi e delle procedure concordate per garantire la sicurezza informatica delle comunicazioni connesse allo svolgimento dell’attività lavorativa.

Oltre alle norme che disciplinano il rapporto datore di lavoro/dipendente, occorre evidenziare che vi sono altre disposizioni che prevedono obblighi e coinvolgono la responsabilità delle aziende in relazione e alla protezione dei dati (prime fra tutte quelle del Regolamento UE 679/2016 o GDPR) e alla gestione della cyber security, con riflesso immediato sull’attività lavorativa svolta in modalità di smart working.

Lo stravolgimento organizzativo aziendale che lo smart working sta determinando nell’attuale situazione di pandemia, in termini di Digital Transformation, impone inoltre alla leadership aziendale l’obbligo di affrontare con scrupolo e puntualità la tematica della sicurezza informatica delle reti e dei sistemi informativi delle proprie organizzazioni.

Norma fondamentale in materia di cyber security è rappresentata dal Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17/4/2019 relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»), che al considerando n. 2 premette che: “L’uso delle reti e dei sistemi informativi da parte di cittadini, organizzazioni e imprese di tutta l’Unione è attualmente molto diffuso. La digitalizzazione e la connettività stanno diventando caratteristiche fondamentali di un numero di prodotti e servizi in costante aumento, e con l’avvento dell’Internet degli oggetti (Internet of Things — IoT) nel prossimo decennio dovrebbero essere disponibile in tutta l’Unione un numero estremamente elevato di dispositivi digitali connessi. Sebbene un numero crescente di dispositivi sia connesso a Internet, la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che rende inadeguata la cibersicurezza”, mentre al considerando n. 3 spiega ulteriormente che: “l’incremento della digitalizzazione e della connettività comporta maggiori rischi connessi alla cibersicurezza, il che rende la società in generale più vulnerabile alle minacce informatiche e aggrava i pericoli cui sono esposte le persone, comprese quelle più vulnerabili come i minori. Al fine di attenuare tali rischi, occorre prendere tutti i provvedimenti necessari per migliorare la cibersicurezza nell’Unione allo scopo di proteggere meglio dalle minacce informatiche le reti e i sistemi informativi, le reti di comunicazione, i prodotti digitali, i servizi e i dispostivi utilizzati da cittadini, organizzazioni e imprese , a partire dalle piccole e medie imprese (PMI), quali definite nella raccomandazione della Commissione 2003\361\CE, fino ai gestori delle infrastrutture critiche”.

Il Cyber Act rimarca al considerando n. 8 che la “cibersicurezza non costituisce soltanto una questione relativa alla tecnologia, ma anche che il comportamento umano è di pari importanza” e conseguentemente “è opportuno promuovere energicamente l’igiene informatica, vale a dire semplici misure di routine che, se attuate e svolte regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche“.

Sulla base di queste premesse, il Regolamento, oltre a dettare le norme di costituzione e funzionamento dell’ENISA, ha introdotto il concetto di “certificazione” della cibersicurezza (Art.46) “al fine di migliorare le condizioni di funzionamento del mercato interno aumentando il livello di cibersicurezza all’interno dell’Unione e rendendo possibile, a livello di Unione, un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza allo scopo di creare un mercato unico digitale per i prodotti TIC (Tecnologie dell’Informazione e della Comunicazione, ndr), i servizi TIC e i processi TIC.

Il quadro europeo di certificazione della cibersicurezza prevede un meccanismo volto a istituire sistemi europei di certificazione della cibersicurezza e ad attestare che i prodotti, servizi TIC e processi TIC valutati nel loro ambito sono conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita”.

I principi qui introdotti dal Cyber Act rappresentano elementi fondamentali per fornire efficacia ed effettività ai modelli organizzativi che le aziende adotteranno in ossequio a quanto le norme tecniche internazionali di riferimento impongono poiché il principio introdotto ripone particolare importanza nel comportamento umano (fase attiva) per l’ottenimento, in sinergia con gli strumenti tecnici e tecnologici (fase passiva), del miglior risultato attuabile in termini di contrasto alla minacce da attacchi informatici.

E proprio in relazione ai comportamenti umani, e al concetto di igiene informatica, anche la normazione tecnica rappresenta uno strumento efficace a disposizione degli operatori, applicabile anche all’attività di “smart working”: in particolare, è opportuno citare la norma ISO-IEC 27001 (Information Technology — Security Techniques — Information security management systems — Requirements), che ha l’obiettivo di fornire un modello per definire e attuare, il monitoraggio, la revisione, il mantenimento e il miglioramento di un sistema di gestione della sicurezza delle informazioni (ISMS).

