Contenuto del regolamento informatico aziendale


Lo sviluppo delle tecnologie informatiche nell’ambito dell’impresa e della Pubblica Amministrazione ha ridisegnato i modelli operativi, l’organizzazione del lavoro e le opportunità di business, ma al contempo ha esposto gli operatori economici a nuovi rischi di natura legale, sostanzialmente legati ad un utilizzo non consentito dei nuovi strumenti o ad azioni ostili provenienti dall’esterno.

La prima area di rischio riguarda la sfera dei comportamenti interni all’organizzazione aziendale, in qualche modo riferibili, e dunque imputabili, all’impresa o all’ente pubblico in sé considerati: dalle scelte e policy adottate dal management (controllo a distanza dell’attività dei lavoratori tramite software di monitoraggio dei dispostivi informatici, verifiche a posteriori dell’utilizzo degli strumenti informatici tramite estrazione dei file di log, gestione e trattamento di dati personali di terzi, etc.) fino ad arrivare ai comportamenti anomali e devianti di singoli utenti del sistema informatico aziendale (duplicazione e/o diffusione tramite dispositivi aziendali di materiale informatico protetto da copyright o avente contenuto illecito, circolazione in ambito aziendale di testi e materiali gravemente offensivi della sfera personale di singoli lavoratori o di terzi, etc.).

La seconda area di rischio si identifica invece con il fronte esterno, dal quale possono svilupparsi vere e proprie azioni di attacco informatico che prendono di mira funzionalità, patrimonio finanziario e proprietà intellettuale dell’impresa o dell’ente pubblico.  Generalmente si tratta di violazioni del sistema informatico aziendale (distruzione, danneggiamento o permanenza non autorizzata, sottrazione di informazioni protette concernenti know-how aziendale, portafoglio clienti e strategie commerciali, etc.), di tentativi di frode informatica (tramite malware o tecniche di phishing, man-in-the-middlle, etc.) e di sistemi di dirottamento della clientela verso altri operatori. 

Lo strumento più importante a disposizione del management aziendale per prevenire eventuali comportamenti illeciti o imprudenti dei lavoratori è il regolamento aziendale sull’utilizzo degli strumenti informatici.

In questo documento vengono normalmente previsti il divieto di utilizzare gli strumenti informatici aziendali per finalità personali, il divieto di navigazione su siti considerati non sicuri, l’obbligo di adottare specifiche cautele per proteggere il sistema informativo aziendale, la facoltà del datore di lavoro di accedere in specifici casi alle comunicazioni di posta elettronica del singolo lavoratore (ad es. in caso di assenza prolungata), l’avviso in ordine alla possibilità di controlli a posteriori sul corretto utilizzo degli strumenti informatici, il potere del datore di lavoro di infliggere sanzioni disciplinari nei casi di riscontrata inosservanza alle disposizioni del regolamento.

I controlli dovranno poi seguire il principio di gradualità: ad un preventivo controllo generale, basato su dati aggregati o anonimi – che potrà concludersi con avvisi generalizzati diretti agli incaricati dell’area o del settore in cui è stata rilevata l’anomalia – potrà seguire un controllo più specifico, anche su base individuale, giustificato da ulteriori anomalie. Il datore dovrà comunicare al lavoratore l’intenzione di procedere a controlli individuali, specificando l’oggetto, i motivi e le modalità del controllo.

Concludendo, è quindi importante sottolineare che il regolamento informatico aziendale ha almeno una duplice funzione:

  • quella di prevenire modalità di utilizzo degli strumenti informatici pericolose per la sicurezza del sistema informativo aziendale o comunque lesive per la sfera giuridica aziendale;
  • quella di costituire il fondamento legale per lo svolgimento di controlli a posteriori sulle modalità di impiego degli strumenti informatici da parte dei lavoratori e collaboratori.

© Piacentino, Avvocati Penalisti