Proprio con riferimento ai comportamenti da adottare per garantire la sicurezza informatica, la norma citata prevede le seguenti azioni:
7.2. Competenza
L’organizzazione deve:
a) Determinare le necessarie competenze per le persone che svolgono attività sotto il suo controllo e che influenzano le sue prestazioni relative alla sicurezza delle informazioni;
b) Assicurare che queste persone siano competenti sulla base di istruzione, formazione, e addestramento o esperienza appropriate;
c) Ove applicabile, intraprendere azioni per acquisire la necessaria competenza e valutare l’efficacia delle azioni intraprese; e
d) Conservare appropriate informazioni documentate quale evidenza delle competenze.
7.3 Consapevolezza
Le persone che svolgono attività sotto il controllo dell’organizzazione devono essere consapevoli:
a) Della politica per la sicurezza delle informazioni;
b) Del proprio contributo all’efficacia del sistema di gestione per la sicurezza delle informazioni, inclusi i benefici derivanti dal miglioramento delle prestazioni relative alla sicurezza delle informazioni; e
c) Delle implicazioni del non essere conformi ai requisiti del sistema di gestione per la sicurezza delle informazioni
7.4 Comunicazione
L’organizzazione deve determinare la necessità per le comunicazioni interne ed esterne in relazione al sistema di gestione per la sicurezza delle informazioni , includendo:
a) Ciò su cui comunicare;
b) Quando comunicare;
c) Con chi comunicare;
d) Chi deve comunicare; e
e) I processi attraverso i quali devono essere effettuate le comunicazioni”.

Come si può notare, queste azioni riguardano essenzialmente comportamenti umani, che non possono naturalmente prescindere dalla adozione e implementazione degli strumenti tecnologici necessari per agire sulle reti e sulle attrezzature informatiche, attuando i sistemi di protezione adeguati e le procedure necessarie a garantirne l’efficacia nel tempo .

Proprio a tale ultimo proposito, e sempre con riferimento alle norme tecniche emanate a livello internazionale nel settore specifico della cyber security, è d’obbligo un cenno alle norme facenti parte degli standard IEC 62443, per la sicurezza informatica dei sistemi IACS (Industrial Automation Control Systems) le quali in particolare con la 62443-3-2 forniscono con puntualità e precisione definizioni terminologiche nonché flussi di lavoro per la configurazione di un processo aziendale che sia in grado di individuare le misure volte a proteggere il sistema informatico preso in considerazione .

La norma esamina i comportamenti e gli eventi idonei e indispensabili per una compiuta disamina delle criticità informatiche di un sistema con la conseguente previsione di misure tecniche e comportamentali volte ad ottenere il più elevato target di sicurezza rispetto alle ipotizzabili minacce .

All’art. 4 sono forniti termini e definizioni di tutti gli elementi considerati nella disposizione tra gli altri si individuano: contromisure alle minacce , cibersicurezza, movimentazioni di dati, Suc (System under Consideration), rete esterna collegata al SUC , processo di analisi dei rischi, rischio residuale, rischio, livello di sicurezza (target security), perimetro di sicurezza, minaccia, ambiente di minaccia, fonte della minaccia, rischio tollerabile , valutazione del rischio prima di aver considerato una contromisura (unmitigated cybersecurity risk) e molti altri aspetti che nell’ambito della presente trattazione risulterebbero eccessivamente tecnici e fuorvianti.

Una volta individuate le varie definizioni la norma stabilisce due ambiti di valutazione del processo informatico in riferimento al cosiddetto “SuC”.

Il primo ambito trattato è il flusso di lavoro per stabilire zone, condotte e valutazione del rischio; in questo contesto potrebbero essere individuati alcuni spunti per analizzare le criticità che l’attività di smart working potrebbe rappresentare.

Di seguito si fa cenno ad alcuni punti delle norme rilevanti in tal senso: punto 5.2.2. Identificazione del perimetro e dei punti di acceso del sistema informatico considerato; punto 5.4.4 ZCR Separazione delle aree relative alla sicurezza; punto 5.4.5 Separazione dei dispositivi temporaneamente connessi; punto 5.4.6 Separazione dei dispositivi wireless; punto 5.4.7 Separazione dei dispositivi collegati tramite reti esterne.

Il secondo riguarda il flusso di lavoro indicato sempre dalla IEC (PRV) 62443-3-2, che si occupa della valutazione del “cybersecurity risk” nella sua accezione più ampia : identificazione delle minacce, identificazione dei punti di vulnerabilità (lo smart working sicuramente rileva), determinazioni delle probabilità assolute di rischio, determinazione del livello di sicurezza, determinazione del rischio tollerabile e di quello residuale e loro comparazione , descrizione del sistema informatico e molti altri aspetti di carattere prettamente tecnico finalizzati a determinare i target del livello di sicurezza , le matrici di rischio nonché applicare i risultati della valutazione per stabilire il livello di sicurezza raggiunto.

Le norme tecniche ora richiamate possono essere considerate gli strumenti normativi di carattere prevalentemente tecnico (ancorché coinvolgenti condotte umane) attraverso i quali gli operatori possono gestire la sicurezza informatica dei processi lavorativi, produttivi o di prestazioni di servizi (anche di carattere professionale): occorre però chiedersi se la non ottemperanza a tali criteri possa assumere rilevanza sotto il profilo giuridico?
In altri termini, vi è un obbligo giuridico di applicare le norme tecniche in materia di cyber security? E, ancora, il mancato rispetto delle norme tecniche finalizzate a contrastare potenziali violazioni della cyber security, può generare responsabilità?
Per rispondere a queste domande occorre fare alcune considerazioni: la prima riguarda il fatto che le norme tecniche adottate per loro stessa definizione, su base volontaria, possono assumere rilevanza giuridica solo nel caso in cui siano recepite da norme giuridiche nazionali oppure nel caso in cui siano state espressamente inserite nel regolamento contrattuale che disciplina un rapporto tra due soggetti oppure se esse esprimano lo “stato dell’arte” in un dato momento storico in relazione ad una determinata problematica tecnica.

Pertanto ,fatto salvo il caso di recepimento in norme giuridiche, le norme tecniche acquistano efficacia vincolante nel caso in cui le parti di un contratto le abbiano inserite nel regolamento negoziale, per cui esse divengono elemento caratterizzante e sostanziale della prestazione o comunque nel caso esse vengano prese in considerazione al fine di valutare la illiceità di una condotta e il rispetto dei parametri da esse indicati possano assumere rilevanza in termini di valutazione della diligenza del soggetto tenuto a rispettarle.

Da qui la possibilità che il mancato rispetto delle norme tecniche in materia di cyber security siano fonte di responsabilità di carattere contrattuale o extracontrattuale, con riferimento cioè, in tale ultimo caso, alle norme generali in materia di illecito civile (Art. 2043 Cod. Civ.).

La seconda considerazione riguarda le norme giuridiche che possono essere fonti di obblighi e responsabilità con riferimento agli aspetti della sicurezza informatica e/o alla mancata protezione dei dati.

Oltre al Cyber Security Act più sopra richiamato, un’altra norma giuridica rilevante è quella dettata dalla Direttiva (UE) 2016/1148 (cosiddetta Direttiva NIS), intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi, che è stata recepita in Italia con D.Lgs. 18/5/2018 n. 65: il decreto è rivolto agli Operatori di Servizi Essenziali (OSE, che sono soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l'economia nei settori sanitario, dell'energia, dei trasporti, in quello bancario, dei mercati finanziari, della fornitura acqua potabile e delle infrastrutture digitali,) e ai Fornitori di Servizi Digitali (FSD che sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, che abbiano stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale).

Come si nota, la Direttiva NIS riguarda settori particolari, ed è finalizzata a sollecitare gli stati europei ad una gestione organica della sicurezza informatica in specifici ambiti produttivi o di forniture di servizi essenziali, ed impone un approccio globale in materia di sicurezza informatica, basato sul coordinamento e sullo scambio di informazioni fra gli operatori; essa prevede inoltre l’adozione di norme che individuino i soggetti, i loro obblighi e le loro responsabilità in caso di violazione delle disposizioni.

La Direttiva NIS, seppure significativa nelle sue finalità, può non avere una immediata rilevanza per le problematiche oggetto della presente trattazione: quanto ha certamente rilevanza immediata anche in materia di smart working sono le conseguenze che possono derivare in caso di violazione della cyber security o in caso di mancato rispetto di norme specifiche sul trattamento dei dati.

Dal primo punto di vista, la debolezza del sistema informatico in caso di attacco informatico che abbia sfruttato il sistema e la connessione di “lavoro agile”, può arrecare pregiudizio alla rete aziendale, alla integrità dei suoi dati, al suo funzionamento anche in relazione alla gestione dei processi produttivi (causando, ad esempio, un fermo produttivo), per cui l’impresa si troverebbe o a vedere, anche solo parzialmente, paralizzata la sua attività o a subire la sottrazione di dati o segreti industriali di importanza anche molto rilevante.

Da un altro punto di vista, l’azienda potrebbe incorrere in una condotta non conforme alle disposizioni di legge in materia di privacy (GDPR), con il rischio di subire azioni di responsabilità da parte dei titolari dei dati perduti o indebitamente o non adeguatamente trattati, con gravi conseguenze dal punto di vista economico. Nello specifico, in tema di cibersicurezza nell’ambito dello smart working, assumono particolare rilevanza le disposizioni normative sulla protezione dei dati personali concernenti la sicurezza del trattamento (ad es. Art. 32 del GDPR) nonché gli standard internazionali ISO e IEC; accanto alle predette norme, il datore di lavoro/titolare del trattamento dovrà organizzare l’attività dei lavoratori svolta in modalità “smart” osservando altresì la disciplina in materia di controllo a distanza dei lavoratori di cui all’Art. 4 dello Statuto dei Lavoratori, richiamato dall’art. 114 del D.Lgs.196/2003 (Codice Privacy), i provvedimenti dell’Autorità Garante per la protezione dei dati personali nonché le Linee guida adottate dai Garanti Europei. In ottemperanza alle “best practices” in uso nel settore sarebbe inoltre auspicabile che venisse istituita una Policy aziendale sull’utilizzo degli strumenti IT, che comprenda dettagliate istruzioni ai dipendenti e collaboratori delle società anche sull’attuazione dello smart working.

Come si è detto all’inizio, la diffusione del lavoro agile ha determinato un incremento di cyber attacchi, tra quelli più recenti giova segnalare quello diretto alla piattaforma di videoconferenze “Zoom”. Nello specifico, durante l’attacco, denominato “zoom boombing” durato non più di dieci minuti, gli hackers hanno rilevato alcune vulnerabilità del sistema tali da consentire agli stessi di penetrare il software e di avere il libero accesso ai dati personali e password degli utenti, nonché di inserirsi nelle videoconferenze in corso. Il data breach rilevato ha avuto un ulteriore risvolto negativo, giacché i dati trafugati sono stati trasmessi a noti social networks. In seguito all’accaduto è emerso un duplice problema: da un lato, la mancanza di una protezione adeguata dei dati personali e della privacy, dall’altro, l’insufficienza delle misure di cyber sicurezza impiegate. Il CEO della piattaforma, Eric S. Yuan, si è scusato pubblicamente promettendo di sistemare le deficienze del sistema e di incrementare la tutela della sicurezza.

Inoltre, non può non considerarsi la rilevanza della cyber security con riferimento dell’estensione della responsabilità prevista dal D.Lgs 231/2001 ai reati informatici: tale estensione deriva da una norma fondamentale rappresentata dalla L. 18/11/2019 n. 133 (cosiddetta “Legge Cybersecurity”), che ha convertito in legge, con modifiche, il D. L. 21/9/2019 n. 105 (cosiddetto “Decreto Cybersecurity”), recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica”: con tale norma è stato istituito il cosiddetto “perimetro di sicurezza nazionale cibernetica” (PSNC), con lo scopo di garantire un adeguato livello di sicurezza delle reti, dei sistemi informatici, e dei servizi informatici di interesse collettivo.

La materia della cyber security ha avuto e sta avendo una diffusione sempre più ampia, e la pandemia di Covid – 19 ha reso rapidamente evidente numerose criticità del sistema, anche per quanto riguarda le attività lavorative svolte in modalità smart working: l’apparato normativo esistente, seppure sia in una fase di notevole ampliamento e dal punto di vista tecnico che giuridico necessita di maggiore efficacia preventiva, in modo da consentire , attraverso l’implementazione degli strumenti normativi , tecnici e giuridici, l’indicazione di linee di condotta più precise e protettive sia per gli operatori, aziende e dipendenti, sia per coloro che generalmente utilizzano reti informatiche per lo svolgimento delle loro attività lavorative e non ultime le persone che a qualunque titolo, confidano nella sicurezza informatica dei sistemi per la gestione dei propri dati e delle proprie informazioni.

Bologna – Parma, 17 aprile 2020

Avv. Giorgio Caramori – Studio Legale de Capoa e Associati – Bologna – g.caramori@clex.it
Avv. Cristiano Cimadom – Studio Legale Associato Cimadom – Pasquazzi – Parma - c.cimadom@studiolegalecmp.it
Avv. Olga Manservigi Kichitskaia – Studio Legale de Capoa e Associati – Bologna – avv.olgamanservigik@gmail.com